C-205/25
Opinia rzecznika generalnegoTSUE2026-04-16CELEX: 62025CC0205ECLI:EU:C:2026:312
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy organ nadzorczy, rozpatrujący skargę na podstawie art. 77 RODO, jest „administratorem” w rozumieniu art. 4 pkt 7 RODO, a w konsekwencji zobowiązany do udzielenia dostępu do danych na podstawie art. 15 RODO, oraz czy krajowy przepis całkowicie wyłączający prawo dostępu do akt organu nadzorczego jest zgodny z art. 23 RODO?Ratio decidendi
Rzecznik Generalny uznał, że organ nadzorczy, prowadząc postępowanie skargowe, samodzielnie ustala cele i sposoby przetwarzania danych osobowych skarżącego, co kwalifikuje go jako „administratora” zgodnie z szeroką wykładnią art. 4 pkt 7 RODO. Niezależność organów nadzorczych wymaga, aby były one odpowiedzialne za przetwarzanie danych, co zapewnia skuteczność ochrony praw jednostki. Całkowite wyłączenie prawa dostępu, takie jak w art. 20 ust. 2 BayDSG, jest nieproporcjonalne i narusza istotę prawa dostępu z art. 15 RODO, a także zasadę przejrzystości. Ograniczenia na podstawie art. 23 RODO muszą być jasne, precyzyjne, niezbędne i proporcjonalne, a istnieją mniej restrykcyjne środki (np. częściowe ujawnienie, anonimizacja) pozwalające pogodzić ochronę praw osób trzecich i prawidłowe funkcjonowanie organu z prawem dostępu.Stan faktyczny
Joachim Lindenberg, dziennikarz specjalizujący się w ochronie danych, złożył skargę do Bayerisches Landesamt für Datenschutzaufsicht (Landesamt) przeciwko osobie trzeciej. Landesamt stwierdził naruszenia, ale odmówił pełnego dostępu do akt sprawy, powołując się na art. 20 ust. 2 bawarskiej ustawy o ochronie danych osobowych (BayDSG), który wyklucza dostęp do akt organów nadzorczych. Mimo że Landesamt ostatecznie udzielił elektronicznego wglądu, Lindenberg domaga się stwierdzenia niezgodności z prawem pierwotnej odmowy. Sąd krajowy zwrócił się do TSUE z pytaniami prejudycjalnymi dotyczącymi statusu Landesamt jako „administratora” i zgodności krajowego przepisu z RODO.Rozstrzygnięcie
Rzecznik Generalny proponuje, aby Trybunał udzielił następującej odpowiedzi na pytania prejudycjalne:
1) Artykuł 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) w związku z art. 4 pkt 7 tego rozporządzenia należy interpretować w ten sposób, że organ nadzorczy w rozumieniu art. 4 pkt 21 tego rozporządzania, działający w ramach postępowania skargowego na podstawie art. 77 wspomnianego rozporządzenia, posiada równocześnie status „administratora” w rozumieniu tego samego rozporządzenia, a zatem ma obowiązek zapewnienia osobie, której dane dotyczą, prawa dostępu przewidzianego w art. 15 tego rozporządzenia 2016/679.
2) Artykuł 23 rozporządzenia 2016/679 należy interpretować w ten sposób, że stoi on na przeszkodzie przepisowi krajowemu takiemu jak art. 20 ust. 2 bawarskiej ustawy o ochronie danych osobowych, który to przepis wyklucza, jako takie, istnienie prawa dostępu opartego na art. 15 tego rozporządzenia, przysługującego wobec bawarskiego organu ochrony danych.Pełny tekst orzeczenia
Wydanie tymczasowe
OPINIA RZECZNIKA GENERALNEGO
RIMVYDASA NORKUSA
przedstawiona w dniu 16 kwietnia 2026 r.(1)
Sprawa C‑205/25
Joachim Lindenberg
przeciwko
Bayerisches Landesamt für Datenschutzaufsicht
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bayerisches Verwaltungsgericht Ansbach (bawarski sąd administracyjny w Ansbach, Niemcy)]
Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 15 – Wniosek osoby, której dane dotyczą, o udzielenie dostępu do jej danych osobowych – Artykuł 77 – Dane zawarte w aktach organu nadzorczego prowadzącego postępowanie skargowe – Artykuł 4 pkt 7 – Pojęcie „administratora” – Artykuł 23 – Ograniczenia prawa dostępu – Uregulowanie krajowe wyłączające wszelki dostęp do akt
I. Wprowadzenie
1. Wniosek o wydanie orzeczenia w trybie prejudycjalnym w niniejszej sprawie, złożony na podstawie art. 267 TFUE przez Bayerisches Verwaltungsgericht Ansbach (bawarski sąd administracyjny w Ansbach, Niemcy), dotyczy wykładni art. 4 pkt 7 i 21, art. 15, 23 i 77 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)(2) (zwanego dalej „RODO”).
2. Ten wniosek o wydanie orzeczenia w trybie prejudycjalnym wpisuje się w ramy sporu między Joachimem Lindenbergiem, dziennikarzem specjalizującym się w ochronie danych osobowych, a Bayerisches Landesamt für Datenschutzaufsicht (bawarskim organem nadzorczym ochrony danych osobowych) (zwanym dalej „Landesamt”), który to spór dotyczy odmownego rozpatrzenia przez ów organ wniosku J. Lindenberga złożonego na podstawie art. 15 RODO o udzielenie pełnego dostępu do jego akt w postępowaniu wszczętym w następstwie wniesionej przez niego skargi przeciwko osobie trzeciej. Landesamt uzasadnił swoją odmowę bawarskim przepisem wyłączającym publiczny dostęp do akt organów nadzorczych. W wyniku wniesionego przez J. Lindenberga odwołania organ ten ostatecznie udzielił wglądu w postaci elektronicznej do akt, nie przyznając jednak, iż naruszył prawo, natomiast skarżący nadal domaga się ustalenia, że pierwotna odmowa była niezgodna z prawem. Uznając, że rozstrzygnięcie sporu wymaga dokonania wykładni odpowiednich przepisów RODO i zbadania zgodności bawarskich przepisów z prawem Unii, sąd odsyłający postanowił zawiesić postępowanie i przedstawić Trybunałowi dwa pytania prejudycjalne.
3. Trybunał ma za zadanie rozstrzygnąć, czy w ramach postępowania dotyczącego skargi wniesionej na podstawie art. 77 RODO organ nadzorczy w dziedzinie ochrony danych może być uznany za „administratora” w rozumieniu art. 4 pkt 7 RODO, oraz w jakim zakresie powinien on wypełnić obowiązek udzielenia dostępu przewidziany w art. 15 RODO. Do Trybunału zwrócono się w szczególności o zbadanie, czy prawo Unii stoi na przeszkodzie regulacji krajowej całkowicie uniemożliwiającej dostęp do akt osobom, których dane dotyczą. Tę ocenę trzeba będzie przeprowadzić w świetle art. 23 RODO, który zezwala z pewnych względów interesu ogólnego na ograniczenie ustanowionego w tym rozporządzeniu obowiązku udzielenia dostępu, a także w świetle art. 8 ust. 2 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”), które to postanowienie gwarantuje każdemu prawo dostępu do zebranych danych, które go dotyczą. W związku z tym Trybunał będzie musiał wyważyć z jednej strony wymóg przejrzystości działalności administracji, a z drugiej strony konieczność zapewnienia efektywności postępowań w dziedzinie ochrony danych.
II. Ramy prawne
A. Prawo Unii
4. Dla niniejszej sprawy istotne są art. 8 i 52 Karty, art. 16 TFUE, a także art. 4 pkt 1, 2, 7 i 9 oraz art. 5, 15, 23, 51, 57, 58 i 77 RODO.
B. Prawo niemieckie
5. Zgodnie z art. 18 Bayerisches Datenschutzgesetz (bawarskiej ustawy o ochronie danych osobowych, zwanej dalej „BayDSG”), Landesamt jest organem nadzorczym w odniesieniu do podmiotów niepublicznych.
6. Artykuł 20 BayDSG stanowi:
„(1) Każdy może zwrócić się do organów nadzorczych, podnosząc, że przy przetwarzaniu jego danych osobowych doszło do naruszenia jego praw. Zwrócenie się do organów nadzorczych nie może wiązać się z żadnymi negatywnymi skutkami dla osoby, której dane dotyczą.
(2) Prawo dostępu i wglądu w odniesieniu do akt i zbiorów danych organów nadzorczych nie przysługuje”.
7. W uzasadnieniu ustawy wskazano odnośnie do art. 20 ust. 2 BayDSG, że przepis ten znajduje zastosowanie i wyłącza w całości prawo dostępu do danych w rozumieniu art. 15 RODO, gdy dochodzi się go wobec Landesamt, jeśli chodzi o jego akta i zbiory danych.
III. Okoliczności powstania sporu w postępowaniu głównym, postępowanie główne i pytania prejudycjalne
8. J. Lindenberg jest dziennikarzem i prowadzi blog poświęcony w szczególności ochronie danych osobowych. Począwszy od 2021 r. zainicjował on szereg postępowań skargowych przed Landesamt.
9. Po wniesieniu przez J. Lindenberga w dniu 13 maja 2022 r. skargi dotyczącej ochrony danych osobowych do Landesamt organ ten wszczął postępowanie nadzorcze przeciwko osobie trzeciej. Wiadomością elektroniczną z dnia 11 października 2022 r. Landesamt poinformował J. Lindenberga, że stwierdził w tym kontekście naruszenia prawa w dziedzinie ochrony danych osobowych przez osobę, której dotyczyła skarga. Dodał, że po upływie terminu wyznaczonego na wdrożenie zaleceń, w wypadku ponownych naruszeń, osoba, której dotyczy skarga, zostanie ukarana mandatem, jeżeli dopuściłaby się kolejnych naruszeń. Wiadomością elektroniczną z tego samego dnia J. Lindenberg zażądał podania dodatkowych szczegółów dotyczących środków podjętych przez Landesamt. Ponieważ organ ów odmówił spełnienia tego żądania, J. Lindenberg w wiadomości elektronicznej z dnia 11 października 2022 r. zażądał udzielenia pełnej informacji na podstawie art. 15 ust. 1 i 3 RODO.
10. W decyzji z dnia 20 października 2022 r. Landesamt oddalił wniosek o udzielenie informacji złożony na podstawie art. 15 ust. 1 i 3 RODO, o czym poinformował w wiadomości elektronicznej z tego samego dnia. Oddalenie Landesamt uzasadnił tym, że zgodnie z wyraźnym uregulowaniem zawartym w art. 20 ust. 2 BayDSG prawo dostępu i wglądu w odniesieniu do akt i zbiorów danych organów nadzorczych jest wyłączone.
11. J. Lindenberg wniósł skargę na tę decyzję do Bayerisches Verwaltungsgericht Ansbach (bawarskiego sądu administracyjnego w Ansbach), żądając zobowiązania Landesamt do udostępnienia mu kopii wszystkich danych z akt postępowania skargowego wszczętego w dniu 13 maja 2022 r.
12. W dniu 23 lutego 2024 r. Landesamt udzielił wglądu w postaci elektronicznej do akt postępowania skargowego wszczętego przez J. Lindenberga, nie uznając jednak odnośnego obowiązku prawnego.
13. Obecnie J. Lindenberg żąda wyłącznie stwierdzenia, że decyzja z dnia 20 października 2022 r., w której Landesamt oddalił jego wniosek o udzielenie informacji, była niezgodna z prawem.
14. Sąd odsyłający wskazuje, że w sytuacji, gdy podmiot wnoszący skargę – w tym przypadku J. Lindenberg – zgodnie z art. 77 RODO inicjuje postępowanie skargowe przed organem nadzorczym ochrony danych osobowych – w tym przypadku Landesamt – organ ten jest wobec skarżącego organem nadzorczym w rozumieniu art. 4 pkt 21 RODO. Niektórzy, w tym Landesamt, uważają, że tym samym wykluczone jest, aby organ nadzorczy ochrony danych osobowych był wobec podmiotu wnoszącego skargę „administratorem” w rozumieniu art. 15 w związku z art. 4 pkt 7 RODO oraz że w konsekwencji skarżącemu od początku nie przysługuje wobec organu nadzorczego ochrony danych osobowych prawo dostępu w odniesieniu do danych osobowych zbieranych w ramach postępowania skargowego.
15. Sąd odsyłający wychodzi natomiast z założenia, że organ nadzorczy ochrony danych osobowych może być jednocześnie organem nadzorczym w rozumieniu art. 4 pkt 21 RODO i administratorem, a także osobą, przeciw której skierowana jest skarga w rozumieniu art. 15 w związku z art. 4 pkt 7 RODO.
16. Sąd odsyłający uważa, że gdyby istotnie tak było, powstaje pytanie, czy całkowite wyłączenie prawa dostępu do akt i do zbiorów danych organu nadzorczego takie jak to przewidziane w art. 20 ust. 2 BayDSG spełnia przesłanki, od których uzależnione zostało wykonanie uprawnienia do wprowadzenia ograniczeń, przyznane w art. 23 ust. 1 RODO.
17. W tych okolicznościach Bayerisches Verwaltungsgericht Ansbach (bawarski sąd administracyjny w Ansbach) postanowił zawiesić postępowanie i przedstawić Trybunałowi następujące pytania prejudycjalne:
„1. Czy wykładni art. 15 [RODO] w związku z jego art. 4 pkt 7 należy dokonywać w ten sposób, że organ nadzorczy w rozumieniu art. 4 pkt 21 tego rozporządzenia, który podejmuje czynności w ramach postępowania w przedmiocie rozpatrzenia skargi wniesionej przez osobę, której dane dotyczą, na podstawie art. 77 tego rozporządzenia, jest jednocześnie »administratorem« w rozumieniu art. 15 wspomnianego rozporządzenia w związku z jego art. 4 pkt 7, a tym samym na podstawie jego art. 15 jest zobowiązany wobec osoby, której dane dotyczą, do udostępnienia informacji?
2. Na wypadek udzielenia na pytanie pierwsze odpowiedzi twierdzącej – czy wykładni prawa Unii, w szczególności art. 23 [RODO], należy dokonywać w ten sposób, że stoi on na przeszkodzie przepisowi krajowemu – takiemu jak sporny w postępowaniu głównym art. 20 ust. 2 [DSG] – zgodnie z którym prawo dostępu i wglądu w odniesieniu do akt i zbiorów danych organów nadzorczych w rozumieniu art. 4 pkt 21 [RODO] w ogóle nie przysługuje?”.
IV. Postępowanie przed Trybunałem
18. Postanowienie odsyłające z dnia 19 lutego 2025 r. wpłynęło do sekretariatu Trybunału w dniu 17 marca 2025 r.
19. Landesamt, rządy bułgarski i łotewski oraz Komisja Europejska złożyli uwagi na piśmie w terminie określonym w art. 23 statutu Trybunału Sprawiedliwości Unii Europejskiej.
20. Podczas rozprawy w dniu 22 stycznia 2026 r. pełnomocnicy procesowi J. Lindenberga, Landesamt, rządu bułgarskiego i Komisji przedstawili uwagi.
V. Analiza prawna
A. Uwagi wstępne
21. Niniejsza sprawa dotyczy zasadniczej kwestii, jaką jest status prawny organów nadzorczych w kontekście praw przyznanych przez RODO, a w szczególności prawa dostępu gwarantowanego na mocy art. 15 tego rozporządzenia. Chodzi o ustalenie, czy w sytuacji, gdy organ nadzorczy prowadzi postępowanie w przedmiocie skargi wniesionej na podstawie art. 77 RODO, organ ten można zakwalifikować jako „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia w odniesieniu do przetwarzanych w tym kontekście danych osobowych. Kwalifikacja ta ma decydujące znaczenie, ponieważ determinuje stosowanie przepisów dotyczących obowiązków administratora w zakresie udzielenia dostępu do danych, oraz w szerszym ujęciu, wymaga refleksji nad zagadnieniem równowagi między ochroną praw jednostki a cechami właściwymi dla wykonywania zadań nadzorczych, które opierają się na niezależności decyzyjnej, poufności dochodzenia i efektywności uprawnień w zakresie postępowania.
22. Gdyby Trybunał przyjął, że organ nadzorczy zasadniczo może być obowiązany do przestrzegania art. 15 RODO, powstałoby drugie pytanie, natury normatywnej, dotyczące zgodności uogólnionego i bezwzględnego wyłączenia prawa dostępu do akt administracyjnych z prawem Unii. Taką regulację krajową należy analizować w świetle wymogów określonych w art. 23 RODO, który ściśle reguluje dopuszczalne ograniczenia praw gwarantowanych tym rozporządzeniem, uzależniając te ograniczenia od spełnienia kumulatywnych przesłanek dotyczących podstawy prawnej, niezbędności i proporcjonalności oraz ochrony celów interesu ogólnego uznanych przez Unię. Analiza ta wymaga również uwzględnienia gwarancji wynikających z prawa pierwotnego, zwłaszcza tych dotyczących przestrzegania praw podstawowych i skuteczności środków ochrony prawnej.
23. Analiza prawna będzie zatem złożona z dwóch następujących po sobie etapów. Po pierwsze, trzeba będzie ustalić, czy i w jakim zakresie organ nadzorczy, prowadzący postępowanie skargowe, można utożsamić z „administratorem”, w którym to przypadku spoczywałyby na nim ustanowione w RODO obowiązki w zakresie udzielenia dostępu(3). Po drugie, wyłącznie w przypadku odpowiedzi twierdzącej, trzeba będzie ocenić, czy uogólnione, niezróżnicowane i prewencyjne wyłączenie prawa dostępu do akt organów nadzorczych można pogodzić ze zharmonizowanym systemem RODO w świetle wymogów przejrzystości administracyjnej, ochrony danych, niezależności instytucjonalnej i skuteczności mechanizmów kontrolnych, które to wymogi należy wyważyć w taki sposób, aby żaden z nich nie został pozbawiony swojej treści(4).
B. W przedmiocie pytania pierwszego
1. W przedmiocie kwalifikacji organu nadzorczego jako „administratora” w rozumieniu art. 4 pkt 7 RODO
24. Co się tyczy ewentualnej kwalifikacji organu nadzorczego jako „administratora”, będącej przedmiotem pierwszego pytania prejudycjalnego, należy na wstępie przypomnieć definicję legalną tego pojęcia, sformułowaną w art. 4 pkt 7 RODO. Zgodnie z tym przepisem „administrator” oznacza „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Trzeba w tym względzie przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału wspomniane pojęcie podlega szerokiej wykładni(5).
25. W pierwszej kolejności należy stwierdzić, że ta definicja legalna odnosi się wyraźnie do „organów publicznych”. Samo brzmienie art. 4 pkt 7 RODO nie wyklucza zatem w żadnym razie możliwości zakwalifikowania organu nadzorczego jako „administratora”. Prawodawca Unii w zamierzony sposób zaniechał wprowadzania rozróżnienia między podmiotami prywatnymi a podmiotami publicznymi, o czym świadczy szereg motywów, które odnoszą się wprost do przetwarzania danych osobowych przez organy publiczne. Poza tym okoliczność, że organ nadzorczy zdefiniowano w art. 4 pkt 21 RODO jako niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51, nie może ze względu na szerokie i funkcjonalne znaczenie, jakie w tym rozporządzeniu nadano pojęciu „administratora”(6), być interpretowana jako przeszkoda w ewentualnym zakwalifikowaniu organu w taki sposób.
26. W drugiej kolejności należy wskazać, że gdy taki organ nadzorczy wykonuje powierzone mu na podstawie art. 77 RODO zadania – w szczególności gdy prowadzi postępowania w przedmiocie skarg dotyczących ewentualnych naruszeń zasad ochrony danych osobowych – sam musi przetwarzać dane osobowe. Organ nie ogranicza się do przyjęcia danych – porządkuje je, analizuje, przechowuje i wykorzystuje w ramach samodzielnego wykonywania uprawnień dochodzeniowych i naprawczych przyznanych mu przez to rozporządzenie. Moim zdaniem takie operacje są objęte zakresem stosowania art. 4 pkt 2 RODO, który nadaje pojęciu „przetwarzania” szerokie rozumienie, oderwane od jakiegokolwiek szczególnego kontekstu i obejmujące wszystkie operacje wykonywane na danych.
27. Aby uzasadnić tę analizę przedstawię poniżej, po pierwsze, istotne cechy postępowania skargowego przewidzianego w art. 77 RODO, a po drugie, kategorie danych osobowych przetwarzanych zazwyczaj w praktyce przez organy nadzorcze w tym kontekście. Zaprezentowanie tych elementów pozwoli na lepsze zrozumienie charakteru i zadań, jakie wykonują organy nadzorcze, gdy prowadzą takie postępowanie.
a) Istotne cechy „postępowania skargowego” przewidzianego w art. 77 RODO
28. Postępowanie skargowe(7) ustanowione w art. 77 RODO jest głównym mechanizmem unijnego systemu mającego na celu zapewnienie ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Procedura ta służy do operacyjnego wdrożenia zasady ustanowionej w art. 8 ust. 3 Karty, zgodnie z którą przestrzeganie zasad dotyczących ochrony danych osobowych podlega kontroli niezależnego organu. Trybunał wielokrotnie wskazywał, że ten mechanizm kontrolny nie ma charakteru czysto formalnego, lecz że ma on na celu zapewnienie skutecznej i rzeczywistej ochrony praw podstawowych(8).
29. Artykuł 77 ust. 1 RODO przyznaje każdej osobie, której dane dotyczą, prawo wniesienia skargi do organu nadzorczego, bez szczególnych wymogów formalnych i bez ryzyka poniesienia kosztów, w szczególności w państwie członkowskim jej zwykłego pobytu, miejsca pracy lub miejsca popełnienia zarzucanego naruszenia. Ponieważ prawo to stanowi istotny element ustanowionego w tym rozporządzeniu systemu ochrony, nie można interpretować ani stosować go w sposób, który sprawiłby, że korzystanie z tego prawa stałoby się praktycznie niemożliwe lub nadmiernie utrudnione(9).
30. Należy podkreślić, że wniesienie skargi nie daje organowi nadzorczemu jedynie ogólnego uprawnienia do jej zbadania, lecz nakłada na ten organ konkretny obowiązek przeprowadzenia postępowania w sprawie w sposób pełny, staranny i bezstronny. Z orzecznictwa Trybunału wynika bowiem, że zgodnie z art. 57 ust. 1 lit. f) RODO każdy organ nadzorczy jest obowiązany rozpatrywać skargi wnoszone na jego terytorium, analizować w niezbędnym zakresie ich charakter i rozpatrywać je z wszelką wymaganą starannością(10).
31. Wynika z tego, że organ nadzorczy nie może odmówić rozpatrzenia skargi ze względów dotyczących wyłącznie ekonomiki działania administracji lub celowościowych. Organ nie może również ograniczyć swojego udziału do nieformalnej mediacji lub do pełnienia funkcji zwykłego koordynatora. Przeciwnie, organ ten ma obowiązek zbadania zarzucanego naruszenia pod względem faktycznym i prawnym oraz w stosownym wypadku, skorzystania z uprawnień naprawczych, które daje mu prawo Unii(11).
32. Według orzecznictwa uprawnienia wyszczególnione w art. 58 RODO należy interpretować w świetle ich celu, jakim jest zagwarantowanie pełnej skuteczności tego rozporządzenia. Trybunał podkreślił, że w przypadku stwierdzonego naruszenia organy nadzorcze mają obowiązek zastosowania „odpowiednich i niezbędnych” środków naprawczych i użycia wszystkich instrumentów, jakimi dysponują. Wymóg ten obejmuje działania represyjne, ponieważ brak działania może zagrozić skuteczności wspomnianego rozporządzenia(12).
33. Artykuł 77 ust. 2 RODO wymaga ponadto poinformowania skarżącego o postępach i efektach postępowania. Obowiązek ten jest spełniony wyłącznie wtedy, gdy udzielona odpowiedź pozwala ustalić, że skarga została istotnie przeanalizowana pod względem faktycznym i prawnym oraz gdy odpowiedź ta zawiera elementy niezbędne do przeprowadzenia skutecznej kontroli sądowej. Postępowanie nie może być zatem ograniczone do czysto formalnej decyzji, lecz powinno doprowadzić do szczegółowej, należycie uzasadnionej oceny, która może podlegać badaniu przez sąd rozpoznający sprawę na podstawie art. 78 ust. 1 RODO. Każda decyzja organu nadzorczego w przedmiocie skargi podlega bowiem pełnej kontroli sądowej(13).
34. Rozpatrywane jako całość postępowanie przewidziane w art. 77 RODO nie jest zwykłą czynnością administracyjną, lecz autonomicznym środkiem prawnym ustanowionym w prawie Unii, przyczyniającym się jednocześnie do ochrony praw jednostki oraz do obiektywnej ochrony porządku prawnego w dziedzinie ochrony danych osobowych. Trybunał uznaje, że organy nadzorcze mają status instytucjonalnych gwarantów w strukturze systemu ochrony praw podstawowych, przy czym zadania tych organów nie ograniczają się do biernego przyjmowania skarg, lecz obejmują aktywne stosowanie zasad ochrony danych osobowych.
b) „Przetwarzanie” danych osobowych przez organ nadzorczy w ramach postępowania skargowego
35. Po przypomnieniu istotnych cech postępowania skargowego, należy przeanalizować, w jakiej mierze działalność organu nadzorczego stanowi „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO. Pojęcie to zdefiniowano jako „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.
36. Należy w tym względzie podkreślić, że organ nadzorczy w ramach postępowania opartego na art. 77 RODO nie ogranicza się do przyjmowania danych. Przeciwnie, organ ten przeprowadza szereg autonomicznych i uporządkowanych operacji, realizowanych w celu wykonania określonych prawem zadań w zakresie badania, dochodzenia i nadzoru. Przetwarzanie rozpoczyna się bowiem od chwili złożenia skargi, która zawiera dane dotyczące skarżącego oraz, w zależności od przypadku, administratora, którego dotyczy sprawa, lub możliwych do zidentyfikowania osób trzecich. Informacje te – które wchodzą w zakres pojęcia „danych osobowych” w rozumieniu art. 4 pkt 1 RODO – są utrwalane, włączane do akt i przechowywane w wewnętrznych systemach organu nadzorczego, co już implikuje wykonywanie czynności technicznych i organizacyjnych, które składają się na „przetwarzanie”(14).
37. Czynności te należą do zadań, które art. 57 ust. 1 RODO powierza organom nadzorczym, przedstawionych w niniejszej opinii. Wśród tych zadań znajduje się w szczególności rozpatrywanie skarg [lit. f)] oraz wykonywanie uprawnień związanych z prowadzeniem postępowań i wydawaniem decyzji [lit. h)]. Wykonując te zadania organy działają w ramach gwarantowanej prawem Unii autonomii funkcjonalnej i decyzyjnej, która znajduje konkretny wyraz w sposobie rozpatrywania skarg i wykonywania wynikających z tego uprawnień nadzorczych.
38. W toku postępowania organ nadzorczy przeprowadza analizę przedstawionych informacji pod względem faktycznym i prawnym. Zbiera on, organizuje, analizuje i ocenia dane w świetle mających zastosowanie ram normatywnych. Inne operacje przetwarzania mają miejsce również w sytuacji, gdy organ ten zażąda uzupełniających informacji od administratora, przeciw któremu skierowana jest skarga i którego dotyczy postępowanie, lub gdy przegląda on dodatkowe dokumenty, które także mogą zawierać dane osobowe. Informacje te są następnie przyjmowane, utrwalane, analizowane i przechowywane przez organ nadzorczy. Także konfrontowanie tych informacji z ewentualnymi wcześniejszymi aktami lub informacjami może być uznane za czynność „przetwarzania”.
39. Przetwarzane w ten sposób dane osobowe są wykorzystywane do celów samodzielnego wykonywania przysługujących organowi nadzorczemu uprawnień w zakresie prowadzenia postępowań i wydawania decyzji(15). Służą one do ustalenia okoliczności faktycznych, ich kwalifikacji prawnej, oceny możliwych środków naprawczych oraz, zależnie od przypadku, do przyjęcia wiążących decyzji lub nakazów. Są one również wykorzystywane w związku z kierowanymi do stron zawiadomieniami proceduralnymi, w kontekście informowania skarżącego lub administratora o wyniku postępowania.
40. Z powyższych elementów wynika, że organu nadzorczego nie można postrzegać jedynie jako „odbiorcy” danych osobowych w rozumieniu art. 4 pkt 9 RODO. Skoro decyduje on samodzielnie o zasadach zbierania, analizowania, organizowania i wykorzystania tych danych do celów wykonywania powierzonych mu na mocy prawa zadań, działa on jako podmiot, który „przetwarza” dane w pełnym znaczeniu tego terminu wynikającym z art. 4 pkt 2 RODO. Ten aspekt wymaga pogłębionej analizy w kolejnej sekcji.
2. W przedmiocie przysługującego organowi nadzorczemu uprawnienia do „ustalania celów i sposobów przetwarzania”
41. Aby można było zakwalifikować organ nadzorczy jako „administratora” w rozumieniu art. 4 pkt 7 RODO, powinien on także być uprawniony do ustalania celów i sposobów przetwarzania danych osobowych.
42. Jak wcześniej wskazałem, rola organu nadzorczego w ramach postępowania skargowego na podstawie art. 77 RODO nie ogranicza się do zwykłego, biernego przyjmowania informacji. W rzeczywistości organ ten ustala cel przetwarzania, ponieważ decyduje, że dane zostaną wykorzystane do badania ewentualnego naruszenia zasad ochrony danych osobowych, ustalenia okoliczności faktycznych oraz, zależnie od przypadku, do przygotowania i przyjęcia środków nadzorczych. To ustalenie celu wynika nie tylko z założeń prawnych, lecz wymaga również samodzielnej konkretyzacji przez organ, stosownie dla każdego przypadku, w szczególności jeśli chodzi o zakres nadzoru, dokładny przedmiot postępowania i kwalifikację prawną podniesionych zarzutów(16).
43. Organ nadzorczy decyduje również samodzielnie o istotnych kwestiach dotyczących sposobów przetwarzania. Określa on, jakie dane osobowe należy zebrać, w jakiej postaci je utrwalać, porządkować i przechowywać, według jakich kryteriów tworzyć akta, organizować archiwa cyfrowe lub w jaki sposób katalogować dowody, oraz jakie procedury techniczne lub organizacyjne należy zastosować do analizy, dalszego przetwarzania lub wewnętrznego udostępniania danych. Organ ten decyduje także o tym, czy należy zażądać informacji od strony, przeciwko której toczy się postępowanie, jakich uzupełniających informacji zażądać, według jakich metod konfrontować je ze sobą oraz jak długo je przechowywać. To uprawnienie w zakresie selekcji i organizowania w oczywisty sposób wykracza poza zwykłe wykonywanie zadań pomocniczych lub podporządkowanych.
44. Rzeczywiście wykonywane operacje przetwarzania potwierdzają tę autonomię decyzyjną. Organ rejestruje skargę, zakłada swoje akta, przechowuje i organizuje dane, które otrzymał, oraz dane, które zebrał, ocenia je pod względem faktycznym i prawnym, żąda dodatkowych dokumentów, protokołuje czynności postępowania i wydaje na podstawie własnej analizy decyzje proceduralne i merytoryczne. Przetwarzanie służy zatem nie tylko do technicznego prowadzenia akt administracyjnych, lecz stanowi również podstawę samodzielnej działalności w zakresie dochodzenia, dokonywania oceny i wydawania decyzji, której prowadzenie zostało powierzone na podstawie prawa Unii wyłącznie organowi nadzorczemu.
45. Okoliczność, że owa działalność wpisuje się w wykonywanie określonych prawem zadań, nie powoduje utraty statusu „administratora”. Trybunał wielokrotnie przypominał, że organy publiczne można uznać za „administratorów”, jeżeli dysponują istotnym zakresem swobody co do konkretnych zasad przetwarzania(17). Należy w tym względzie wskazać, że Landesamt sam przyznał podczas rozprawy, że dysponuje zakresem uznania przy określaniu swoich zadań, w tym w ramach rozpatrywania skarg(18), co stanowi wyraz jego autonomii.
46. Skoro organ ten nie działa zgodnie z instrukcjami osoby trzeciej, lecz wykonuje własne prerogatywy, należy również wykluczyć jego kwalifikację jako „podmiotu przetwarzającego” wobec braku jakiegokolwiek podporządkowania, jeśli chodzi o ustalanie celów i sposobów przetwarzania. W szczególności organ nadzorczy niewątpliwie nie działa w imieniu administratora, którego dotyczy skarga, lecz wykonuje władzę publiczną powierzoną mu w celu zapewnienia przestrzegania prawa Unii.
47. O ile podstawę rozpatrywanego przetwarzania danych stanowi zasadniczo art. 6 ust. 1 lit. e) RODO w związku z art. 57 ust. 1 lit. f) i h) tego rozporządzenia, o tyle istnienie podstawy prawnej zapewnia wyłącznie zgodność przetwarzania z prawem, natomiast nie wyklucza statusu „administratora”. Przeciwnie, okoliczność, że przepisy powierzają organowi wykonywanie zadań nadzorczych, stanowi potwierdzenie, iż organ ten przetwarza dane w ramach wykonywania własnych obowiązków prawnych i według zasad, które sam określa. Jako „administrator” zasadniczo podlega on cały czas ogólnym obowiązkom wynikającym z RODO, w szczególności zasadom sformułowanym w art. 5 oraz powinien respektować prawa osób, których dane dotyczą, wyszczególnione w rozdziale III tego rozporządzenia, o ile prawa te nie zostały skutecznie ograniczone zgodnie z art. 23 RODO przez dostatecznie jasny i proporcjonalny przepis prawa.
48. Niezależność organów nadzorczych zapisana w art. 52 RODO i potwierdzona w motywie 117 wymaga, aby organy te miały status „administratorów” w odniesieniu do operacji na danych osobowych przeprowadzanych przez nie w ramach pełnienia ich zadań wyznaczonych przepisami prawa. Sam fakt samodzielnego ustalania celów i sposobów określonego przetwarzania w połączeniu z wynikającą z tego odpowiedzialnością pozwala im wykonywać ich uprawnienia nadzorcze i naprawcze w sposób w pełni niezależny od nadzorowanych podmiotów. Uznanie, że w ramach rozpatrywania skarg organy te jedynie wykonują zadania określone przez podmioty trzecie, zagroziłoby ich autonomii instytucjonalnej, postawiłoby je w stosunku zależności względem badanych administratorów i pozbawiłoby treści przewidziany w prawie Unii wymóg odpowiedzialności. Skoro zatem organ nadzorczy ponosi we własnym imieniu odpowiedzialność za przetwarzanie danych osobowych w toku postępowania skargowego, to wiążą go w pełni ustanowione w RODO prawa osób, których dane dotyczą(19).
49. Wreszcie, gdyby organ nadzorczy w ramach rozpatrywania skarg nie posiadał statusu „administratora”, osoba, której dane dotyczą byłaby w znacznym zakresie pozbawiona ochrony, jeśli chodzi o główny aspekt przetwarzania jej danych. Przewidziane w art. 12–22 RODO prawa osób, których dane dotyczą, w szczególności prawo dostępu przewidziane w art. 15, mogą bowiem być wykonywane wyłącznie w stosunku do administratora. Bez tej kwalifikacji osoba, której dane dotyczą, nie byłaby w stanie dowiedzieć się, jakie dane są zbierane i przetwarzane przez organ w ramach rozpatrywania skargi, oraz nie mogłaby żądać ich sprostowania, usunięcia lub ograniczenia ich przetwarzania. Przetwarzanie danych przez organ nie podlegałoby zatem jakimkolwiek wymogom przejrzystości i odpowiedzialności, mimo że to właśnie ów organ odpowiada za zapewnienie ochrony praw osób, których dane dotyczą. Brak kwalifikacji „administratora” skutkowałby zatem powstaniem strukturalnej luki w ochronie, pozbawiając osobę, której dane dotyczą, w jej relacji z organem nadzorczym podstawowych gwarancji ustanowionych w RODO(20).
50. Wynika z tego, że organ nadzorczy, w ramach rozpatrywania skarg wnoszonych na podstawie art. 77 RODO, decyduje o celach i sposobach przetwarzania danych i nie ogranicza się do przyjmowania lub do administrowania danymi określonymi przez podmiot trzeci. Organ ten działa jako niezależny podmiot, który zbiera, organizuje, analizuje i wykorzystuje dane osobowe stanowiące podstawę decyzji wydawanych w ramach wykonywania władzy publicznej. Należy zatem zakwalifikować go jako „administratora” w rozumieniu szerokiej definicji sformułowanej w art. 4 pkt 7 RODO(21).
51. Dla uzupełnienia należy wskazać, że okoliczność, iż prawodawca Unii nie przewidział wprost sytuacji, w której organ nadzorczy, w ramach postępowania skargowego, działa jednocześnie jako „administrator” w rozumieniu art. 4 pkt 7 RODO, nie stanowi istotnego argumentu mogącego podważyć taką kwalifikację. Przeciwnie, rozstrzygającym elementem jest kwestia, czy organ ten spełnia materialnoprawne przesłanki przewidziane w tym przepisie. Otóż jak wynika z powyższej analizy, w niniejszym przypadku niewątpliwie tak jest.
52. W tym kontekście nie zasługuje także na uwzględnienie podniesiony przez Landesamt argument, zgodnie z którym niektóre przepisy RODO bezwzględnie wymagają ścisłego rozróżnienia między organem nadzorczym z jednej strony, a „administratorem” z drugiej. Przepisy te odnoszą się wyłącznie do typowej sytuacji rozważanej przez prawodawcę Unii, gdy te dwie role nie nakładają się na siebie. Nie wykluczają one jednakże, że organ nadzorczy w pewnych okolicznościach – takich jak rozpatrywane w postępowaniu głównym – może jednocześnie spełniać przesłanki wymagane, aby zakwalifikować go jako „administratora”.
53. Ponieważ niektóre przepisy RODO, w szczególności art. 31 i 36, przewidują „współpracę” lub „konsultacje” między „administratorem” a organem nadzorczym, ewentualny konflikt, jaki może powstać w wyniku nałożenia się tych ról, można rozstrzygnąć w drodze wykładni celowościowej tego rozporządzenia. Wykładnia taka wymaga, aby wewnętrzne procedury organu nadzorczego były zorganizowane i koordynowane w taki sposób, aby zagwarantować skuteczne osiągnięcie celów, jakim służą dane przepisy.
3. W przedmiocie przysługiwania skarżącemu prawa dostępu do danych opartego na art. 15 RODO
54. Jak wskazałem w niniejszej opinii, zakwalifikowanie organu nadzorczego jako „administratora” powoduje, że ma on obowiązek zapewnienia poszanowania praw przyznanych w rozdziale III RODO osobom, których dane dotyczą. Wśród tych praw znajduje się w szczególności prawo dostępu ustanowione w art. 15 tego rozporządzenia.
55. W ramach postępowania zainicjowanego na podstawie art. 77 RODO skarżący co do zasady ma również status „osoby, której dane dotyczą” w rozumieniu tego rozporządzenia. Może on z tego tytułu żądać od organu nadzorczego potwierdzenia, czy jego dane osobowe są przetwarzane. W przypadku odpowiedzi twierdzącej prawo dostępu obejmuje również uzyskanie szeregu informacji wyszczególnionych w wyczerpujący sposób w art. 15 ust. 1 lit. a)-h) RODO, wśród których znajdują się między innymi cele przetwarzania, kategorie odnośnych danych osobowych, informacje o odbiorcach lub kategoriach odbiorców, okres przechowywania oraz informacja dotycząca praw przysługujących osobie, której dane dotyczą.
a) Prawo do uzyskania „kopii” na podstawie art. 15 ust. 3 RODO
56. Prawo dostępu obejmuje między innymi prawo osoby, której dane dotyczą, do uzyskania kopii danych na podstawie art. 15 ust. 3 RODO. Przepis ten nakłada na administratora obowiązek przekazania zainteresowanej osobie kopii jej danych osobowych w przystępnej formie, umożliwiającej dokładne zrozumienie zakresu i zasad ich przetwarzania. Celem tego prawa jest umożliwienie osobie, której dane dotyczą, sprawdzenia, jakie dane jej dotyczące są przetwarzane, zidentyfikowania ich źródła, zrozumienia celów, w jakich są przetwarzane oraz ustalenia ewentualnych odbiorców tych danych(22).
57. Trybunał orzekł, że kopia powinna zostać dostarczona na zasadach umożliwiających rzeczywistą kontrolę zgodności z prawem przetwarzania oraz skuteczne wykonywanie pozostałych praw ustanowionych w RODO(23). Termin „kopia” odnosi się nie do dokumentu jako takiego, ale do danych osobowych, które on zawiera; istotne jest, aby dane te zostały przedstawione w sposób pełny, jasny i umożliwiający odtworzenie ich znaczenia. Aby zapewnić skuteczność tego prawa niezbędne może się okazać odtworzenie fragmentów dokumentów, a nawet całych dokumentów lub wyciągów z baz danych, które zawierają między innymi przetwarzane dane osobowe(24).
58. Zakres tego prawa pozostaje jednakże ściśle ograniczony jego funkcją. Odnosi się ono wyłącznie do „danych osobowych” osoby, której dane dotyczą, i obejmuje wszelkie informacje o niej lub pozwalające ją zidentyfikować w rozumieniu art. 4 pkt 1 RODO. W sytuacji gdy do pełnego zrozumienia tych danych niezbędny jest kontekst, w którym występują, obowiązek przekazania informacji może obejmować przekazanie odpowiedniego fragmentu lub przedstawienie w kontekście, w zakresie wymaganym do spełnienia wymogów przejrzystości. Prawo do otrzymania kopii stanowi zatem główny element ustanowionego w RODO mechanizmu samostanowienia informacyjnego, poprzez zagwarantowanie osobie, której dane dotyczą, skutecznej kontroli przetwarzania jej danych oraz umożliwienie tej osobie weryfikacji zgodności tego przetwarzania z prawem Unii.
b) Artykuł 15 RODO nie przewiduje „ogólnego prawa dostępu do akt administracyjnych”
59. Tego prawa dostępu ustanowionego w art. 15 RODO, charakteryzującego system ochrony danych osobowych, nie można jednakże utożsamiać z ogólnym prawem dostępu do akt administracyjnych ani z mającym ogólny zasięg wymogiem przejrzystości administracyjnej. Przepis ten ma wyłącznie na celu zapewnienie przejrzystości przetwarzania, aby umożliwić osobie, której dane dotyczą, kontrolę jego zgodności z prawem oraz skuteczne wykonywanie wynikających z tego praw, w szczególności prawa do sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania lub sprzeciwu(25). Nie ustanawia on natomiast ani ogólnego prawa dostępu do informacji posiadanych przez organ administracji, ani prawa wglądu do wewnętrznych dokumentów, ani a fortiori prawa do ujawnienia informacji dotyczących wewnętrznych procedur obradowania lub podejmowania decyzji przez organ publiczny. Staje się to oczywiste, gdy porówna się prawo dostępu przewidziane w art. 15 RODO z innymi uregulowaniami dotyczącymi prawa dostępu w prawie Unii lub prawach krajowych.
60. Po pierwsze, art. 15 i art. 77 ust. 2 RODO mają odmienne cele, a zatem przepisy te należy ściśle rozróżniać. Artykuł 77 ust. 2 ustanawia prawo proceduralne do uzyskania informacji o postępach i efektach rozpatrywania skargi, lecz nie daje prawa dostępu do danych lub dokumentów, opartego na regulacji dotyczącej ochrony danych osobowych. O ile zatem art. 15 ma na celu zapewnienie jednostce kontroli nad jej własnymi danymi osobowymi, o tyle art. 77 ust. 2 jest związany z wymogiem przejrzystości proceduralnej w ramach administracyjnego rozpatrywania skarg. Przepisy te są autonomiczne, jeśli chodzi o ich przedmiot i zakres, zatem nie można ich ze sobą mylić lub stosować zamiennie. Chodzi o niezależne instytucje prawne, oparte na innej logice normatywnej, mające własne przesłanki stosowania, które to instytucje nie pokrywają się ani wzajemnie się nie zastępują.
61. Po drugie, art. 15 RODO ustanawia wyłącznie prawo dostępu do danych osobowych, nie zaś prawo dostępu do akt administracyjnych ani prawo wglądu do dokumentów znajdujących się w posiadaniu organu(26). Przedmiotowy zakres stosowania tego prawa jest ograniczony do udostępnienia przetwarzanych danych osobowych i nie obejmuje ani przejrzystości administracyjnej, ani dostępu do wewnętrznych procesów decyzyjnych. Prawo dostępu do akt pozostaje zatem – z wyjątkiem sektorowych przepisów prawa Unii – w zakresie kompetencji normatywnych państw członkowskich, gdzie zazwyczaj jest regulowane ogólnymi przepisami dotyczącymi postępowania administracyjnego, szczególnymi przepisami proceduralnymi, ustawami o wolności informacji i przejrzystości, czy też odrębnymi przepisami dotyczącymi zasad wykonywania zawodu lub przepisami sektorowymi(27).
62. Wynika z tego, że art. 15 RODO nie ustanawia żadnego prawa do otrzymania lub wglądu do akt administracyjnych jako takiego. W szczególności zakres prawa dostępu nie obejmuje wewnętrznych analiz prawnych, opinii, adnotacji, notatek służbowych, dokumentów przygotowawczych, ani ogólnie materiałów należących do wewnętrznego procesu opracowywania lub uzasadniania decyzji administracyjnej. Gdy posiadany przez organ dokument zawiera dane osobowe skarżącego, obowiązek udzielenia dostępu jest ograniczony do ujawnienia tych danych jako takich i nie obejmuje przekazania lub powielenia w całości materialnego nośnika, na którym są zapisane. Wreszcie, informacje, które nie pozwalają na bezpośrednią lub pośrednią identyfikację osoby, której dane dotyczą, ze swej natury nie są objęte przedmiotowym zakresem stosowania art. 15 RODO.
63. Ponadto należy przypomnieć, że przewidziane w art. 15 RODO prawo dostępu może podlegać pewnym ograniczeniom na podstawie art. 23 ust. 1 tego rozporządzenia, jeżeli spełnione są przesłanki określone w tym przepisie. Ten aspekt jest przedmiotem drugiego pytania prejudycjalnego, które przeanalizuję w następnej sekcji.
4. Wniosek częściowy
64. Mając na względzie powyższe rozważania, uważam, że należy udzielić następującej odpowiedzi na pytanie pierwsze: art. 15 RODO w związku z art. 4 pkt 7 tego rozporządzenia należy interpretować w ten sposób, iż organ nadzorczy w rozumieniu art. 4 pkt 21 tego rozporządzania, działający w ramach postępowania skargowego na podstawie art. 77 wspomnianego rozporządzenia, posiada równocześnie status „administratora” w rozumieniu tego samego rozporządzenia, a zatem ma obowiązek zapewnienia osobie, której dane dotyczą, prawa dostępu przewidzianego w art. 15 RODO.
C. W przedmiocie pytania drugiego
1. Ograniczenia prawa dostępu do danych osobowych wyszczególnione w art. 23 RODO
65. Poprzez pytanie drugie sąd odsyłający zmierza do wyjaśnienia, jaka relacja zachodzi między art. 23 RODO a przepisem krajowym, który tak jak art. 20 ust. 2 BayDSG całkowicie wyłącza prawo dostępu lub wglądu do akt organu nadzorczego w obszarze ochrony danych osobowych. Odpowiedź na to pytanie wymaga przeprowadzenia pogłębionej analizy struktury logicznej RODO wynikającej z jego brzmienia, jego celów i z odpowiednich motywów, a także zastosowania wypracowanych przez Trybunał zasad dotyczących dopuszczalnych ograniczeń praw osób, których dane dotyczą.
66. Artykuł 23 RODO stanowi, że akty prawne Unii lub państw członkowskich, którym podlega administrator, mogą ograniczyć między innymi prawo dostępu zagwarantowane na mocy art. 15 tego rozporządzenia, jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym zapewnieniu realizacji jednego ze zgodnych z prawem celów, wyszczególnionych w lit. a) - j) tego przepisu. Wykładni art. 23 ust. 1 RODO nie można jednak dokonywać w taki sposób, że przepis ten upoważnia prawodawcę krajowego do swobodnego zastępowania przepisów art. 12–22 wspomnianego rozporządzenia własnymi przepisami. Przeciwnie, przepis ten ustanawia zamknięty katalog klauzul upoważniających, które pozwalają prawodawcy krajowemu, z wyszczególnionych dokładnie powodów, na ustanowienie ograniczeń praw osób, których dane dotyczą, i obowiązków nałożonych na administratora na mocy tych artykułów(28).
67. Artykuł 23 RODO ustanawia zatem system odstępstw we wskazanych w nim dziedzinach, związanych głównie z wykonywaniem zadań publicznych i realizacją celów interesu ogólnego, mogących uzasadniać ograniczenie praw osób, których dane dotyczą, względem innych sektorów działalności. Należy w tym względzie pamiętać o motywie 4 zdanie pierwsze i drugie RODO, który wymaga wyważenia rozpatrywanych praw podstawowych oraz zapewnienia, że zamierzone ograniczenia są uzasadnione, niezbędne i proporcjonalne w świetle konkurencyjnych wobec siebie praw i interesów.
68. Z postanowienia odsyłającego wynika, że w uzasadnieniu bawarskiej ustawy wprawdzie wskazano wyraźnie na art. 23 RODO jako podstawę prawną art. 20 ust. 2 BayDSG, jednakże nie zawarto w nim odniesienia do któregoś z celów wyszczególnionych w tym przepisie. W uzasadnieniu tym ograniczono się do wskazania, że norma ta odzwierciedla szczególny wymóg dotyczący przeznaczenia informacji uzyskanych w ramach działań nadzorczych w dziedzinie ochrony danych osobowych. Sąd odsyłający wskazuje jednakże, iż zgodnie z uwagami przedstawionymi przez Landesamt w postępowaniu głównym przepis ten ma w rzeczywistości dwa zasadnicze cele: po pierwsze, zachowanie poufności danych osobowych osób trzecich, a po drugie, zagwarantowanie prawidłowego funkcjonowania i niezależności organu nadzorczego.
69. W myśl zasad regulujących ustanowiony na mocy art. 267 TFUE mechanizm współpracy między sądami Unii a sądami krajowymi – zgodnie z którymi wykładnia prawa krajowego należy do wyłącznej kompetencji sądów krajowych(29), zaś Trybunał musi polegać na udzielonych przez te sądy wyjaśnieniach co do treści i znaczenia tego prawa(30) – przyjmę te informacje za podstawę mojej analizy.
2. Zgodność z art. 23 RODO ogólnego wyłączenia prawa dostępu przewidzianego w art. 15 tego rozporządzenia
70. W dalszej części niniejszej opinii ustalę, czy ogólne wyłączenie prawa dostępu przewidzianego w art. 15 RODO może być uzasadnione wskazanymi wyżej celami. Przeanalizuję również, czy taka regulacja spełnia dodatkowe wymogi, jakie art. 23 RODO nakłada na wszelkie ograniczenia tego prawa.
a) Istnienie prawnie uzasadnionego celu
1) Ochrona poufności danych osobowych osób trzecich
71. Ochrona poufności danych osobowych osób trzecich stanowi uzasadniony prawnie cel w rozumieniu RODO, który co do zasady mógłby usprawiedliwiać ograniczenia praw przyznanych osobom, których dane dotyczą. Należy w tym względzie zauważyć, że jeśli chodzi o prawo dostępu przewidziane w art. 15 RODO, w motywie 63 tego rozporządzenia wskazano, iż „[p]rawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób”. Uwzględniono zatem okoliczność, że – jak wynika z motywu 4 wspomnianego rozporządzenia – prawo do ochrony danych osobowych nie jest prawem bezwzględnym, ponieważ należy je oceniać w świetle jego funkcji społecznej oraz dokonać jego wyważenia względem innych praw podstawowych(31).
72. Artykuł 23 ust. 1 lit. i) RODO odnosi się wprost do ochrony „praw i wolności innych osób”, co potwierdza też motyw 73 tego rozporządzenia. W konsekwencji, gdy sprawa dotyczy danych osobowych pracowników administracji lub osób prywatnych, prawodawca krajowy może zasadnie powoływać się na okoliczność, że ich ujawnienie stanowiłoby naruszenie dóbr osobistych oraz że istnieje potrzeba ochrony, którą trzeba wyważyć z przysługującym skarżącemu prawem dostępu.
2) Ochrona prawidłowego funkcjonowania i niezależności organów nadzorczych
73. Ochrona prawidłowego funkcjonowania i niezależności decyzyjnej organów nadzorczych również stanowi prawnie uzasadniony cel w rozumieniu art. 23 ust. 1 RODO. Prawodawca Unii nadał bowiem tym organom kluczową rolę w europejskim systemie ochrony danych, o czym świadczą, po pierwsze, art. 52 tego rozporządzenia, który gwarantuje im pełną niezależność, a po drugie, zakres uprawnień w zakresie prowadzonych postępowań i uprawnień naprawczych przewidzianych w art. 57 i 58 wspomnianego rozporządzenia(32). W związku z tym Trybunał wskazał w swoim orzecznictwie, że należy zapewnić prawidłowe funkcjonowanie tych organów, w szczególności poprzez zapobieganie wnoszeniu skarg, które są w sposób oczywisty nieuzasadnione lub nadmierne w rozumieniu art. 57 ust. 4 RODO(33).
74. Wobec tego, w świetle art. 23 ust. 1 lit. h) RODO, który pozwala wprowadzać ograniczenia, gdy jest to niezbędne do wypełniania funkcji „kontrolnych” i „inspekcyjnych”, związanych ze sprawowaniem władzy publicznej, co do zasady ograniczenie prawa dostępu może być uzasadnione. Poza tym, biorąc pod uwagę istniejące podobieństwa, należy również uwzględnić cel sformułowany w art. 23 ust. 1 lit. f) RODO, sprecyzowany w motywie 73, jakim jest zapewnienie niezależności władzy sądowniczej i prawidłowego przebiegu postępowań sądowych. Wprawdzie organy nadzorcze nie są organami wymiaru sprawiedliwości, jednakże jako organy państwowe, których zadaniem jest stosowanie prawa, odgrywają one zasadniczą rolę, jeśli chodzi o wykrywanie naruszeń prawa w dziedzinie ochrony danych osobowych oraz nakładanie kar. Wynika z tego, że w każdym razie można rozważyć stosowanie tego przepisu w drodze analogii.
3) Ochrona bezpieczeństwa publicznego
75. Dla wyczerpania analizy należy wskazać, że w postanowieniu odsyłającym wspomniano również o ochronie bezpieczeństwa publicznego w rozumieniu art. 23 ust. 1 lit. c) RODO jako ewentualnym motywie uzasadnienia, jednakże nie przedstawiono bardziej szczegółowych informacji na ten temat. Należy jednakże zgodzić się z oceną sądu odsyłającego i Komisji, zgodnie z którą powołanie tego motywu jawi się jako bezzasadne. W świetle przedstawionych przez sąd odsyłający okoliczności faktycznych sprawy w postępowaniu głównym, wydaje się oczywiste, że takie ograniczenie jest nierelewantne. W konsekwencji ten motyw uzasadnienia zostanie pominięty w dalszej części analizy.
b) Wymogi wynikające z ram regulacyjnych RODO
76. Z jednej strony należy stwierdzić, że regulacja krajowa taka jak art. 20 ust. 2 BayDSG uwzględnia należycie interes związany z poufnością danych osobowych osób trzecich, ponieważ ustanawia bezwzględny zakaz ujawniania takich danych. Poza tym nie można wykluczyć, że brak zaangażowania organów nadzorczych w rozpatrywanie wniosków o udzielenie dostępu może skutkować przekierowaniem personelu i sprzętu do innych obszarów działalności, mogącym w danym przypadku przełożyć się na wzrost efektywności.
77. Z drugiej strony takie okoliczności powodują powstanie wątpliwości co do ich zgodności z ramami normatywnymi ustanowionymi przez prawodawcę Unii przy przyjęciu RODO, w szczególności z ogólną strukturą logiczną tego rozporządzenia, której podstawą jest równowaga różnych interesów: przejrzystości przetwarzania danych, ochrony poufności, gdy jest wymagana, oraz skutecznej ochrony tych interesów przez organy nadzorcze. W związku z tym regulacja krajowa, która nie odzwierciedla odpowiednio równowagi tych interesów, nie spełnia wymogów z art. 23 ust. 1 RODO. To samo odnosi się do sytuacji, gdy w grę wchodzą inne środki, w mniejszym stopniu naruszające prawa podstawowe, lecz pozwalające osiągnąć zamierzone cele w równie skuteczny sposób(34).
78. Należy w tym względzie przypomnieć, że w rozumieniu RODO prawo dostępu przewidziane w art. 15 stanowi główny element zasady przejrzystości. Ta kwalifikacja wynika jasno z motywu 63 tego rozporządzenia, zgodnie z którym osoba, której dane dotyczą, powinna móc uzyskać „świadomość przetwarzania”, aby zapewniona była skuteczność praw przyznanych jej we wspomnianym rozporządzeniu. Trybunał wielokrotnie potwierdzał tę koncepcję, wskazując, że prawo dostępu zajmuje centralne miejsce w ogólnej logice systemu ustanowionego tym rozporządzeniem. W związku z tym przepis krajowy pozbawiający osobę, której dane dotyczą, tego prawa w sposób całkowity i niezróżnicowany, narusza samą istotę systemu ochrony ustanowionego przez prawodawcę Unii.
79. Wprawdzie RODO, w art. 23 zezwala na ograniczenia praw osób, których dane dotyczą, w tym prawa dostępu, ze względu na interes publiczny, jednakże wymaga jednocześnie, aby takie ograniczenia miały dostatecznie precyzyjną podstawę prawną. Ta podstawa prawna powinna w jasny sposób określać charakter, znaczenie i zakres ograniczenia oraz gwarancję niezbędne dla uniknięcia ryzyka nadużyć. W motywie 41 tego rozporządzenia wskazano w tym znaczeniu, że każde ograniczenie gwarantowanego wspomnianym rozporządzeniem prawa powinno być „jasne i precyzyjne” oraz „przewidywalne” dla osoby, której dane dotyczą, tak aby była ona w stanie określić zakres ograniczeń, jakim mogą podlegać jej prawa(35). Przepis krajowy, który przewiduje bezwzględne wyłączenie prawa dostępu, bez określenia swojego przedmiotowego lub podmiotowego zakresu stosowania, oraz bez ustanowienia środków ochrony, nie spełnia tak postawionych wymogów.
80. Ponadto motyw 60 RODO przypomina, że przejrzystość stanowi podstawową zasadę przetwarzania danych osobowych, która ma zastosowanie także do działalności organów publicznych. O ile ujawnianie pewnych informacji w ramach postępowania skargowego można czasowo wstrzymać, w szczególności aby nie powodować zagrożenia dla działalności w zakresie zapobiegania naruszeniom, wykrywania ich lub prowadzenia postępowań dotyczących naruszeń(36), zastrzeżenie takie powinno pozostać ściśle niezbędne i proporcjonalne oraz nie może prowadzić do całkowitego wykluczenia przejrzystości w odniesieniu do osoby, której dane dotyczą. Przepis krajowy, który wyklucza jakąkolwiek formę dostępu, bez rozróżnienia między danymi osobowymi a dokumentami wewnętrznymi, narusza zatem strukturę logiczną RODO.
81. Trybunał orzekł również w odniesieniu do art. 52 ust. 1 Karty, że dopuszczalne ograniczenia prawa podstawowego powinny być zgodne nie tylko z zasadami legalności i proporcjonalności, lecz również z zasadą wymagającą poszanowania „istoty” danego prawa(37). Motyw 4 RODO potwierdza, że ochrona danych osobowych stanowi prawo podstawowe zapisane w art. 8 Karty, które to prawo może być ograniczone wyłącznie z poszanowaniem zasady proporcjonalności. Tymczasem całkowite wyłączenie prawa dostępu prowadzi do pozbawienia osoby, której dane dotyczą, samej istoty tego prawa, uniemożliwiając nawet minimalną kontrolę przetwarzania, któremu podlegają jej dane.
82. W motywie 75 wskazano dodatkowo, że niedostateczna przejrzystość lub jej brak sama w sobie stanowi ryzyko, które może poważnie wpływać na prawa i wolności osób, których dane dotyczą. Regulacja całkowicie pozbawiająca osobę, której dane dotyczą, możliwości uzyskania wiedzy o przetwarzaniu jej danych, tworzy właśnie sytuację ryzyka, której prawodawca chciał zapobiec.
83. Należy dodać, że w motywie 129 zdefiniowano organy nadzorcze jako niezależne podmioty, których zadaniem jest zapewnienie stosowania rozporządzenia i ochrona praw osób, których dane dotyczą. Zadanie to oraz miejsce, jakie zajmują w mechanizmie nadzorczym ustanowionym w RODO, nie sprawia jednakże, iż są one zwolnione z ogółu obowiązków wynikających z tego rozporządzenia. Przeciwnie, RODO ustanawia spójne ramy prawne, w których organy nadzorcze, wykonując swoje prerogatywy, podlegają jednak nadal zasadom ustanowionym w tym rozporządzeniu, w szczególności tym dotyczącym praw osób, których dane dotyczą. Przepis krajowy całkowicie wyłączający jakiekolwiek ujawnienie danych osoby, której dane dotyczą, zagraża tej równowadze i narusza wymóg odpowiedzialności spoczywający na organach nadzorczych.
84. Bezwzględne wyłączenie prawa dostępu jawi się ponadto jako niezgodne z celem RODO, jakim jest, w myśl motywu 10, zapewnienie wysokiego stopnia ochrony osób fizycznych(38). Stopień ochrony, o którym mowa, opiera się zasadniczo na przejrzystości i możliwości kontrolowania przez osobę, której dane dotyczą, przetwarzania jej danych. Ustanowione w art. 15 prawo dostępu stanowi w tym względzie niezbędny element, ponieważ na nim opiera się skuteczne wykonywanie wszystkich pozostałych praw przysługujących osobom, których dane dotyczą(39). Uogólnione wyłączenie tego prawa prowadziłoby do uchylenia jakiejkolwiek indywidualnej kontroli niektórych przypadków przetwarzania, co zagrażałoby efektywnemu osiągnięciu zamierzonego przez prawodawcę Unii wysokiego stopnia ochrony.
85. Co się tyczy celu, jakim jest ochrona praw i wolności osób trzecich, powoływanego, aby uzasadnić ograniczenie prawa dostępu, należy przypomnieć, że Trybunał orzekł, iż w przypadku kolizji między prawem dostępu a prawami lub wolnościami innych osób, organy powinny wyważyć wchodzące w grę interesy. Z motywu 63 wynika wyraźnie, że to wyważenie w żadnym wypadku nie może uzasadniać całkowitego pozbawienia dostępu(40). Odpowiednie zasady takie jak częściowe ujawnienie, ukrycie lub anonimizacja danych, ochrona tożsamości osób zgłaszających, zróżnicowane przetwarzanie zależnie od kategorii dokumentów lub ujawnienie uporządkowanych, zagregowanych informacji, pozwalają pogodzić wchodzące w grę interesy bez całkowitego wyłączenia prawa dostępu.
86. Jeśli chodzi o podnoszoną konieczność zapewnienia niezależnego i efektywnego wykonywania zadań organu nadzorczego, nie jest jasne, w jaki sposób przewidziane w art. 15 RODO prawo dostępu mogłoby zagrozić temu celowi. Należy zgodzić się z oceną sądu odsyłającego, zgodnie z którą niezależność organów nadzorczych w żadnym razie nie oznacza, że zgodność z prawem przetwarzania danych osobowych przez te organy powinna zostać wyłączona spod kontroli osoby, której dane dotyczą. Należy zatem wykluczyć podnoszone przez Landesamt ryzyko ewentualnego „wywierania wpływu”, któremu mógłby sprzyjać dostęp do informacji.
87. Poza tym, jak wskazałem w niniejszej opinii, art. 15 RODO nie ustanawia ogólnego prawa dostępu do akt(41), w związku z czym obciążenia administracyjne wynikające z tego przepisu powinny być ograniczone. Niezależnie od tego należy wskazać, że art. 12 ust. 5 rozporządzenia udostępnia organom nadzorczym odpowiednie narzędzie w celu przeciwstawienia się nieuzasadnionym lub nadmiernym wnioskom(42). Organy te są również uprawnione do podejmowania różnych środków zarządczych takich jak czasowe wstrzymanie udzielania informacji w toku postępowania, zakaz ujawniania pewnych dokumentów wewnętrznych, rozróżnienie poszczególnych rodzajów procedur, ujawnianie wyłącznie informacji dotyczących zakończonych już etapów postępowania lub wprowadzanie mechanizmów organizacyjnych gwarantujących, że wnioski o dostęp do danych nie będą zakłócały wewnętrznych procesów. Takie środki pozwalają zapewnić prawidłowe funkcjonowanie organów nadzorczych, a jednocześnie nie wyłączają w całości prawa dostępu przewidzianego w art. 15 RODO.
88. Należy również przypomnieć, że skuteczność organów nadzorczych zależy w decydującym stopniu od udostępnienia im niezbędnych środków, a mianowicie zasobów kadrowych, technicznych i finansowych, pomieszczeń i infrastruktury niezbędnych do skutecznego wypełniania ich zadań i wykonywania uprawnień(43). Artykuł 52 ust. 4 RODO nakazuje państwom członkowskim wyraźnie, aby zapewniły takie środki. W tej perspektywie kwestia funkcjonowania organów nadzorczych nie może sprowadzać się wyłącznie do liczby wniosków o udzielenie dostępu na podstawie art. 15 RODO. Niedostatek środków, jakimi dysponują organy, w żadnym wypadku nie może skutkować obniżeniem poziomu ochrony danych osobowych.
89. Z postanowienia odsyłającego wynika, że art. 20 ust. 2 BayDSG jest przepisem odosobnionym w niemieckim porządku prawnym, gdyż żaden inny kraj związkowy nie wprowadził porównywalnego wyłączenia prawa dostępu. Takie odosobnienie na płaszczyźnie normatywnej jest istotną wskazówką, że ograniczenia o takim zakresie nie można uznać za niezbędne ani proporcjonalne w rozumieniu art. 23 ust. 1 RODO. Skoro wszystkie inne organy nadzorcze wykonują swoje zadania bez potrzeby całkowitego pozbawienia praw osób, których dane dotyczą, trudno jest twierdzić, aby taki środek był niezbędny do prawidłowego funkcjonowania organu lub do ochrony praw osób trzecich. Regulacja specyficzna dla jedynego kraju związkowego, która ogranicza w wyraźnie bardziej dotkliwy sposób prawa gwarantowane przez RODO, niż regulacje przyjęte przez inne jednostki terytorium krajowego, nie wydaje się spełniać wynikających z prawa Unii wymogów spójności, niezbędności i proporcjonalności.
90. Należy zatem stwierdzić, że jeśli chodzi o obydwa powoływane cele – ochronę praw osób trzecich i zapewnienie prawidłowego wykonywania zadań przez organy nadzorcze – środki mniej ograniczające, bardziej zróżnicowane i zgodnie z prawem Unii umożliwiają osiągnięcie pożądanych rezultatów bez wyłączania istoty prawa dostępu, bez eliminowania wymaganej przejrzystości względem osoby, której dane dotyczą, oraz bez ograniczania możliwości kontrolowania zgodności z prawem przetwarzania danych.
91. Innym krytycznym aspektem jest okoliczność, że art. 20 ust. 2 BayDSG nie daje możliwości zidentyfikowania celu, do jakiego zmierzał prawodawca krajowy. Jak wynika z informacji udzielonych przez sąd odsyłający, w pracach przygotowawczych ograniczono się do wskazania art. 23 RODO jako podstawy prawnej, natomiast nie odniesiono się do któregokolwiek z celów wyszczególnionych w tym przepisie. Tymczasem art. 23 RODO wymaga, aby cel ograniczenia wynikał jasno z samego przepisu, co stanowi przesłankę niezbędną dla skutecznej kontroli poszanowania zasad niezbędności i proporcjonalności.
92. Tego wymogu jasności nie można spełnić przy pomocy uzasadnień ex post przedstawianych przez stronę postępowania prejudycjalnego toczącego się na podstawie art. 267 TFUE, w szczególności gdy właśnie ta strona korzysta z rozpatrywanego ograniczenia. Dopuszczenie takiej możliwości byłoby równoznaczne z zastąpieniem woli demokratycznie legitymowanego ustawodawcy opracowaną w ramach sporu konstrukcją argumentacyjną, co byłoby niezgodne z wymogami przewidywalności, przejrzystości normatywnej i pewności prawa, wynikającymi z art. 23 ust. 1 i 2 RODO.
93. W tych okolicznościach należy stwierdzić, że uogólnione i niezróżnicowane wyłączenie prawa dostępu takie jako to przewidziane w art. 20 ust. 2 BayDSG nie jest zgodne z wymogami art. 23 RODO, ponieważ nie zawiera ono żadnego z elementów wyraźnie wymaganych przez ust. 2 tego artykułu oraz nie jest zgodne ze strukturą logiczną ani celem tego rozporządzenia, które wynikają z jego odpowiednich motywów. Taki przepis jawi się jako nieproporcjonalny, niedostatecznie określony i zagrażający istocie prawa dostępu.
3. Wniosek częściowy
94. Z powyższych względów uważam, że art. 23 RODO należy interpretować w ten sposób, iż stoi on na przeszkodzie regulacji krajowej takiej jak art. 20 ust. 2 BayDSG, w zakresie, w jakim wyklucza ona, jako takie, istnienie prawa dostępu opartego na art. 15 tego rozporządzenia, przysługującego wobec organu nadzorczego.
VI. Wnioski
95. Mając na względzie powyższe rozważania, proponuję, aby Trybunał udzielił następującej odpowiedzi na pytania prejudycjalne przedstawione przez Bayerisches Verwaltungsgericht Ansbach (bawarski sąd administracyjny w Ansbach, Niemcy):
1) Artykuł 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) w związku z art. 4 pkt 7 tego rozporządzenia
należy interpretować w ten sposób, że:
organ nadzorczy w rozumieniu art. 4 pkt 21 tego rozporządzania, działający w ramach postępowania skargowego na podstawie art. 77 wspomnianego rozporządzenia, posiada równocześnie status „administratora” w rozumieniu tego samego rozporządzenia, a zatem ma obowiązek zapewnienia osobie, której dane dotyczą, prawa dostępu przewidzianego w art. 15 tego rozporządzenia 2016/679.
2) Artykuł 23 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
stoi on na przeszkodzie przepisowi krajowemu takiemu jak art. 20 ust. 2 bawarskiej ustawy o ochronie danych osobowych, który to przepis wyklucza, jako takie, istnienie prawa dostępu opartego na art. 15 tego rozporządzenia, przysługującego wobec bawarskiego organu ochrony danych.
1 Język oryginału: francuski.
2 Dz.U. 2016, L 119, s. 1.
3 Zobacz pkt 24 i nast. niniejszej opinii.
4 Zobacz pkt 65 i nast. niniejszej opinii.
5 Zobacz wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629, pkt 65 i 66).
6 Trybunał orzekł nawet, że osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, może być uznana za „administratora” (zob. wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17 [EU:C:2018:551, pkt 68]; z dnia 29 lipca 2019 r., Fashion ID, C‑40/17 [EU:C:2019:629, pkt 68]).
7 RODO nie definiuje wyraźnie pojęcia „skargi”, niemniej pierwszą wskazówkę można wyciągnąć z treści art. 77. Zgodnie z wytycznymi Europejskiej rady ochrony danych (EROD) skarga jest pismem wniesionym do organu nadzorczego przez określoną osobę fizyczną – lub przez podmiot spełniający przesłanki z art. 80 – która lub który uważa, że przetwarzanie danych osobowych tej osoby stanowi naruszenie RODO. EROD wyjaśnia, że pojęcie to nie jest ograniczone do naruszeń rozdziału III, lecz obejmuje szerzej wszelkie naruszenia rozporządzenia wynikające z przetwarzania danych osobowych osoby wnoszącej skargę (EROD, „Internal Document 6/2020 on preliminary steps to handle a complaint : admissibility and vetting of complaints”, 15 grudnia 2020 r., s. 3).
8 Zobacz wyroki: z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu) (C‑26/22 i C‑64/22, EU:C:2023:958, pkt 58); z dnia 26 września 2024 r., Land Hessen (Obowiązek działania organu ochrony danych) (C‑768/21, EU:C:2024:785, pkt 35), z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania) (C‑416/23, EU:C:2025:3, pkt 39).
9 Zobacz wyrok Trybunału EFTA z dnia 10 grudnia 2020 r., Adpublisher AG/J & K (sprawy połączone E-11/19 i E-12/19, pkt 45).
10 Zobacz wyroki: z dnia 6 października 2015 r., Schrems (C‑362/14, EU:C:2015:650, pkt 63); z dnia 16 lipca 2020 r., Facebook Ireland i Schrems (C‑311/18, EU:C:2020:559, pkt 107); z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu) (C‑26/22 i C‑64/22, EU:C:2023:958, pkt 56); z dnia 26 września 2024 r., Land Hessen (Obowiązek działania organu ochrony danych) (C‑768/21, EU:C:2024:785, pkt 32).
11 W tym kontekście należy przypomnieć opinię rzecznika generalnego P. Pikamäe w sprawach połączonych SCHUFA Holding (Zwolnienie z pozostałej części długu) (C‑26/22 i C‑64/22, EU:C:2023:222, pkt 42), w której to opinii wskazał on, że prawodawca Unii nie zamierzał uczynić z postępowania skargowego mechanizmu porównywalnego do zwykłej „petycji”. Przeciwnie, celem było stworzenie mechanizmu umożliwiającego skuteczną ochronę praw i interesów osób, które wnoszą skargi. W szczególności określone w art. 57 ust. 1 lit. f) RODO obowiązki organu nadzorczego w ramach rozpatrywania tych skarg, wchodzące w zakres zasady „dobrej administracji”, świadczą o tym, że zamiarem prawodawcy było ukształtowanie tego postępowania jako „rzeczywistego administracyjnego środka ochrony prawnej”.
12 Zobacz wyrok z dnia 26 września 2024 r., Land Hessen (Obowiązek działania organu ochrony danych) (C‑768/21, EU:C:2024:785, pkt 42).
13 Zobacz wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu) (C‑26/22 i C‑64/22, EU:C:2023:958, pkt 70); z dnia 26 września 2024 r., Land Hessen (Obowiązek działania organu ochrony danych) (C‑768/21, EU:C:2024:785, pkt 49).
14 W prawie Unii nie ma jednolitych przepisów dotyczących praktycznych aspektów rozpatrywania skarg przez organy nadzorcze. W konsekwencji w praktyce administracyjnej istnieją pewne rozbieżności między państwami członkowskimi. Niemniej EROD stara się, przy pomocy wytycznych i poprzez wypracowanie „dobrych praktyk” zapewnić pewien stopień harmonizacji działalności nadzorczej i zasad proceduralnych, w szczególności jeśli chodzi o przyjmowanie lub archiwizację skarg, stwierdzanie rozstrzygnięć polubownych, itp. (zob. w tym względzie, EROD, Internal document 6/2020 on preliminary steps to handle a complaint: admissibility and vetting of complaints, przyjęty w dniu 15 grudnia 2020 r.).
15 Jak wskazał Trybunał EFTA w wyroku z dnia 10 grudnia 2020 r., Adpublisher AG/J & K (sprawy połączone E-11/19 i E-12/19, pkt 60), organ nadzorczy jest upoważniony na podstawie art. 57 ust. 1 lit. h) RODO do wszczynania postępowań z urzędu. W związku z tym w ramach rozpatrywania skargi może on orzekać w przedmiocie innych roszczeń lub innego przedmiotu sporu niż powołane przez skarżącego. Skuteczność postępowania skargowego wymaga, aby organ nadzorczy, wykonując swoje uprawnienia w zakresie prowadzenia postępowań, nie podlegał ograniczeniom wynikającym ze sposobu sformułowania przez skarżącego zagadnień prawnych istotnych dla skargi.
16 Organy nadzorcze, jak się wydaje, rozpatrują skargi na podstawie przepisów prawa krajowego albo zgodnie z własnym zakresem uznania. Wydaje się również, że istnieją różnice co do rozpatrywania skarg według kryteriów pragmatycznych lub w ramach procedury uproszczonej (zob. w tym względzie G. González Fuster i in., The right to lodge a data protection complaint: ok, but then what? – An empirical study of current practices under the GDPR, Access Now, Open Universiteit, 2022, s. 30).
17 Zobacz wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy) (C‑231/22, EU:C:2024:7, pkt 39); z dnia 27 lutego 2025 r., Amt der Tiroler Landesregierung (C‑638/23, EU:C:2025:127, pkt 49).
18 Na wniosek Trybunału Landesamt przedstawił stosowaną przez siebie praktykę administracyjną w zakresie rozpatrywania skarg. Wyjaśnił on w tym względzie, że skarżący mogą wnosić skargi, w tym drogą elektroniczną, do właściwych urzędników Landesamt oraz mogą żądać dostępu do akt. Z tego opisu wynika jasno, że zasady, zgodnie z którymi Landesamt rozpatruje skargi, w szczególności jeśli chodzi o zbierane dane, przyjmowane środki organizacyjne i prowadzone dochodzenia są objęte autonomią, jaką RODO przyznaje temu organowi w ramach wykonywania jego zadań.
19 J.-P. Möhle, Verantwortlichkeit als integrierendes Konzept im Datenschutzrecht, Die Öffentliche Verwaltung, 2023, nr 3, s. 108 wyjaśnia, że obowiązki wynikające z prawa ochrony danych osobowych (takie jak obowiązki informacyjne, dotyczące odpowiedzialności lub współpracy) mogą być nałożone wyłącznie na osobę, która rzeczywiście jest w stanie wywierać wpływ, to znaczy jest zdolna do zapobieżenia przyszłym naruszeniom zasad ochrony danych. Według mnie nie ulega wątpliwości, że w ramach postępowania skargowego wyłącznie organ nadzorczy może odpowiadać tej definicji.
20 Jak orzekł Trybunał, szeroka definicja pojęcia „administratora” służy właśnie zapewnieniu skutecznej i pełnej ochrony osobom, których dane dotyczą (zob. wyroki: z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12 [EU:C:2014:317, pkt 34]; z dnia 29 lipca 2019 r., Fashion ID [C‑40/17, EU:C:2019:629, pkt 66]; z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein [C‑210/16, EU:C:2018:388, pkt 28]).
21 Zobacz podobnie J. Kunert, Vorabentscheidungsersuchen an den EuGH zur Aufsichtsbehörde als Verantwortlicher und zur Rechtmäßigkeit des Artykuł 20 II BayDSG, GRUR-Prax, 2025, nr 9, s. 324.
22 Zobacz wyrok z dnia 22 czerwca 2023 r., Pankki S (C‑579/21, EU:C:2023:501, pkt 50).
23 Zobacz wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF (C‑487/21, EU:C:2023:369, pkt 33 i 34.).
24 Zobacz wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF (C‑487/21, EU:C:2023:369, pkt 41).
25 Zobacz wyroki: z dnia 20 grudnia 2017 r., Nowak (C‑434/16, EU:C:2017:994, pkt 57); z dnia 12 stycznia 2023 r., Österreichische Post (Informacje odnoszące się do odbiorców danych osobowych) (C‑154/21, EU:C:2023:3, pkt 38); z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF (C‑487/21, EU:C:2023:369, pkt 35).
26 G. Zanfir-Fortuna, Article 15. Right of access by the data subject, w C. Kuner, L.A. Bygrave, & C. Docksey, (red.), The EU General Data Protection Regulation (GDPR): A Commentary, Oxford 2020, s. 452, wskazuje, że należy odróżnić prawo dostępu do własnych danych osobowych ustanowione w art. 15 RODO od prawa dostępu do informacji publicznej. Te dwa prawa mają odmienne cele normatywne: pierwsze z nich ma na celu zapewnienie przejrzystości w odniesieniu do osoby, której dane są zbierane i przetwarzane przez administratora (przejrzystość inter partes), natomiast drugie służy zapewnieniu przejrzystości w odniesieniu do społeczeństwa, jeśli chodzi o informacje mające wartość lub służące interesowi publicznemu (przejrzystość erga omnes).
27 N. Gumzej, DPA powers toward effective and transparent GDPR enforcement: the case of Croatia, Juridical Tribune – Review of Comparative and International Law, tom 13, nr 2 (2023), s. 210, odsyła do obowiązujących ustaw o swobodzie dostępu do informacji.
28 F. Schemmer, Der Auskunftsanspruch der DS-GVO – Umfang des datenschutzrechtlichen Auskunftsanspruchs gem. Artykuł 15 DS-GVO und dessen Grenzen, Zeitschrift für das gesamte Informationsrecht, 2024, nr 5, s. 210.
29 Zobacz wyroki: z dnia 6 marca 2007 r., Placanica i in. (C‑338/04, C‑359/04 i C‑360/04, EU:C:2007:133, pkt 34); z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 240).
30 Zobacz wyroki: z dnia 25 października 2001 r., Ambulanz Glöckner (C‑475/99, EU:C:2001:577, pkt 10); z dnia 14 listopada 2024 r., S. (Zmiana składu orzekającego) (C‑197/23, EU:C:2024:956, pkt 43).
31 Zobacz wyroki: z dnia 16 lipca 2020 r., Facebook Ireland i Schrems (C‑311/18, EU:C:2020:559, pkt 172); z dnia 12 stycznia 2023 r., Österreichische Post (Informacje odnoszące się do odbiorców danych osobowych) (C‑154/21, EU:C:2023:3, pkt 47); z dnia 21 marca 2024 r., Landeshauptstadt Wiesbaden (C‑61/22, EU:C:2024:251, pkt 75).
32 A. Giurgiu, T. Larsen, „Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More »European« DPAs as Guardians of Consistency?”, European Data Protection Law Review, nr 3 (2016), s. 352, uznają organy nadzorcze za głównych gwarantów praw jednostki, z uwagi na ich centralną rolę w zakresie nadzoru nad przestrzeganiem i stosowaniem zasad ochrony danych przewidzianych w RODO. Podkreślają oni znaczenie wyposażenia tych organów w wystarczające środki, zarówno jeśli chodzi o personel, jak i zasoby finansowe, tak by mogły one skutecznie wypełniać swoje zadania.
33 Zobacz wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania) (C‑416/23, EU:C:2025:3, pkt 40).
34 Zobacz wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, pkt 85).
35 Zobacz wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych do celów podatkowych) (C‑175/20, EU:C:2022:124, pkt 56).
36 Zobacz na ten temat EROD, Guidelines 10/2020 on restrictions under Article 23 GDPR (wersja 2.1), przyjęte w dniu 13 października 2021 r., pkt 65–67 i 82, które zalecają czasowe ograniczenia w korzystaniu z pewnych praw osób, których dane dotyczą, aby nie powodować zagrożenia dla dochodzeń administracyjnych.
37 Zobacz wyroki: z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in. (C‑293/12 i C‑594/12, EU:C:2014:238, pkt 38), z dnia 6 października 2015 r., Schrems (C‑362/14, EU:C:2015:650, pkt 94), z dnia 16 lipca 2020 r., Facebook Ireland i Schrems (C‑311/18, EU:C:2020:559, pkt 174); z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 121).
38 Trybunał w swoim utrwalonym orzecznictwie przypomina o tym celu i wskazuje, że ochrona danych osobowych jest zagwarantowana zarówno przez art. 16 TFUE, jak i przez art. 8 Karty, a zatem prawo to zostało zapisane w dwóch postanowieniach prawa pierwotnego Unii (zob. wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, pkt 43).
39 Zobacz wyrok z dnia 22 czerwca 2023 r., Pankki S (C‑579/21, EU:C:2023:501, pkt 53 i nast.).
40 Zobacz wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF (C‑487/21, EU:C:2023:369, pkt 44).
41 Zobacz pkt 59 i nast. niniejszej opinii.
42 Zobacz wyrok z dnia 12 stycznia 2023 r., Österreichische Post (Informacje odnoszące się do odbiorców danych osobowych) (C‑154/21, EU:C:2023:3, pkt 49). I tak, Trybunał podkreślił, że na administratorze danych spoczywa obowiązek wykazania, że wnioski o udzielenie dostępu mają ewidentnie nieuzasadniony lub nadmierny charakter w rozumieniu art. 12 ust. 5 RODO.
43 Zobacz na ten temat Agencja Praw Podstawowych Unii Europejskiej (FRA), GDPR in practice – Experiences of Data Protection Authorities, Luksemburg, 11 czerwca 2024 r., s. 21, gdzie wskazuje się, że dostępność środków, jakimi dysponują organy nadzorcze przez lata jest „przeważnie niewystarczająca”. W następstwie przeprowadzonej przez Komisję pierwszej oceny stosowania RODO Parlament Europejski przyjął rezolucję, w której zwrócił się do państw członkowskich, aby wypełniły swój przewidziany w art. 52 ust. 4 RODO obowiązek wyposażenia organów nadzorczych w wystarczające środki, tak aby umożliwić im wykonywanie ich zadań w najlepszy możliwy sposób oraz aby zapewnić równe warunki stosowania RODO na poziomie europejskim.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 15.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło