C-333/22

Opinia rzecznika generalnegoTSUE2023-06-15CELEX: 62022CC0333ECLI:EU:C:2023:488

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy art. 17 dyrektywy 2016/680, w związku z art. 46 ust. 1 lit. g) tej dyrektywy oraz w świetle art. 47 i art. 8 ust. 3 Karty Praw Podstawowych UE, wymaga zapewnienia osobie, której dane dotyczą, dostępu do środka prawnego przed sądem przeciwko niezależnemu organowi nadzorczemu, gdy osoba ta wykonuje swoje prawa za pośrednictwem tego organu, oraz czy art. 17 dyrektywy 2016/680 jest zgodny z art. 8 ust. 3 i art. 47 Karty w zakresie, w jakim zobowiązuje organ nadzorczy jedynie do poinformowania o przeprowadzeniu weryfikacji i prawie do środka prawnego, bez umożliwienia kontroli a posteriori.
Ratio decidendi
Rzecznik Generalna uznała, że rola organu nadzorczego w kontekście pośredniego wykonywania praw osób, których dane dotyczą, wykracza poza bycie „posłańcem” i obejmuje niezależną ocenę zgodności przetwarzania danych z prawem, co wynika z art. 46 ust. 1 lit. g) dyrektywy 2016/680 oraz uprawnień naprawczych z art. 47. Decyzje organu nadzorczego w tym zakresie mają wiążące skutki prawne dla osoby, której dane dotyczą, i dlatego muszą podlegać skutecznej kontroli sądowej zgodnie z art. 47 Karty Praw Podstawowych. Informacje przekazywane przez organ nadzorczy nie mogą ograniczać się do minimalnego stwierdzenia o przeprowadzeniu weryfikacji, lecz powinny być wystarczające do umożliwienia kontroli sądowej, a sąd powinien mieć dostęp do wszystkich podstaw decyzji, w tym tych objętych tajemnicą, stosując odpowiednie metody proceduralne. Różne środki prawne przewidziane w dyrektywie (przeciwko administratorowi i organowi nadzorczemu) są komplementarne, a nie wzajemnie wykluczające się.
Stan faktyczny
W 2016 roku BA zamierzał wziąć udział w wydarzeniu w Brukseli, do czego potrzebował poświadczenia bezpieczeństwa. Krajowy organ bezpieczeństwa odmówił wydania poświadczenia, powołując się na udział BA w 10 demonstracjach w latach 2007-2016. Po wejściu w życie belgijskiej ustawy LPD w 2018 roku, pełnomocnik BA zwrócił się do Organe de contrôle de l’information policière (organu nadzorczego ds. informacji policyjnych) o wskazanie administratorów danych i dostęp do informacji. Organ nadzorczy odpowiedział, że BA ma jedynie pośrednie prawo dostępu i poinformował, że „przeprowadzono niezbędne weryfikacje”, nie udzielając dalszych szczegółów. BA i Ligue des droits humains zaskarżyli tę decyzję, twierdząc, że belgijskie prawo nie przewiduje skutecznego środka prawnego przeciwko organowi nadzorczemu ani nie zobowiązuje go do udzielenia wystarczających informacji.
Rozstrzygnięcie
Rzecznik Generalna proponuje, aby Trybunał Sprawiedliwości udzielił cour d’appel de Bruxelles (sądowi apelacyjnemu w Brukseli, Belgia) następujących odpowiedzi: 1. Artykuł 17 dyrektywy (UE) 2016/680 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW w związku z art. 46 ust. 1 lit. g) tej dyrektywy i w świetle art. 47 i art. 8 ust. 3 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że wymagają one zapewnienia osobie, której dane dotyczą, dostępu do środka prawnego przed sądem przeciwko niezależnemu organowi nadzorczemu, w sytuacji gdy taka osoba, której dane dotyczą, wykonuje przysługujące jej prawa za pośrednictwem tego organu, w zakresie, w jakim ów środek prawny dotyczy zadania organu nadzorczego polegającego na sprawdzeniu zgodności przetwarzania z prawem. 2. Nie podważono ważności art. 17 dyrektywy 2016/680.

Pełny tekst orzeczenia

OPINIA RZECZNIK GENERALNEJ LAILI MEDINY przedstawiona w dniu 15 czerwca 2023 r. ( ) Sprawa C‑333/22 Ligue des droits humains ASBL, BA przeciwko Organe de contrôle de l’information policière [wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez cour d’appel de Bruxelles (sąd apelacyjny w Brukseli, Belgia)] Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych w sprawach karnych – Wykonywanie praw przysługujących osobie, której dane dotyczą, za pośrednictwem właściwego organu nadzorczego – Weryfikacja przez ten organ zgodności z prawem przetwarzania danych osobowych osoby, której dane dotyczą – Prawo do skutecznego środka prawnego przed sądem od decyzji organu nadzorczego 1. W dyrektywie (UE) 2016/680 ( ), znanej szerzej jako „dyrektywa o ochronie danych w sprawach karnych”, określono szczególne zasady ochrony danych osobowych i swobodnego przepływu takich danych w dziedzinie współpracy organów wymiarów sprawiedliwości w sprawach karnych oraz współpracy policyjnej oraz zasadniczo odzwierciedlono „szczególny charakter” tych dziedzin ( ). Dyrektywa 2016/680 służy realizacji dwóch celów politycznych. Z jednej strony ma przyczynić się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości (PWBiS) ( ), umożliwiając swobodny przepływ danych osobowych między właściwymi organami do celów egzekwowania prawa ( ). Z drugiej strony ma zapewnić wysoki poziom ochrony takich danych. Podstawą prawną tej dyrektywy jest art. 16 ust. 2 TFUE, w którym powierzono prawodawcy Unii Europejskiej ustanowienie przepisów dotyczących ochrony danych osobowych. 2. „Pogodzenie” tych dwóch celów politycznych realizowanych na podstawie dyrektywy 2016/680 pozostaje jednak trudnym zadaniem ( ). Niniejsza sprawa stanowi dla Trybunału sposobność, by przeanalizować konkretny przykład poszukiwania równowagi między egzekwowaniem prawa a ochroną danych osobowych w kontekście wykonywania praw przysługujących osobom, których dane dotyczą, przez te osoby. W porównaniu do poprzedniego systemu uregulowanego decyzją ramową Rady 2008/977/WSiSW w dyrektywie wzmocniono prawa osób, których dane dotyczą ( ). Wzmocnienie to dotyczy w szczególności uznania bezpośredniego prawa dostępu przysługującego osobie, której dane dotyczą, a więc prawa stanowiącego zasadniczy element prawa podstawowego do ochrony danych. Jak zauważono w piśmiennictwie, prawa osób, których dane dotyczą, w dziedzinie egzekwowania prawa są „podstawowym narzędziem stosowanym przeciwko asymetrii władzy informacyjnej i niezgodnym z prawem operacjom przetwarzania” ( ). Zapewnienie, aby skuteczne korzystanie z tych praw było możliwe, ma zatem kluczowe znaczenie. I. Ramy prawne Prawo Unii Dyrektywa 2016/680 3. W art. 3 dyrektywy 2016/680 zawarto następujące definicje: „8)   »administrator« oznacza właściwy organ, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby przetwarzania są określone prawem Unii lub prawem państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; […] 15)   »organ nadzorczy« oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie na mocy art. 41”. 4. Rozdział III dyrektywy 2016/680 jest zatytułowany „Prawa osoby, której dane dotyczą”, a jego art. 13, opatrzony nagłówkiem „Informacje udostępniane lub przekazywane osobie, której dane dotyczą”, stanowi w ust. 3 i 4: „3.   Państwa członkowskie mogą przyjąć akty prawne pozwalające opóźnić, ograniczyć lub pominąć informowanie osoby, której dane dotyczą, przewidziane w ust. 2 w takim zakresie i przez taki czas, w jakim odnośny środek jest działaniem koniecznym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby: a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur; b) uniemożliwić zakłócanie zapobiegani[a] przestępczości, prowadzeni[a] postępowań przygotowawczych, wykrywani[a] i ścigani[a] czynów zabronionych i wykonywani[a] kar; c) chronić bezpieczeństwo publiczne; d) chronić bezpieczeństwo narodowe; e) chronić prawa i wolności innych osób. 4.   Państwa członkowskie mogą przyjąć akty prawne dla określenia kategorii przetwarzania, które w całości lub części wchodzą w zakres stosowania środków wskazanych w którejkolwiek z liter ust. 3”. 5. Artykuł 14 dyrektywy 2016/680, zatytułowany „Prawo dostępu przysługujące osobie, której dane dotyczą”, stanowi: „Z zastrzeżeniem art. 15 państwa członkowskie zapewniają osobie, której dane dotyczą, prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli takie dane są przetwarzane, prawo dostępu do danych osobowych i do następujących informacji: […]”. 6. Artykuł 15 dyrektywy 2016/680, zatytułowany „Ograniczenia prawa dostępu”, stanowi: „1.   Państwa członkowskie mogą przyjąć akty prawne pozwalające ograniczyć w całości lub w części prawo dostępu osoby, której dane dotyczą, w takim stopniu i przez taki okres, w jakim takie częściowe lub całkowite ograniczenie jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby: a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur; b) uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar; c) chronić bezpieczeństwo publiczne; d) chronić bezpieczeństwo narodowe; e) chronić prawa i wolności innych osób. 2.   Państwa członkowskie mogą przyjąć akty prawne, aby ustalić kategorie przetwarzania, które w całości lub części wchodzą w zakres stosowania ust. 1 lit. a)–e). 3.   W przypadkach, o których mowa w ust. 1 i 2, państwa członkowskie zapewniają, by administrator bez zbędnej zwłoki informował pisemnie osobę, której dane dotyczą, o każdej odmowie lub o każdym ograniczeniu dostępu i o przyczynach tej odmowy lub tego ograniczenia. Informacje takie można pominąć, jeżeli ich udzielenie godziłoby w którykolwiek z celów, o których mowa w ust. 1. Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wniesienia skargi do organu nadzorczego lub środka prawnego do sądu. 4.   Państwa członkowskie zapewniają, by administrator dokumentował faktyczne lub prawne powody, na jakich opiera się decyzja. Informacje te udostępnia się organom nadzorczym”. 7. Artykuł 16 dyrektywy 2016/680, zatytułowany „Prawo do sprostowania lub usunięcia danych osobowych oraz ograniczenia ich przetwarzania”, stanowi w ust. 4: „Państwa członkowskie zapewniają, by administrator informował pisemnie osobę, której dane dotyczą, o każdej odmowie sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych oraz o przyczynach tej odmowy. Państwa członkowskie mogą przyjąć akty prawne, które w całości lub w części ograniczają obowiązek udzielania takich informacji, jeżeli takie ograniczenie przetwarzania jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby: a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur; b) uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar; c) chronić bezpieczeństwo publiczne; d) chronić bezpieczeństwo narodowe; e) chronić prawa i wolności innych osób. Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wniesienia skargi do organu nadzorczego lub środka prawnego do sądu”. 8. Artykuł 17 dyrektywy 2016/680, zatytułowany „Wykonywanie praw osoby, której dane dotyczą, oraz weryfikacja dokonywana przez organ nadzorczy”, stanowi: „1.   W odniesieniu do przypadków, o których mowa w art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4, państwa członkowskie przyjmują środki przewidujące, że osoba, której dane dotyczą, może wykonywać swoje prawa także za pośrednictwem właściwego organu nadzorczego. 2.   Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wykonywania przysługujących jej praw za pośrednictwem organu nadzorczego na mocy ust. 1. 3.   W razie wykonywania prawa, o którym mowa w ust. 1, organ nadzorczy informuje osobę, której dane dotyczą, przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów. Organ nadzorczy informuje osobę, której dane dotyczą, także o przysługującym jej prawie do wniesienia środka prawnego do sądu”. Prawo belgijskie 9. Dyrektywę 2016/680 transponowano do prawa belgijskiego poprzez loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (ustawę o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych) z dnia 30 lipca 2018 r. (Moniteur belge z dnia 5 września 2018 r., s. 68616) (zwaną dalej „LPD”). W rozdziale III tytułu 2 LPD określono prawa osoby, której dane dotyczą, obejmujące zasadniczo prawo do informacji, prawo dostępu do danych i prawo do sprostowania. 10. Artykuł 42 LPD stanowi: „Wniosek o skorzystanie z praw, o których mowa w niniejszym rozdziale, w odniesieniu do służb policyjnych […] lub inspection générale de la police fédérale et de la police locale [(inspekcji generalnej policji federalnej i policji lokalnej, Belgia)] należy kierować do organu nadzorczego, o którym mowa w art. 71. W przypadkach, o których mowa w art. 37 § 2, art. 38 § 2, art. 39 § 4 i art. 62 § 1, organ nadzorczy, o którym mowa w art. 71, informuje jedynie osobę, której dane dotyczą, o przeprowadzeniu niezbędnych weryfikacji. Niezależnie od akapitu drugiego organ nadzorczy, o którym mowa w art. 71, może przekazać zainteresowanej osobie pewne informacje kontekstowe. Król, po zasięgnięciu opinii organu nadzorczego, o którym mowa w art. 71, ustala kategorię informacji kontekstowych, które mogą zostać przekazane osobie zainteresowanej przez ten organ nadzorczy”. 11. Sąd odsyłający stwierdza, że „informacje kontekstowe”, które może ujawniać organ nadzorczy ds. informacji policyjnych osobie, której dane dotyczą, nie zostały dotąd określone w dekrecie królewskim, o którym mowa w art. 42 zdanie czwarte LPD. 12. Artykuł 71 LPD stanowi: „§ 1.   Tworzy się przy Chambre des représentants (izbie reprezentantów) niezależny organ nadzorczy ds. informacji policyjnych zwany Organe de contrôle de l’information policière [(organem nadzorczym ds. informacji policyjnych, Belgia)]. […] Ma on […] za zadanie: 1. sprawowanie nadzoru nad stosowaniem niniejszego tytułu […]”. 13. Rozdział I tytułu 5 LPD nosi nagłówek „Skarga o zaprzestanie naruszeń”. Zawarty w tym rozdziale art. 209 jest sformułowany następująco: „Bez uszczerbku dla wszelkich innych sądowych, administracyjnych lub pozasądowych środków prawnych prezes sądu pierwszej instancji, rozstrzygając w postępowaniu w przedmiocie środka tymczasowego, orzeka o zaistnieniu przetwarzania danych stanowiącego naruszenie przepisów ustawowych lub wykonawczych dotyczących ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych i nakazuje zaprzestanie naruszeń. Prezes sądu pierwszej instancji, orzekając w postępowaniu w przedmiocie środka tymczasowego, rozpoznaje każdy wniosek odnoszący się do przyznanego ustawą lub na jej mocy prawa do uzyskania informacji o danych osobowych oraz każdy wniosek mający na celu sprostowanie, usunięcie lub zakazanie wykorzystania wszelkich danych osobowych, które są niedokładne lub, z uwagi na cel przetwarzania, niepełne lub nieistotne bądź których zarejestrowanie, przekazywanie lub przechowywanie jest zakazane, wobec przetwarzania których osoba zainteresowana wyraziła sprzeciw lub których okres przechowywania był dłuższy niż dozwolony”. 14. Artykuł 240 LPD stanowi, że organ nadzorczy ds. informacji policyjnych: „4. rozpatruje zażalenia, bada przedmiot zażalenia w niezbędnym zakresie i informuje wnoszącego zażalenie o przebiegu i wynikach postępowania wyjaśniającego w rozsądnym terminie, w szczególności jeśli niezbędne są uzupełnienie postępowania wyjaśniającego lub koordynacja z innym organem nadzorczym […]”. II Okoliczności faktyczne, postępowanie główne i pytania prejudycjalne 15. W 2016 r. BA zamierzał wziąć udział w pracach montażu i demontażu instalacji w ramach dziesiątej edycji „Europejskich Dni Rozwoju” w Brukseli (Belgia). W tym celu był zobowiązany do uzyskania „poświadczenia bezpieczeństwa”. 16. Pismem z dnia 22 czerwca 2016 r. Autorité nationale de sécurité (krajowy organ bezpieczeństwa, Belgia) odmówił wydania wymaganego poświadczenia bezpieczeństwa. Wskazano w nim, że z informacji udostępnionych temu organowi wynika, iż zainteresowany w latach 2007–2016 brał udział w 10 demonstracjach, co uniemożliwia wydanie poświadczenia bezpieczeństwa. BA nie zakwestionował tamtej decyzji krajowego organu bezpieczeństwa. 17. LPD, którą utworzono organ nadzorczy ds. informacji policyjnych, weszła w życie w dniu 5 września 2018 r. 18. W dniu 4 lutego 2020 r. pełnomocnik BA zwrócił się do organu nadzorczego ds. informacji policyjnych o wskazanie administratorów odpowiedzialnych za przetwarzanie spornych danych i nakazanie im zapewnienia BA dostępu do wszystkich dotyczących go informacji. 19. W wiadomości elektronicznej z dnia 6 lutego 2020 r. organ nadzorczy ds. informacji policyjnych udzielił odpowiedzi, że BA przysługuje jedynie pośrednie prawo dostępu, zapewniając jednocześnie, iż zamierza sprawdzić dane osobowe BA w celu zagwarantowania zgodności z prawem ich ewentualnego przetwarzania w Banque de données nationale générale (krajowym generalnym banku danych – BNG). Organ nadzorczy ds. informacji policyjnych wyjaśnił, że przysługuje mu uprawnienie do nakazania policji usunięcia lub zmiany danych, jeśli okaże się to niezbędne, oraz że po zakończeniu wspomnianej kontroli BA zostanie poinformowany o tym, że „przeprowadzono niezbędne weryfikacje”. 20. W dniu 22 czerwca 2020 r. organ nadzorczy ds. informacji policyjnych napisał: „[Z]godnie z art. 42 [LPD] informuję Państwa, że organ nadzorczy przeprowadził niezbędne weryfikacje. Oznacza to, że dane osobowe Państwa klienta zostały sprawdzone w policyjnych bankach danych w celu zapewnienia zgodności z prawem ich ewentualnego przetwarzania. W razie potrzeby dane osobowe zostały zmienione lub usunięte. Jak zostało to wskazane w moim e-mailu z dnia 2 czerwca, zgodnie art. 42 LPD organ nadzorczy nie może udzielić dalszych informacji”. 21. W dniu 2 września 2020 r. skarżący w postępowaniu głównym, mianowicie BA i Ligue des droits humains, wnieśli skargę na podstawie art. 209 LPD zdanie drugie przeciwko organowi nadzorczemu ds. informacji policyjnych do prezesa tribunal de première instance du tribunal francophone de Bruxelles (francuskojęzycznego sądu pierwszej instancji w Brukseli, Belgia). Zażądali oni uznania ich skargi przeciwko organowi nadzorczemu za dopuszczalną. Tytułem żądania ewentualnego zwrócili się do owego sądu z pytaniem, czy art. 42 LPD jest sprzeczny z art. 47 ust. 4 i art. 17 ust. 3 dyrektywy 2016/680. W tym względzie BA i Ligue des droits humains podnieśli, że art. 42 LPD nie przewiduje środka prawnego przed sądem od decyzji niezależnego organu nadzorczego ani nie zobowiązuje tego organu do poinformowania osoby, której dane dotyczą, o przysługującym jej prawie do wniesienia środka prawnego do sądu. 22. W odniesieniu do istoty skargi skarżący domagali się uzyskania dostępu do wszystkich danych osobowych dotyczących BA oraz wnieśli o nakazanie przez sąd organowi nadzorczemu ds. informacji policyjnych wskazania, kto jest administratorem, a także wszelkich osób, które mogły otrzymać takie dane. Tytułem żądania ewentualnego wystąpili oni o zwrócenie się do Trybunału w istocie z pytaniem, czy art. 42 ust. 2 LPD jest zgodny z art. 14, 15 i 17 dyrektywy 2016/680 w związku z art. 8 i 47 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”). W tym względzie zarzucali oni, że art. 42 ust. 2 LPD przewiduje ogólne i systemowe odstępstwo od prawa dostępu do danych osobowych. 23. Postanowieniem z dnia 17 maja 2021 r. tribunal de première instance francophone de Bruxelles (francuskojęzyczny sąd pierwszej instancji w Brukseli) stwierdził brak swojej właściwości w odniesieniu do skargi wniesionej przez skarżących. 24. Pismem z dnia 15 czerwca 2021 r. postępowanie główne skierowano do cour d’appel de Bruxelles (sądu apelacyjnego w Brukseli, Belgia). Wnoszący środek odwoławczy zasadniczo powtórzyli zarzuty dotyczące art. 42 ust. 2 LPD i żądania przedstawione w postępowaniu przez sądem pierwszej instancji. 25. Organ nadzorczy ds. informacji policyjnych podniósł, że środek odwoławczy należy oddalić. 26. Sąd odsyłający stwierdza, że w prawie belgijskim dane przetwarzane przez służby policyjne podlegają przepisom szczególnym. Zgodnie z art. 42 LPD wszelkie wnioski oparte na prawach dotyczących danych osobowych należy kierować do organu nadzorczego ds. informacji policyjnych. Organ ten po prostu informuje osobę, której dane dotyczą, o tym, że „przeprowadzono niezbędne weryfikacje”. 27. Sąd odsyłający twierdzi, że art. 17 ust. 3 dyrektywy 2016/680 nie został prawidłowo transponowany do prawa krajowego. Po pierwsze, art. 42 LPD nie przewiduje, że organ nadzorczy ma poinformować osobę, której dane dotyczą, o prawie do wniesienia środka prawnego do sądu. Po drugie, LPD nie przewiduje możliwości skorzystania ze środka prawnego przed sądem przeciwko organowi nadzorczemu ds. informacji policyjnych. 28. W tym względzie sąd odsyłający stwierdza w pierwszej kolejności, że środek prawny przewidziany w art. 240 LPD, umożliwiający osobie, której dane dotyczą, złożenie skargi do organu nadzorczego, musi być wykonywany przeciwko administratorowi. 29. W drugiej kolejności skarga o zaprzestanie naruszeń, o której mowa w art. 209 i nast. LPD, nie zapewnia BA skutecznego środka prawnego przeciwko organowi nadzorczemu ds. informacji policyjnych. W tym względzie sąd odsyłający stwierdza, że z przepisów tych wynika, po pierwsze, że skargę należy wnieść przeciwko administratorowi. BA nie może zatem wnieść jej przeciwko organowi nadzorczemu ds. informacji policyjnych. Po drugie, art. 42 LPD nie umożliwia BA wniesienia takiej skargi przeciwko administratorowi, ponieważ to organowi nadzorczemu ds. informacji policyjnych powierzono wykonywanie przysługujących BA praw. Po trzecie, bardzo lakoniczne informacje przekazane przez organ nadzorczy ds. informacji policyjnych zgodnie z art. 42 LPD nie umożliwiają ani BA, ani sądowi – w ramach kontroli a posteriori – stwierdzenia, czy organ nadzorczy ds. informacji policyjnych prawidłowo wykonywał prawa przysługujące BA. 30. Wreszcie, chociaż w LPD przewidziano skargę o zaprzestanie naruszenia „[b]ez uszczerbku dla wszelkich innych sądowych, administracyjnych lub pozasądowych środków prawnych” oraz bez ograniczenia „właściwości sądu pierwszej instancji i prezesa sądu pierwszej instancji orzekającego w postępowaniu w przedmiocie zastosowania środka tymczasowego” (art. 209 i 219 LPD), w przypadku wszelkich pozostałych środków prawnych, do których wykonania mógłby dążyć BA, w ocenie sądu odsyłającego wystąpiłyby te same przeszkody. 31. W tych okolicznościach cour d’appel de Bruxelles (sąd apelacyjny w Brukseli) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi: „(1) Czy art. 47 i art. 8 ust. 3 [karty] wymagają ustanowienia środka prawnego przed sądem przeciwko niezależnemu organowi nadzorczemu, takiemu jak [organ nadzorczy ds. informacji policyjnych], w sytuacji gdy wykonuje on prawa osoby, której dane dotyczą, wobec administratora? (2) Czy art. 17 dyrektywy 2016/680 jest zgodny z art. 47 i art. 8 ust. 3 [karty] stosownie do ich wykładni dokonanej przez Trybunał w zakresie, w jakim przepis ten zobowiązuje organ nadzorczy – wykonujący prawa osoby, której dane dotyczą, wobec administratora – jedynie do poinformowania tej osoby »o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów« oraz »o przysługującym jej prawie do wniesienia środka prawnego do sądu«, w sytuacji gdy udzielenie takiej informacji nie umożliwia żadnej kontroli a posteriori działania podjętego i oceny dokonanej przez organ nadzorczy w odniesieniu do danych osoby, której dane dotyczą, oraz obowiązków spoczywających na administratorze?”. 32. Uwagi na piśmie przedstawili skarżący w postępowaniu głównym, rządy belgijski i czeski, Komisja Europejska oraz Parlament Europejski. Trybunał skierował szereg pytań do rządu belgijskiego w celu uzyskania odpowiedzi na piśmie. Rząd ten udzielił odpowiedzi w dniu 13 marca 2023 r. Skarżący i druga strona postępowania głównego, rząd francuski oraz Komisja i Parlament uczestniczyli w rozprawie, która odbyła się w dniu 29 marca 2023 r. III. Ocena Uwagi wstępne 33. Pytania prejudycjalne dotyczą zasadniczo kontroli sądowej decyzji organu nadzorczego lub działania organu nadzorczego, ich zakresu i skuteczności w sytuacji, gdy organ ten wykonuje prawa osoby, której dane dotyczą, w jej imieniu, a więc gdy te prawa są wykonywane pośrednio. Sąd odsyłający nie zakwestionował jako takiej struktury belgijskiego mechanizmu pośredniego dostępu osób, których dane dotyczą, do ich danych. Niemniej jednak system, w którym dostęp osób, których dane dotyczą, do ich danych jest praktycznie niemożliwy lub nadmiernie utrudniony, nieuchronnie wpływa na prawo do skutecznego środka prawnego. Na wstępie należy zatem krótko opisać strukturę praw przysługujących osobom, których dane dotyczą, przewidzianych w dyrektywie 2016/680, a dopiero następnie przeanalizować, w jakim stopniu belgijski system pośredniego dostępu do danych wpisuje się w tę strukturę. a) Prawa osób, których dane dotyczą, wynikające z dyrektywy 2016/680 i ograniczenia tych praw 34. Prawo dostępu do zebranych danych i prawo do sprostowania stanowią istotne składowe prawa do ochrony danych osobowych wyrażonego w art. 8 ust. 2 karty. Ogólnie rzecz biorąc, prawo dostępu służy dwóm głównym celom, a mianowicie „zwiększeniu przejrzystości i ułatwieniu kontroli” ( ). Jak bowiem wskazuje się w piśmiennictwie, zwiększa to przejrzystość, ponieważ zapewnia „drugą, bardziej dogłębną i szczegółową warstwę informacji, jakie może uzyskać osoba, której dane dotyczą” ( ). Prawo dostępu do informacji ułatwia kontrolę, jako że stanowi warunek wstępny korzystania z pozostałych praw, a mianowicie prawa do sprostowania lub usunięcia danych osobowych bądź do wniesienia środka prawnego do sądu ( ). 35. Z motywu 7 dyrektywy 2016/680 wynika, że dyrektywa ta służy dążeniu do tego, by ochrona danych osobowych w Unii była skuteczna, co wymaga wzmocnienia prawa osób, których dane dotyczą, oraz obowiązków podmiotów, które przetwarzają dane osobowe, jak i odpowiadających im uprawnień w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych w państwach członkowskich. Stanowi to ważny krok naprzód w porównaniu z poprzednim systemem uregulowanym decyzją ramową 2008/977. Zakres stosowania tej decyzji ramowej był ograniczony do transgranicznego przetwarzania danych. Ponadto odzwierciedlał on „specyfikę przedlizbońskiej »struktury filarów« UE” ( ) oraz pozostawiał „państwom członkowskim dużą swobodę manewru” ( ). W porównaniu z tym poprzednim systemem rozdział III dyrektywy 2016/680 przewiduje „nową strukturę praw osób, których dane dotyczą, zgodnie z zasadą, że mają one prawo do informacji, dostępu, sprostowania, usunięcia danych lub ograniczenia przetwarzania, chyba że prawa te są ograniczone” ( ). 36. W szczególności w art. 13 dyrektywy 2016/680 przewidziano, że administratorzy mają przekazywać osobom, których dane dotyczą, określone informacje („prawo do informacji”). Artykuł 14 stanowi, że osoba, której dane dotyczą, ma prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli takie dane są przetwarzane, prawo dostępu do danych osobowych i do konkretnych informacji („prawo dostępu”). Artykuł 16 stanowi, że osoba, której dane dotyczą, ma prawo do uzyskania od administratora sprostowania jej danych osobowych, jeżeli są nieprawidłowe, jak również prawo do usunięcia danych osobowych lub w stosownych przypadkach ograniczenia przetwarzania („prawo do sprostowania, usunięcia lub ograniczenia przetwarzania”). Osoba, której dane dotyczą, może – co do zasady – wykonywać swoje prawa bezpośrednio. 37. Dyrektywa 2016/680 umożliwia państwom członkowskim przyjęcie środków ustawodawczych ograniczających w całości lub w części prawa osób, których dane dotyczą, pod warunkami określonymi w art. 13 ust. 3, art. 15 i art. 16 ust. 4 dyrektywy 2016/680. Zasadniczo środki takie są dozwolone „w takim stopniu i przez taki okres”, w jakim są „działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej”, aby chronić określony cel interesu publicznego, a mianowicie uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur, uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, chronić bezpieczeństwo publiczne, chronić bezpieczeństwo narodowe lub chronić prawa i wolności innych osób. Państwa członkowskie mogą na podstawie art. 13 ust. 4 i art. 15 ust. 2 dyrektywy 2016/680 przyjmować środki ustawodawcze w celu określenia kategorii przetwarzania, które mogą w całości lub częściowo podlegać któremuś z tych celów. 38. W przypadku ograniczenia prawa dostępu administrator na podstawie art. 15 ust. 3 dyrektywy 2016/680 ma obowiązek bez zbędnej zwłoki poinformować pisemnie osobę, której dane dotyczą, o każdej odmowie lub o każdym ograniczeniu dostępu i o przyczynach tej odmowy lub tego ograniczenia. Takie informacje można pominąć, jeżeli ich udzielenie godziłoby w interes publiczny wspomniany w art. 15 ust. 1 dyrektywy. Administrator ma obowiązek poinformować osobę, której dane dotyczą, o możliwości wniesienia skargi do organu nadzorczego lub środka prawnego do sądu. Dodatkowo zgodnie z art. 15 ust. 4 dyrektywy 2016/680, jeżeli prawo dostępu zostaje ograniczone lub odmawia się dostępu, administrator ma obowiązek udokumentowania faktycznych lub prawnych powodów, na jakich opiera się decyzja, i udostępnienia takich informacji organom nadzorczym. 39. Ze struktury praw przysługujących osobie, której dane dotyczą, określonych w rozdziale III dyrektywy 2016/680, wynika zasada ogólna, w myśl której – w dziedzinie egzekwowania prawa – osobom, których dane dotyczą, przysługują prawa w zakresie ochrony ich danych i osoby te mogą wykonywać te prawa w sposób bezpośredni. Wszelkie ograniczenia tych praw stanowią wyjątek. Zgodnie z utrwalonym orzecznictwem wyjątek od zasady ogólnej musi być przedmiotem ścisłej wykładni ( ). Ponadto istnieją obostrzenia dotyczące ograniczania praw związane z obowiązkiem podania uzasadnienia nałożonych ograniczeń i odpowiednim informowaniem osoby, której dane dotyczą. Taką informację można pominąć jedynie w drodze wyjątku. 40. Taka sama współzależność między zasadą a wyjątkiem ma zastosowanie również do przyznanej państwom członkowskim możliwości określenia kategorii przetwarzania, które mogą w całości lub częściowo kwalifikować się jako cele interesu publicznego, pozwalając tym samym na ograniczenie możliwości wykonywania praw przysługujących osobom, których dane dotyczą, zgodnie z art. 13 ust. 3 lub art. 15 ust. 1 dyrektywy 2016/680. Jak zasadniczo wskazała Grupa Robocza Artykuł 29 ( ) w swojej opinii dotyczącej dyrektywy 2016/680, przyznana państwom członkowskim możliwość określenia takich kategorii przetwarzania nie pozwala na ogólne ograniczenie praw osób, których dane dotyczą, do informacji i dostępu ( ). Takie ogólne ograniczenia dawałyby bowiem wyjątkowi pierwszeństwo przed zasadą, pozbawiając w znacznej mierze sensu przepisy gwarantujące prawa przysługujące osobie, której dane dotyczą ( ). b) Pośrednie wykonywanie praw przysługujących osobie, której dane dotyczą 41. Prawo osoby, której dane dotyczą, do kontaktowania się bezpośrednio z administratorem w celu skorzystania z przysługujących jej praw stanowi ważny aspekt dyrektywy 2016/680. Dyrektywa ta gwarantuje „co do zasady” bezpośrednie wykonywanie praw przysługujących osobie, której dane dotyczą, przez tę osobę ( ). Osoby, której dane dotyczą, mają prawo do dostępu bezpośredniego, chyba że zastosowanie ma ograniczenie. W przypadku zastosowania ograniczenia, w związku z którym nie jest już dostępne prawo do dostępu bezpośredniego, osoba, której dane dotyczą, może wykonywać swoje prawa pośrednio, za pośrednictwem właściwego organu nadzorczego zgodnie z art. 17 ust. 1 dyrektywy 2016/680. 42. Jak zauważyły rząd francuski oraz Komisja w uwagach na piśmie i jak podkreśliła również Grupa Robocza Artykuł 29 w opinii dotyczącej dyrektywy 2016/680, pośrednie wykonywanie praw za pośrednictwem organu nadzorczego stanowi dodatkową gwarancję oferowaną osobom, których dane dotyczą, w okolicznościach, gdy stosuje się ograniczenia ( ). Ujęcie pośredniego wykonywania praw jako dodatkowej gwarancji stanowi istotny krok naprzód w porównaniu z poprzednim stanem rzeczy istniejącym w ramach decyzji ramowej 2008/977 ( ). W porządku decyzji ramowej dostęp pośredni funkcjonował bowiem na równi z dostępem bezpośrednim ( ). Sprzeczna z całością przyświecającego dyrektywie 2016/680 celu, jakim jest harmonizacja, byłaby bowiem sytuacja, w której państwa członkowskie, pomimo ewolucji tej dyrektywy w zakresie struktury praw osób, których dane dotyczą, miałyby czynić z dostępu pośredniego nie dodatkową drogę dostępną dla osób, których dane dotyczą, ale jedyną ścieżkę dostępną tym osobom. c) Mechanizm pośredniego wykonywania praw przewidziany w art. 42 LPD 43. Artykuł 17 dyrektywy 2016/680 transponowano do prawa belgijskiego w art. 42 LPD. Artykuł 42 zdanie pierwsze LPD stanowi, że osoby, których dane dotyczą, kierują wszystkie wnioski o wykonanie przysługujących im praw w związku ze służbami policyjnymi do organu nadzorczego ds. informacji policyjnych. Artykuł 42 zdanie drugie LPD stanowi, że jeżeli administrator ograniczy dostęp lub odmówi dostępu, organ nadzorczy ma obowiązek poinformować osobę, której dane dotyczą, wyłącznie o przeprowadzeniu wszelkich niezbędnych weryfikacji. 44. Odnoszę wrażenie, że art. 42 LPD ustanawia rozwiązanie odbiegające od zasady bezpośredniego wykonywania praw osób, których dane dotyczą, w odniesieniu do wszystkich danych przetwarzanych przez służby policyjne. W świetle niezwykle szerokiego zakresu danych, do którego ma zastosowanie ten mechanizm odstępstwa, rozwiązanie to oznacza ogólne wyłączenie bezpośredniego prawa dostępu. Jak wyjaśniono w uwagach wstępnych powyżej, takie szeroko zakrojone i ogólne wyłączenie prawa do bezpośredniego dostępu może nie być zgodne z dyrektywą 2016/680 ( ). Jak zasadniczo stwierdziła Conseil d’État (rada stanu, Belgia) w opinii w odniesieniu do projektu LPD, przejście od zaoferowania zainteresowanej osobie możliwości pośredniego wykonywania praw do zastąpienia tej możliwości uprawnieniem ustawodawcy do wprowadzenia wymogu, by takie prawa były wykonywane pośrednio, stoi w sprzeczności z art. 17 dyrektywy 2016/680 ( ). 45. Zastąpienie dostępu bezpośredniego dostępem pośrednim przewidziane w art. 42 LPD jest jeszcze bardziej problematyczne, gdy rozpatrywać je w świetle ograniczonych uprawnień organu nadzorczego ds. informacji policyjnych. W odpowiedzi na pytanie o tę kwestię zadane podczas rozprawy pełnomocnik tego organu potwierdził, że w kontekście pośredniego wykonywania praw przysługujących osobie, której dane dotyczą, organ nadzorczy ds. informacji policyjnych może poinformować osobę, której dane dotyczą, wyłącznie o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji. Należy jednak przypomnieć, że mechanizm dostępu pośredniego jest wyjątkiem, z czego wynika założenie, że ograniczenie praw przysługujących osobie, których dane dotyczą, musi być zgodne z warunkami określonymi w dyrektywie 2016/680. W systemie belgijskim natomiast osoba, której dane dotyczą, ma obowiązek zwrócić się o wykonanie praw przysługujących jej w odniesieniu do danych przetwarzanych przez służby policyjne do organu nadzorczego. Nie może ona uzyskać dostępu do dotyczących jej danych i nie może uzyskać nic więcej niż tylko potwierdzenie, że przeprowadzono wszelkie niezbędne weryfikacje. Zdaje się, że ustawodawca krajowy przyjął, odchodząc od dyrektywy 2016/680, że w kontekście wszystkich danych przetwarzanych przez policję prawa osób, których dane dotyczą, są zawsze ograniczone, a dostęp bezpośredni nie jest możliwy. 46. W świetle powyższych rozważań jestem zdania, że w art. 42 LPD ustanowiono mechanizm pośredniego wykonywania praw, który jest niezgodny z określonym w dyrektywie 2016/680 sposobem wykonywania praw przysługujących osobom, których dane dotyczą. Pytania prejudycjalne zostaną przeanalizowane w świetle tego stwierdzenia. Pytanie pierwsze 47. Przede wszystkim należy przypomnieć, że zgodnie z utrwalonym orzecznictwem w ramach ustanowionej w art. 267 TFUE procedury współpracy między sądami krajowymi a Trybunałem do tego ostatniego należy udzielenie sądowi krajowemu użytecznej odpowiedzi, która umożliwi mu rozstrzygnięcie zawisłego przed nim sporu. W związku z tym Trybunał powinien w razie potrzeby przeformułować przedłożone mu pytania. W tym względzie Trybunał może wyprowadzić z całości informacji przedstawionych przez sąd krajowy, a w szczególności z uzasadnienia postanowienia odsyłającego, elementy prawa Unii, które wymagają wykładni w świetle przedmiotu sporu rozpatrywanego w postępowaniu głównym ( ). 48. W niniejszej sprawie z postanowienia odsyłającego wynika jasno, że poprzez pytanie pierwsze sąd odsyłający zmierza do uzyskania wykładni art. 17 dyrektywy 2016/680. W istocie zwraca się on z pytaniem, czy przepis ten, odczytywany w związku z art. 47 i art. 8 ust. 3 karty, należy interpretować w ten sposób, że osoba, której dane dotyczą, musi mieć dostęp do środka prawnego przed sądem przeciwko niezależnemu organowi nadzorczemu, w sytuacji gdy wykonuje przysługujące jej prawa za pośrednictwem tego organu nadzorczego. 49. Należy zauważyć na wstępie, że sąd odsyłający zadaje to pytanie, ponieważ uważa, że prawo belgijskie nie przewiduje prawa do wniesienia środka prawnego przed sądem przeciwko organowi nadzorczemu, w sytuacji gdy organ ten pośrednio wykonuje prawa przysługujące osobie, której dane dotyczą. W tym względzie stwierdza on, po pierwsze, że przepis ten nie został prawidłowo transponowany do prawa krajowego, ponieważ w art. 42 LPD nie przewidziano obowiązku poinformowania osób, których dane dotyczą, przez organ nadzorczy o prawie do wniesienia środka prawnego do sądu. Po drugie, sąd odsyłający jest zdania, że żaden inny przepis LPD, w szczególności ani art. 209 i nast. ani art. 240 LPD, nie umożliwia osobie, której dane dotyczą, wniesienia do sądu skargi przeciwko organowi nadzorczemu w przypadku pośredniego wykonywania przysługujących jej praw ( ). 50. Rząd belgijski podniósł w uwagach na piśmie, że niezależnie od interpretacji art. 209 zdanie drugie LPD belgijski system prawny przewiduje w okolicznościach występujących w postępowaniu głównym skuteczną kontrolę sądową. W tym względzie podnosi on, że szczególne środki prawne przewidziane w LPD pozostają bez uszczerbku dla ogólnej właściwości sądów cywilnych. Niezależnie od powyższego, rząd belgijski słusznie zauważa, że zgodnie z utrwalonym orzecznictwem Trybunał jest uprawniony wyłącznie do wydania orzeczenia w przedmiocie wykładni lub ważności przepisu prawa Unii na podstawie okoliczności faktycznych przedstawionych mu przez sąd krajowy. Z kolei wykładnia przepisów krajowych należy wyłącznie do sądu odsyłającego ( ). a) Środki prawne dostępne dla osoby, której dane dotyczą 51. Należy przypomnieć, że w rozdziale VIII dyrektywy 2016/680 przewidziano szereg środków prawnych dostępnych dla osób, których dane dotyczą, aby stwierdzić, czy osoba, której dane dotyczą, ma prawo do wniesienia środka prawnego do sądu przeciwko organowi nadzorczemu w przypadku pośredniego wykonywania przysługujących jej praw. Osoby, których dane dotyczą, mają prawo wnieść skargę do organu nadzorczego zgodnie z art. 52 dyrektywy 2016/680. Artykuł 53 ust. 1 dyrektywy 2016/680 stanowi, że osoby, których dane dotyczą, mają prawo do skutecznego środka prawnego przed sądem od prawnie wiążącej decyzji organu nadzorczego, która do nich się odnosi. Artykuł 53 ust. 2 stanowi, że każda osoba, której dane dotyczą, ma prawo do skutecznego środka prawnego przed sądem, jeżeli organ nadzorczy nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub wyniku rozpatrzenia skargi. Ponadto osoby, których dane dotyczą, mają prawo do skutecznego środka prawnego przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu, gdy uważają, że w wyniku bezprawnego przetwarzania ich danych osobowych doszło do naruszenia ich praw. Wszystkie te przepisy przewidują, że każdy z wymienionych środków prawnych jest dostępny „[z] zastrzeżeniem [bez uszczerbku dla] innych środków administracyjnych lub pozasądowych środków ochrony prawnej”. 52. Co się tyczy prawa do skutecznego środka prawnego przeciwko organowi nadzorczemu, w motywie 86 dyrektywy 2016/680 stwierdzono, że prawo to może być wykonywane w odniesieniu do „decyzji organu nadzorczego wywołującej skutki prawne wobec tej osoby”. W tym samym motywie wyjaśniono w szczególności, że decyzja taka może dotyczyć zwłaszcza wykonywania przez organ nadzorczy uprawnień do prowadzenia postępowań wyjaśniających, uprawnień naprawczych i do wydawania zezwoleń lub oddalania lub odrzucania skarg, ale że prawo do skutecznego środka prawnego przed sądem nie obejmuje „innych niewiążących prawnie środków organów nadzorczych, takich jak wydawane przez organ opinie czy zalecenia”. 53. Z art. 53 ust. 1 dyrektywy 2016/680 w związku z motywem 86 tej dyrektywy wynika, że osoba, której dane dotyczą, ma prawo zaskarżyć decyzję lub środek wydane przez organ nadzorczy, jeżeli taka decyzja lub środek wywołują wiążące skutki prawne. 54. W tym względzie należy przypomnieć, że określone w art. 47 karty prawo do skutecznego środka prawnego przed sądem powinno być przyznane każdej osobie powołującej się na prawa lub wolności zagwarantowane w prawie Unii przeciwko każdemu niekorzystnemu orzeczeniu, mogącemu naruszać te prawa lub wolności ( ). 55. Następnie należy wskazać, że aktami niekorzystnymi są „akty wywołujące wiążące skutki prawne mogące naruszyć bezpośrednio i natychmiastowo interesy skarżącego poprzez znaczącą zmianę jego sytuacji prawnej” ( ). W tym względzie należy skupić się na istocie tego aktu i oceniać te skutki na podstawie obiektywnych kryteriów, takich jak treść owego aktu, z uwzględnieniem, w razie potrzeby, kontekstu jego wydania oraz uprawnień instytucji, która go wydała ( ). b) Uprawnienia organu nadzorczego w kontekście pośredniego wykonywania praw 56. W świetle tych elementów określających akt niekorzystny, aby ustalić, czy organ nadzorczy, wykonując pośrednio prawa przysługujące osobie, której dane dotyczą, zgodnie z art. 17 dyrektywy 2016/680, wydaje wiążącą decyzję, należy przeanalizować treść lub istotę aktu organu nadzorczego, uwzględniając kontekst tego aktu i uprawnienia tego organu. 57. Co się tyczy, w pierwszej kolejności, istoty aktu organu nadzorczego, należy na wstępie doprecyzować, że zdolności aktu do wywarcia bezpośrednio wpływu na sytuację prawną danej osoby fizycznej lub prawnej nie można oceniać jedynie w świetle okoliczności, że akt ten ma postać wiadomości elektronicznej (tak jak miało to miejsce w postępowaniu głównym), jako że takie podejście byłoby równoznaczne z przyznaniem pierwszeństwa formie zaskarżonego aktu przed jego istotą ( ). 58. Artykuł 17 ust. 1 dyrektywy 2016/680 stanowi, że prawa osób, których dane dotyczą, mogą być wykonywane „za pośrednictwem” właściwego organu nadzorczego. W motywie 48 tej dyrektywy stwierdzono, że organ nadzorczy działa „w imieniu” osoby, której dane dotyczą. Zgodnie z art. 17 ust. 3 tej dyrektywy organ nadzorczy „informuje” osobę, której dane dotyczą, przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów. 59. Organ nadzorczy ds. informacji policyjnych twierdzi, że z brzmienia tych przepisów wynika, że organ nadzorczy korzysta tylko z mandatu do działania w imieniu osoby, której dane dotyczą, i występuje w roli „posłańca”, który po prostu przekazuje informacje tej osobie. Z tego względu aktu wydawanego przez ten organ nie można uznawać za wywołujący wiążące skutki prawne wobec osoby, której dane dotyczą. Rząd czeski podnosi podobny argument. 60. Nie sprzeciwiam się twierdzeniu, że sformułowania, których użyto w odniesieniu do wykonywania praw przysługujących osobie, której dane dotyczą, „za pośrednictwem” organu nadzorczego lub w odniesieniu do podejmowania działania przez organ nadzorczy „w imieniu” osoby, której dane dotyczą, można – rozpatrywane samodzielnie – rozumieć jako sugerujące, że organ nadzorczy dysponuje mandatem, by po prostu przekazać informacje. 61. Uważam jednak, że analiza kontekstu aktu oraz uprawnień organu nadzorczego nie potwierdza tezy o istnieniu zwykłego mandatu. W kontekście pośredniego wykonywania praw przysługujących osobie, których dane dotyczą, rola organu nadzorczego wykracza daleko poza działanie w sposób podobny do „pełnomocnika” osoby, której dane dotyczą, jako „posłańca” lub pośrednika. Jak wykażę, prawodawca Unii – wręcz przeciwnie – przyznał organowi nadzorczemu czołową i aktywną rolę w weryfikacji zgodności przetwarzania danych z prawem, której to weryfikacji może dokonać jedynie organ publiczny. 62. Ściślej rzecz ujmując, jak podniosły Komisja i rząd belgijski, art. 17 dyrektywy 2016/680 należy odczytywać w związku z przepisami sekcji 2 rozdziału VI tej dyrektywy, w której określono zasady dotyczące właściwości, zadań i uprawnień niezależnych organów nadzorczych. Artykuł 46 ust. 1 lit. g) tej dyrektywy przewiduje obowiązek zapewnienia, aby organ nadzorczy „sprawdzał zgodność przetwarzania z prawem na mocy art. 17 oraz informował osobę, której dane dotyczą, w rozsądnym terminie o wynikach tej kontroli zgodnie z ust. 3 tego artykułu lub o powodach jej nieprzeprowadzenia”. 63. Rząd belgijski słusznie podkreślił w odpowiedzi na pytanie pisemne Trybunału, że konkretne zadanie polegające na sprawdzeniu zgodności przetwarzania z prawem świadczy o tym, że rola organu nadzorczego nie ogranicza się do działania w charakterze „posłańca” w kontakcie między osobą, której dane dotyczą, a administratorem. Zamiast tego organ ten dokonuje odpowiedniej oceny prawnej tego, czy przetwarzanie odbywa się zgodnie z prawem. 64. Ponadto, aby zrealizować przydzielone mu zadanie polegające na przeprowadzeniu niezależnej kontroli zgodności przetwarzania z prawem, każdy organ nadzorczy posiada określone uprawnienia w zakresie egzekwowania przepisów zgodnie z art. 47 dyrektywy 2016/680. Uprawnienia te stanowią „skuteczne uprawnienia w zakresie prowadzenia postępowań”, które obejmują co najmniej „uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich przetwarzanych danych osobowych”, jak również uprawnienia „naprawcze”, w tym uprawnienie do nakazania sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania. Ponadto zgodnie z art. 47 ust. 5 dyrektywy 2016/680 organy nadzorcze są uprawnione do udziału w postępowaniu sądowym w celu egzekwowania przepisów dotyczących ochrony danych przyjętych na podstawie tej dyrektywy. Zgadzam się z Komisją, która zauważyła w tym względzie, że organ nadzorczy może wykonywać te uprawnienia jedynie na własny rachunek jako organ publiczny, a nie jako zwykły pełnomocnik lub w imieniu osoby, której dane dotyczą. 65. Gdy organ nadzorczy informuje osobę, której dane dotyczą, o wynikach kontroli przeprowadzonej przez niego na podstawie art. 17 ust. 3 i art. 46 ust. 1 lit. g) dyrektywy 2016/680, nieuchronnie dociera do kresu swojego procesu decyzyjnego w odniesieniu do zgodności przetwarzania z prawem. Na sytuację prawną osoby, której dane dotyczą, ma zatem wpływ (i) to, czy organ nadzorczy prawidłowo wykonał ciążące na nim zadanie „sprawdzania zgodności przetwarzania z prawem na mocy art. 17”, oraz (ii) wniosek organu wyciągnięty w następstwie tego procesu. 66. Uznanie organu nadzorczego za podmiot o autonomicznej roli wynikającej z art. 17 dyrektywy 2016/680, a nie za zwykłego pośrednika, znajduje potwierdzenie w wykładni tej dyrektywy dokonywanej w świetle karty. W art. 8 ust. 3 karty powierza się niezależnemu organowi kontrolę przestrzegania zasad ochrony danych, a w szczególności prawa dostępu do danych. Poprzez zawartą w karcie wzmiankę na temat roli organów ochrony danych roli tej nadano znaczenie konstytucyjne. Rola polegająca na monitorowaniu i egzekwowaniu stosowania dyrektywy 2016/680 spoczywa na organie nadzorczym. Wykładnia, zgodnie z którą organ ten, gdy wykonuje pośrednio prawa przysługujące osobie, której dane dotyczą, działa oddzielnie od osoby zainteresowanej, stanowi wsparcie dla konstytucyjnej roli tego organu nadzorczego. 67. Ponadto, jeśliby przyjąć, że organ nadzorczy działa w sposób podobny do „pełnomocnika” osoby, której dane dotyczą, wówczas organ ten byłby zobowiązany, by odpowiadać przed osobą, której dane dotyczą, jako przed swoim mocodawcą. Organ nadzorczy ds. informacji policyjnych argumentuje jednak, że nie jest uprawniony do udzielania dalszych informacji osobie, której dane dotyczą. Takie podejście prowadzi do szczególnej sytuacji, w której pełnomocnik miałby większą wiedzę niż jego mocodawca. 68. Podczas rozprawy rząd francuski podniósł zasadniczo, że w przeciwieństwie do sytuacji, w której organ nadzorczy zajmuje się skargami na podstawie art. 46 ust. 1 lit. f) dyrektywy 2016/680, organ nadzorczy nie ma żadnych uprawnień przeciwko administratorowi na podstawie art. 46 ust. 1 lit. g). Zdaniem rządu francuskiego, ponieważ osoba, której dane dotyczą, nie dysponuje uprawnieniami przeciwko administratorowi, gdy wykonuje swoje prawa bezpośrednio, nie może mieć tych uprawnień w sytuacji, gdy wykonuje swoje prawa pośrednio za pośrednictwem organu nadzorczego. Rząd francuski utrzymywał, że art. 47 dyrektywy 2016/680 dotyczy wyłącznie uprawnień wykonywanych przez organ nadzorczy na jego własny rachunek, lecz nie kompetencji realizowanych w imieniu osoby, której dane dotyczą. 69. Stanowisko rządu francuskiego opiera się zasadniczo na tezie, że organ nadzorczy występuje po prostu jako pośrednik osoby, której dane dotyczą. Z powodów wyjaśnionych powyżej nie podzielam takiej zawężającej wykładni roli organu nadzorczego. Pośrednie wykonywanie praw osoby, której dane dotyczą, musi mieć wartość dodaną, stanowiąc dodatkową gwarancję i zabezpieczenie dla osoby, której dane dotyczą. Jeżeli organ miałby jedynie potwierdzać we wszystkich okolicznościach, że przeprowadzono konieczne weryfikacje, bez możliwości wykonywania swoich uprawnień, jego rola w zakresie weryfikacji zgodności przetwarzania z prawem cechowałaby się ograniczoną wartością dodaną. 70. W tym względzie art. 17 dyrektywy 2016/680 stanowi, że organ nadzorczy ma informować osobę, której dane dotyczą, przynajmniej o przeprowadzeniu wszelkich niezbędnych weryfikacji. Oznacza to, że możliwe są okoliczności, w których organ nadzorczy może lub musi wykroczyć poza zakres minimum informacji. Za taką wykładnią przemawia art. 46 ust. 1 lit. g) dyrektywy 2016/680, w którym powierzono organowi nadzorczemu sprawdzenie zgodności przetwarzania z prawem na podstawie art. 17 dyrektywy 2016/680 oraz informowanie osób, których dane dotyczą, o wynikach kontroli na podstawie ust. 3 tego artykułu. „Wyniki kontroli” obejmują udzielenie minimum informacji, ale nie zawsze ograniczają się do takiego minimum. 71. Jak zauważyła Komisja, w art. 17 dyrektywy 2016/680 nadano organowi nadzorczemu uprawnienia dyskrecjonalne. Nie przyznano w nim państwom członkowskim uprawnienia dyskrecjonalnego do ograniczenia roli organu do roli posłańca lub do całkowitego wyeliminowania pewnego zakresu uznania przewidzianego dla takiego organu poprzez stwierdzenie, że ma on udzielać jedynie minimum informacji. Gdyby bowiem państwo członkowskie mogło odstąpić od dyrektywy 2016/680 i przyznać organom nadzorczym mniej uprawnień, poważnie zagrażałoby to celowi, jakim jest wzmocnienie praw osób, których dane dotyczą, i ujednolicenie uprawnień w zakresie monitorowania i zapewnienia zgodności z przepisami o ochronie danych w państwach członkowskich. Szkodziłoby to również przyświecającemu tej dyrektywie celowi, jakim jest zwiększenie przejrzystości i kontroli. 72. Podczas rozprawy organ nadzorczy ds. informacji policyjnych wyraził wątpliwość dotyczącą uznania jego roli za wykraczającą poza zwykłe wykonywanie mandatu w imieniu osoby, której dane dotyczą. Argumentował, że w ramach art. 17 dyrektywy 2016/680 organ nadzorczy nie może decydować, czy działanie administratora jest wskazane, i nie może wyważać interesów, z jakimi wiąże się przekazywanie odpowiednich informacji. Organ ten argumentował, że gdyby było inaczej, miałby obowiązek wstąpić w miejsce administratora, co stałoby w sprzeczności z jego niezależnością. 73. W tym względzie uprawnień dyskrecjonalnych organu nadzorczego wynikające z art. 17 dyrektywy 2016/680 nie należy rozumieć jako uprawnienia do zajęcia miejsca administratora i do przyznania automatycznego dostępu do informacji, których ujawnienia odmówił administrator. Ze względu na swoją niezależność organ nadzorczy nawiązuje poufny dialog z administratorem w celu sprawdzenia zgodności przetwarzania z prawem. Jak w istocie argumentowała Komisja, konieczność owego dialogu można wywieść z nałożonego na administratora w art. 15 ust. 4 dyrektywy 2016/680 obowiązku udostępnienia organowi nadzorczemu informacji o faktycznych lub prawnych powodach, na jakich opiera się decyzja. 74. Jeżeli w kontekście tego dialogu organ nadzorczy dojdzie do wniosku, że ograniczenia praw osoby, których dane dotyczą, nie są uzasadnione, musi dać administratorowi możliwość naprawienia tej sytuacji. W następstwie tego dialogu organ nadzorczy zgodnie z art. 17 ust. 3 dysponuje marginesem uznania w kwestii zakresu informacji, jakie może ujawnić osobie, której dane dotyczą, na temat wyników przeprowadzonej przez siebie weryfikacji. Określenie zakresu informacji, które organ może ujawnić, należy oceniać indywidualnie dla każdego przypadku, zgodnie z zasadą proporcjonalności. Ponadto organ nadzorczy musi być w stanie zapewnić zgodność z przepisami dyrektywy 2016/680 i wykonywać uprawnienia określone w art. 47. Przepis ten nie ustanawia żadnych ograniczeń w odniesieniu do wykonywania tych uprawnień w kontekście art. 17 tej dyrektywy. Wręcz przeciwnie: skuteczne uprawnienia organu nadzorczego stanowią konieczną i silną przeciwwagę dla ograniczenia prawa dostępu do danych przysługującego osobie, której dane dotyczą. c) Hierarchia środków prawnych wnoszonych do sądu 75. Wreszcie, organ nadzorczy ds. informacji policyjnych i rząd czeski przedstawiły argument dotyczący hierarchii środków prawnych wnoszonych do sądu. Utrzymują zasadniczo, że w kontekście pośredniego wykonywania praw za pośrednictwem organu nadzorczego prawo do wniesienia środka prawnego do sądu należy wykonywać przeciwko administratorowi zgodnie z art. 54 dyrektywy 2016/680, a nie przeciwko organowi nadzorczemu, chyba że ten ostatni nie podejmuje działania. 76. W tym względzie należy zauważyć, że z żadnego z przepisów dyrektywy 2016/680 nie wynika, że środki prawne przewidziane w tej dyrektywie wzajemnie się wykluczają. Z wspomnianego powyższego brzmienia art. 52, 53 i 54 dyrektywy 2016/680 wynika natomiast ( ), że przepisy te przewidują różne środki prawne dla osób twierdzących, że naruszono przepisy, co oznacza, że każdy z tych środków należy postrzegać jako środek, z którego można skorzystać „bez uszczerbku” dla pozostałych ( ). Należy przypomnieć, że w odniesieniu do stosunku między środkami ochrony prawnej przewidzianymi w rozporządzeniu (UE) 2016/679 ( ) Trybunał orzekł w wyroku Nemzeti, że rozporządzenie to „nie przewiduje pierwszeństwa lub wyłączności ani żadnej zasady nadrzędności oceny dokonanej przez organ lub sądy w odniesieniu do istnienia naruszenia praw przyznanych przez to rozporządzenie” ( ). 77. Wbrew stanowisku rządu francuskiego i organu nadzorczego ds. informacji policyjnych uważam, że tok rozumowania w wyroku Nemzeti ma zastosowanie przez analogię do środków prawnych przewidzianych w dyrektywie 2016/680. Po pierwsze, środki prawne, z których może skorzystać osoba, której dane dotyczą, przeciwko organowi nadzorczemu i administratorowi na podstawie rozporządzenia 2016/679 i dyrektywy 2016/680, są podobne. Po drugie, motyw 7 dyrektywy 2016/680 stanowi, że aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić prawa osób, których dane dotyczą ( ). Udostępnienie kilku środków prawnych wzmacnia cel określony również w motywie 85 dyrektywy 2016/680, jakim jest zagwarantowanie prawa do skutecznego środka prawnego przed sądem zgodnie z art. 47 karty w odniesieniu do każdej osoby, której dane dotyczą, uważającej, że naruszono jej prawa wynikające z przepisów przyjętych na podstawie tej dyrektywy. 78. Należy również zauważyć, że środek prawny przeciwko organowi nadzorczemu i środek prawny przeciwko administratorowi służą odmiennym celom. Z jednej strony, jak słusznie zauważyła Komisja, celem skargi na decyzję administratora o ograniczeniu praw osoby, której dane dotyczą, jest doprowadzenie do sądowej kontroli prawidłowości zastosowania art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4 dyrektywy 2016/680. Z drugiej strony celem skargi przeciwko organowi nadzorczemu jest uzyskanie sądowej kontroli prawidłowości zastosowania art. 17 i art. 46 ust. 1 lit. g) dyrektywy 2016/680, co obejmuje rozważenie, czy organ nadzorczy prawidłowo wykonał swój obowiązek polegający na weryfikacji zgodności przetwarzania z prawem. 79. Należy również zauważyć, że system ochrony sądowej byłby niespójny i niekompletny, gdyby osoba, której dane dotyczą, mogła zakwestionować jedynie bezczynność organu nadzorczego, natomiast działanie i sposób wykonania obowiązków przez organ byłyby wyłączone z kontroli sądowej. 80. W każdym razie wydaje się, że w postępowaniu głównym niemożliwe jest wniesienie skargi przeciwko administratorowi. Z odesłania prejudycjalnego wynika, że osoby, których dane dotyczą, nie mogą wnieść skargi przeciwko administratorowi, ponieważ wykonywanie całości ich praw powierzono organowi nadzorczemu ds. informacji policyjnych. Ligue des droits humains podniosła ponadto, że w ramach belgijskiego systemu policyjnych baz danych osobie, której dane dotyczą, bardzo trudno jest nawet zidentyfikować administratora. W takich okolicznościach istnieje ryzyko, że osoba, której dane dotyczą, zostanie całkowicie pozbawiona skutecznej ochrony sądowej, ponieważ nie wie, kto jest administratorem, a nawet jeśli posiada taką wiedzę, nie ma prawa zwrócić się bezpośrednio do administratora. Ponadto nie może zaskarżyć działania organu nadzorczego ds. informacji policyjnych. Odnoszę wrażenie, że osoba, której dane dotyczą, ma do czynienia z systemem, w którym „wszystkie drzwi są zamknięte”, co stoi w sprzeczności z dyrektywą 2016/680. 81. W świetle powyższych rozważań uważam, że art. 17 dyrektywy 2016/680 w związku z art. 46 ust. 1 lit. g) tej dyrektywy oraz w świetle art. 47 i art. 8 ust. 3 karty należy interpretować w ten sposób, że wymagają one zapewnienia osobie, której dane dotyczą, dostępu do środka prawnego przed sądem przeciwko niezależnemu organowi nadzorczemu, w sytuacji gdy taka osoba, której dane dotyczą, wykonuje przysługujące jej prawa za pośrednictwem tego organu, w zakresie, w jakim ów środek prawny dotyczy zadania organu nadzorczego polegającego na sprawdzeniu zgodności przetwarzania z prawem. W przedmiocie pytania drugiego 82. W pytaniu drugim sąd odsyłający dąży zasadniczo do ustalenia, czy art. 17 dyrektywy 2016/680 jest zgodny z art. 8 ust. 3 i art. 47 karty w zakresie, w jakim zobowiązano w nim organ nadzorczy, by poinformował osobę, której dane dotyczą, wyłącznie (i) „o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów” oraz (ii) „o przysługującym jej prawie do wniesienia środka prawnego do sądu”, podczas gdy taka informacja nie pozwala na żadną kontrolę a posteriori działań podjętych i ocen dokonanych przez organ nadzorczy w odniesieniu do osoby, której dane dotyczą, w świetle obowiązków administratora. 83. Należy zauważyć na wstępie, że zgodnie z ogólną zasadą wykładni akt prawa Unii należy interpretować tak dalece, jak to możliwe, w sposób, który nie podważa jego ważności, i w zgodzie z całością prawa pierwotnego, w tym w szczególności z postanowieniami karty. W związku z tym, wówczas gdy tekst prawa wtórnego Unii można poddać więcej niż jednej wykładni, należy dać raczej pierwszeństwo tej wykładni, która zapewnia zgodność przepisu z prawem pierwotnym, niż wykładni prowadzącej do uznania jego niezgodności z tym prawem ( ). 84. Jak wyjaśniono w kontekście uwag wstępnych i w analizie pytania pierwszego, w art. 17 dyrektywy 2016/680 przewidziano, że pośrednie wykonywanie praw przysługujących osobie, której dane dotyczą, jest możliwe za pośrednictwem właściwego organu, w sytuacji gdy prawa osoby, której dane dotyczą, są ograniczone na podstawie art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4 dyrektywy 2016/680. Ograniczenia praw osoby, której dane dotyczą, są dozwolone jedynie wtedy, gdy stanowią działanie niezbędne i proporcjonalne w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby zabezpieczyć konkretny cel interesu publicznego określony w tych przepisach. 85. Pytanie prejudycjalne jest pytaniem o to, w jakim stopniu treść informacji udzielanych przez organ nadzorczy wykonujący pośrednio prawa przysługujące osobie, której dane dotyczą, pozwala osobie, której dane dotyczą, wykonywać przysługujące jej prawo do skutecznego środka prawnego przed sądem, o którym to prawie mowa w art. 47 akapit pierwszy karty. 86. W tym względzie przypomniano już w analizie pytania pierwszego, że prawo do skutecznego środka prawnego przed sądem, o którym to prawie mowa w art. 47 karty, należy przyznać każdej osobie powołującej się na prawa lub wolności zagwarantowane w prawie Unii przeciwko każdemu niekorzystnemu orzeczeniu, mogącemu naruszać te prawa lub wolności ( ). 87. Należy jednak mieć na uwadze, że prawo do skutecznej ochrony sądowej nie jest prawem bezwzględnym i że zgodnie z art. 52 ust. 1 karty dopuszcza się wprowadzenie ograniczeń tego prawa, o ile (i) ograniczenia te są przewidziane w ustawie, (ii) szanują istotę tych praw i wolności oraz (iii) w zgodzie z zasadą proporcjonalności są one konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznanym przez Unię lub potrzebom ochrony praw i wolności innych osób ( ). 88. W kontekście pośredniego wykonywania praw za pośrednictwem organu nadzorczego należy podkreślić, że możliwość pośredniego wykonywania praw zostaje uruchomiona za sprawą ograniczenia praw osoby, której dane dotyczą. Organ nadzorczy ma za zadanie działać w sytuacji, gdy w drodze wyjątku prawo jest ograniczone, w tym gdy w zależności od okoliczności informacje dotyczące przyczyn takiego ograniczenia są pomijane przez administratora ( ). Jak obszernie omówiono w analizie pytania pierwszego, przy realizacji takiego zadania rola organu nadzorczego nie ogranicza się do działania w charakterze zwykłego „posłańca”, ale raczej polega na zapewnieniu zgodności przetwarzania z prawem. 89. Szczegółowość informacji, których organ nadzorczy może udzielić osobie, której dane dotyczą, w sposób konieczny zależy od przyczyn, dla których doszło do ograniczenia prawa dostępu. Im poważniejsza przyczyna ograniczenia i ewentualnego pominięcia informacji, tym mniej informacji będzie w stanie udzielić organ nadzorczy. Wbrew założeniu leżącemu u podstaw sformułowania pytania prejudycjalnego z art. 17 ust. 3 dyrektywy 2016/680 nie wynika, że organ nadzorczy może „jedynie” potwierdzić we wszystkich okolicznościach, że przeprowadzono wszelkie niezbędne weryfikacje. Przeciwnie: na mocy tego przepisu organ nadzorczy stwierdza „przynajmniej”, że przeprowadzono wszelkie niezbędne weryfikacje lub przeglądy. 90. Wynika z tego, że informacji, których ma udzielić organ nadzorczy, nie można określić z góry. Innymi słowy, minimum określone w art. 17 ust. 3 nie jest jedyną możliwą treścią informacji. Jak zauważyła Komisja, poziom informacji należy określać indywidualnie i może być uzależniony od okoliczności i wyważenia poszczególnych interesów w świetle zasady proporcjonalności. Dla zilustrowania: jak słusznie zauważono w piśmiennictwie ( ), zdawałoby się, że nie byłoby rzeczą problematyczną dla organu nadzorczego wskazanie osobie, której dane dotyczą, że do pojawienia się jej imienia i nazwiska w policyjnej bazie danych doprowadził błąd pisarski. 91. Należy zauważyć, że we wniosku Komisji dotyczącym dyrektywy o ochronie danych w sprawach karnych przewidywano, że organy nadzorcze, poza udzieleniem minimum informacji, będą miały obowiązek poinformować osobę, której dane dotyczą, „o ich wynikach w odniesieniu do zgodności z prawem danej operacji przetwarzania” ( ). Tej ostatniej części informacji – czyli wyników w odniesieniu do zgodności z prawem danej operacji przetwarzania – nie uwzględniono w art. 17 dyrektywy 2016/680. Nie oznacza to jednak, że można tolerować ewentualne naruszenia zasad ochrony danych osobowych. W przedstawionej przeze mnie analizie pytania pierwszego podkreśliłam, że organ nadzorczy nawiązuje z administratorem danych poufny dialog. Jeżeli organ nadzorczy uzna, że przetwarzanie jest niezgodne z prawem, umożliwia administratorowi danych naprawienie sytuacji. Jeżeli jednak sytuacja nie zostanie naprawiona, organ nadzorczy dysponuje uprawnieniami w zakresie egzekwowania przepisów na mocy art. 47 dyrektywy 2016/680, z których należy skorzystać. W takiej sytuacji nie wystarczy moim zdaniem, aby organ nadzorczy przedstawił sprawę parlamentowi krajowemu, jak zasugerował na rozprawie organ nadzorczy ds. informacji policyjnych. Musi on skorzystać z przysługującego mu uprawnienia do zwrócenia uwagi organów sądowych na naruszenie przepisów dotyczących ochrony danych, a w stosownym przypadku do wszczęcia postępowania sądowego lub udziału w inny sposób w takim postępowaniu zgodnie z art. 47 ust. 5 dyrektywy 2016/680. 92. Wykładnia, w ramach której organ nadzorczy dysponuje pewnym zakresem uznania przy pośrednim wykonywaniu praw przysługujących osobie, której dane dotyczą, znajduje również potwierdzenie w konstytucyjnym znaczeniu roli niezależnych organów nadzorczych przewidzianej w art. 8 ust. 3 karty. 93. Niezależnie od powyższego można wyobrazić sobie okoliczności, w których organ nadzorczy uznaje, że nie może wykroczyć poza ujawnienie minimum informacji, a mianowicie, że dokonano wszelkich niezbędnych weryfikacji. W takich okolicznościach przeprowadzenie kontroli sądowej nie byłoby możliwe, chyba że sąd odpowiedzialny za kontrolę decyzji organu nadzorczego byłby w stanie zbadać wszystkie podstawy, na których opierała się ta decyzja, jak również decyzja administratora o ograniczeniu dostępu do danych. 94. W tym względzie należy zauważyć, po pierwsze, że art. 15 ust. 4 dyrektywy 2016/680 stanowi, iż administrator ma obowiązek udokumentować faktyczne lub prawne powody decyzji o ograniczeniu prawa dostępu i udostępnić te informacje organom nadzorczym. Jak zauważył Parlament, należy przyjąć, że jeżeli określone informacje są dostępne dla organu nadzorczego, powinny zostać udostępnione również organowi sądowemu, w sytuacji gdy osoba, której dane dotyczą, wykonuje przysługujące jej prawo do kontroli decyzji administratora lub decyzji organu nadzorczego. 95. Po drugie, w wyjątkowych przypadkach, gdy administrator nie przekazuje informacji dotyczących przyczyn odmowy lub ograniczenia praw osoby, której dane dotyczą, organ nadzorczy udziela zaś jedynie minimum informacji, a mianowicie, że przeprowadzono wszelkie niezbędne weryfikacje, właściwy sąd danego państwa członkowskiego musi mieć do dyspozycji oraz zastosować metody oraz normy proceduralne pozwalające na pogodzenie z jednej strony prawnie uzasadnionych względów bezpieczeństwa publicznego lub interesu publicznego w odniesieniu do charakteru i źródeł informacji branych pod uwagę przy wydawaniu danej decyzji, a z drugiej strony konieczności zagwarantowania stronie w wystarczającym stopniu przestrzegania jej uprawnień procesowych, takich jak prawo do bycia wysłuchanym oraz zasada kontradyktoryjności ( ). 96. W tym celu zgodnie z rozumowaniem zawartym w orzecznictwie wynikającym z wyroku z dnia 4 czerwca 2013 r., ZZ (C‑300/11, EU:C:2013:363), państwa członkowskie mają obowiązek wprowadzić, po pierwsze, skuteczną kontrolę sądową zarówno istnienia i zasadności powodów przytoczonych przez organ krajowy, a po drugie – metody i normy dotyczące tej kontroli, takie jak te, o których mowa w poprzednim punkcie niniejszej opinii ( ). 97. Podczas rozprawy rząd francuski podniósł, że kontekst wyroku ZZ różnił się od kontekstu postępowania głównego, ponieważ wyrok ZZ dotyczył kontroli sądowej decyzji zakazującej obywatelowi Unii wjazdu na terytorium państwa członkowskiego ze względów bezpieczeństwa publicznego. W tym względzie należy zauważyć, że tok rozumowania Trybunału w orzecznictwie następującym po wyroku ZZ, który opiera się na wyroku Kadi ( ), bazuje na wymogu osiągnięcia właściwej równowagi między względami bezpieczeństwa państwa a wymogami prawa do skutecznej ochrony sądowej. Zapytany o to podczas rozprawy pełnomocnik rządu francuskiego przyznał, że z orzecznictwa tego wynika zasadniczo, iż przed sądem nie ma tajemnic. Uważam zatem, że orzecznictwo to powinno mieć zastosowanie w drodze analogii również w kontekście dyrektywy 2016/680, w sytuacji gdy właściwe organy uważają, że względy bezpieczeństwa narodowego lub inne względy interesu publicznego mogące uzasadnić ograniczenie praw osób, których dane dotyczą, uniemożliwiają dokładne i pełne ujawnienie podstaw takiej decyzji o zastosowaniu ograniczenia. 98. Z powyższego wynika, że art. 17 dyrektywy 2016/680 jest zgodny z art. 8 ust. 3 i art. 47 karty w zakresie, w jakim (i) organ nadzorczy może, zależnie od okoliczności, wykroczyć poza stwierdzenie, że przeprowadzono wszelkie niezbędne weryfikacje, oraz (ii) osoba, której dane dotyczą, może skorzystać z kontroli sądowej działań podjętych przez organ nadzorczy lub dokonanej przez niego oceny dotyczącej osoby, której dane dotyczą, w świetle obowiązków administratora. 99. W związku z powyższym nie podważono ważności art. 17 dyrektywy 2016/680. III. Wniosek 100. W świetle powyższych rozważań proponuję, aby Trybunał udzielił cour d’appel de Bruxelles (sądowi apelacyjnemu w Brukseli, Belgia) następujących odpowiedzi: 1) Artykuł 17 dyrektywy (UE) 2016/680 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW w związku z art. 46 ust. 1 lit. g) tej dyrektywy i w świetle art. 47 i art. 8 ust. 3 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że wymagają one zapewnienia osobie, której dane dotyczą, dostępu do środka prawnego przed sądem przeciwko niezależnemu organowi nadzorczemu, w sytuacji gdy taka osoba, której dane dotyczą, wykonuje przysługujące jej prawa za pośrednictwem tego organu, w zakresie, w jakim ów środek prawny dotyczy zadania organu nadzorczego polegającego na sprawdzeniu zgodności przetwarzania z prawem. 2) Nie podważono ważności art. 17 dyrektywy 2016/680. ( ) Język oryginału: angielski. ( ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89). ( ) Motyw 10 dyrektywy 2016/680. ( ) Motyw 2 dyrektywy 2016/680. ( ) Motyw 4 dyrektywy 2016/680. ( ) M. Brewczyńska, A critical reflection on the material scope of the application of the Law Enforcement Directive and its boundaries with the General Data Protection Law, w: E. Kosta, R. Leenes, I. Kamara (red.), Research Handbook on EU data protection law, Edward Elgar 2022, s. 105. ( ) Decyzja ramowa Rady z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (Dz.U. 2008, L 350, s. 60). ( ) P. Vogiatzoglou, T. Marquenie, Assessment of the Implementation of the Law Enforcement Directive, opracowanie zamówione przez komisję LIBE Parlamentu Europejskiego, Departament Tematyczny ds. Praw Obywatelskich i Spraw Konstytucyjnych, listopad 2022 r. (zwana dalej „Oceną wdrożenia dyrektywy o ochronie danych w sprawach karnych”), s. 54. ( ) G. Zanfir-Fortuna, Article 15. Right of access by the data subject, w: C. Kuner, L. Bygrave, C. Docksey (red.), The EU General Data Protection Regulation (GDPR), A Commentary, Oxford, Oxford University Press 2020, s. 452. ( ) Ibidem. ( ) H. Kranenborg, Article 8 – Protection of personal data, w: S. Peers i in. (red.), The EU Charter of Fundamental Rights, A Commentary, Hart Publishing 2021, s. 272, pkt 08.171. Zobacz wyroki: z dnia 7 maja 2009 r., Rijkeboer (C‑553/07, EU:C:2009:293, pkt 51, 52); z dnia 20 grudnia 2017 r., Nowak (C‑434/16, EU:C:2017:994, pkt 57). ( ) Dokument roboczy służb Komisji, Streszczenie oceny skutków [SEC(2012) 73 wersja ostateczna z dnia 25 stycznia 2012 r.], s. 3. ( ) Wniosek Komisji Europejskiej dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych [COM(2012) 10 wersja ostateczna z dnia 25 stycznia 2012 r.] (zwany dalej „wnioskiem Komisji dotyczącym dyrektywy o ochronie danych w sprawach karnych”), s. 2. ( ) Grupa Robocza Artykuł 29, Opinia dotycząca niektórych głównych zagadnień dyrektywy (UE) 2016/680 dotyczącej egzekwowania prawa z dnia 29 listopada 2017 r., 17/PL WP 258 (zwana dalej „opinią Grupy Roboczej Artykuł 29 dotyczącą dyrektywy 2016/680”), s. 29 (wyróżnienie moje). ( ) Wyrok z dnia 2 marca 2023 r., Eurocostruzioni (C‑31/21, EU:C:2023:136, pkt 53 i przytoczone tam orzecznictwo). ( ) Grupę Roboczą Artykuł 29 utworzono na podstawie art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31) jako niezależny europejski organ doradczy w kwestiach ochrony danych i prywatności. Z dniem 25 maja 2018 r. przestała ona istnieć i została zastąpiona przez Europejską Radę Ochrony Danych (EROD). ( ) Opinia Grupy Roboczej Artykuł 29 dotycząca dyrektywy 2016/680, op.cit. w przypisie 14, s. 21, 29. ( ) Zobacz podobnie wyrok z dnia 20 września 2022 r., SpaceNet i Telekom Deutschland (C‑793/19 i C‑794/19, EU:C:2022:702, pkt 57 i przytoczone tam orzecznictwo). ( ) Europejski Inspektor Ochrony Danych (EIOD), Opinia 6/2015, A further step towards comprehensive EU data protection, EDPS recommendations on the Directive for data protection in the police and justice sectors [Kolejny krok w kierunku kompleksowej unijnej ochrony danych. Zalecenia EIOD dotyczące dyrektywy w sprawie ochrony danych w sektorze policji i wymiaru sprawiedliwości], z dnia 28 października 2015 r., s. 7. ( ) Zobacz opinia Grupy Roboczej Artykuł 29 dotycząca dyrektywy 2016/680, s. 28. ( ) Ocena wdrożenia dyrektywy o ochronie danych w sprawach karnych, op.cit. w przypisie 8, s. 57. Z art. 17 ust. 1 lit. a) decyzji ramowej 2008/977 wynika, że osoby, których dane dotyczą, mogły wykonywać swoje prawo dostępu wobec administratora danych lub krajowego organu nadzorczego oraz że mogły uzyskać potwierdzenie dotyczące przekazania ich danych i powiadomienie o nich lub przynajmniej potwierdzenie od krajowego organu nadzorczego, że dokonano wszystkich koniecznych weryfikacji. ( ) Zobacz art. 17 decyzji ramowej 2008/977. ( ) Pragnę zauważyć, że w dokumencie Ocena wdrożenia dyrektywy o ochronie danych w sprawach karnych, w przypisie 8, s. 62, uznano transponowanie rozdziału III dyrektywy 2016/680 przez belgijskiego ustawodawcę za „najbardziej zaskakujące” w tym względzie, że zaproponowano osobom, których dane dotyczą, „jedyne możliwość pośredniego wykonywania przysługujących im praw, za pośrednictwem krajowego organu nadzorczego, co w sposób oczywisty jest niezgodne z brzmieniem [tej dyrektywy]” (wyróżnienie moje). ( ) Conseil d’État (rada stanu), sekcja ustawodawcza, Opinia 63.192/2 z dnia 19 kwietnia 2018 r., s. 32 (wyróżnienie moje). ( ) Wyrok z dnia 16 lutego 2023 r., Staatssecretaris van Justitie en Veiligheid (Dziecko nieurodzone w chwili składania wniosku o azyl) (C‑745/21, EU:C:2023:113, pkt 43). ( ) Zobacz pkt 27–30 powyżej. ( ) Zobacz podobnie wyrok z dnia 10 czerwca 2021 r., Ultimo Portfolio Investment (Luxembourg) (C‑303/20, EU:C:2021:479, pkt 25). ( ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 87 i przytoczone tam orzecznictwo). ( ) Zobacz podobnie w odniesieniu do aktów niekorzystnych w rozumieniu art. 90 ust. 2 regulaminu pracowniczego wyrok z dnia 15 grudnia 2022 r., Picard/Komisja (C‑366/21 P, EU:C:2022:984, pkt 95). ( ) Wyrok z dnia 15 grudnia 2022 r., Picard/Komisja (C‑366/21 P, EU:C:2022:984, pkt 96). Elementy te mają również decydujące znaczenie dla ustalenia, czy akt Unii wywołuje wiążące skutki prawne i czy w związku z tym może zostać zaskarżony na podstawie art. 263 TFUE. Zobacz wyrok z dnia 15 lipca 2021 r., FBF (C‑911/19, EU:C:2021:599, pkt 38). ( ) Wyrok z dnia 15 grudnia 2022 r., Picard/Komisja (C‑366/21 P, EU:C:2022:984, pkt 97). ( ) Punkt 51 niniejszej opinii. ( ) Zobacz analogicznie wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, pkt 34). ( ) Artykuł 77 ust. 1, art. 78 ust. 1 i art. 79 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1). ( ) Wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, pkt 35). ( ) Zobacz analogicznie w odniesieniu do motywu 11 rozporządzenia 2016/679 wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, pkt 42). ( ) Wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 86 i przytoczone tam orzecznictwo). ( ) Zobacz pkt 54 niniejszej opinii i przytoczone tam orzecznictwo. ( ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 89 i przytoczone tam orzecznictwo). ( ) Zobacz pkt 37 i 38 niniejszej opinii. ( ) D. Dimitrova, P. de Hert, The right of access under the Police Directive: Small steps forward, w: M. Medina i in. (red.), Privacy technologies and policy: 6th Annual Privacy Forum, APF 2018, Springer International Publishing 2018, s. 123. ( ) Zobacz art. 14 wniosku Komisji dotyczącego dyrektywy o ochronie danych w sprawach karnych. Artykuł 45 ust. 1 lit. c) tego wniosku przewidywał po stronie organu nadzorczego „obowiązek” sprawdzenia zgodności przetwarzania z prawem na podstawie art. 14 oraz poinformowania osoby, której dane dotyczą, w rozsądnym terminie „o rezultatach tej weryfikacji lub o przyczynach, dla których weryfikacji nie przeprowadzono”. ( ) Zobacz podobnie wyrok z dnia 4 czerwca 2013 r., ZZ (C‑300/11, EU:C:2013:363; pkt 57). ( ) Ibidem, pkt 58. ( ) Wyrok z dnia 3 września 2008 r., Kadi i Al Barakaat International Foundation/Rada i Komisja (C‑402/05 P i C‑415/05 P, EU:C:2008:461).

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 13.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło