C-422/24
Opinia rzecznika generalnegoTSUE2025-08-01CELEX: 62024CC0422ECLI:EU:C:2025:623
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy w przypadku zbierania danych osobowych przy użyciu kamer nasobnych przez kontrolerów biletów pracujących dla przedsiębiorstwa transportu publicznego zastosowanie ma art. 13 RODO (gdy dane są zbierane od osoby, której dane dotyczą) czy art. 14 RODO (gdy dane są pozyskiwane w sposób inny niż od osoby, której dane dotyczą)?Ratio decidendi
Rzeczniczka Generalna argumentuje, że kluczowym kryterium rozróżniającym zastosowanie art. 13 i 14 RODO jest źródło danych, a nie aktywny udział osoby, której dane dotyczą, w ich dostarczaniu. Zbieranie danych za pomocą kamer nasobnych jest formą bezpośredniego zbierania danych od osoby, której dane dotyczą, ponieważ jej fizyczna obecność na danym obszarze sprawia, że staje się ona źródłem danych. W związku z tym, zastosowanie ma art. 13 RODO, wymagający natychmiastowego udzielenia informacji. Taka wykładnia jest zgodna z zasadą przejrzystości RODO, zapewniając osobie, której dane dotyczą, możliwość skorzystania z jej praw od chwili rozpoczęcia zbierania danych, a także zapobiega obchodzeniu obowiązku natychmiastowego informowania.Stan faktyczny
Spółka AB Storstockholms Lokaltrafik (spółka SL), operator transportu publicznego, wyposażyła swoich kontrolerów biletów w kamery nasobne, służące do nagrywania pasażerów bez ważnego biletu, zapobiegania przemocy i weryfikacji tożsamości. Kamery rejestrowały obrazy i dźwięki w sposób ciągły, z pamięcią cykliczną, która automatycznie usuwała nagrania po minucie, chyba że kontroler ręcznie je zachował. Szwedzki urząd ochrony danych (Integritetsskyddsmyndigheten) stwierdził, że spółka SL przetwarzała dane niezgodnie z RODO, w tym nie podawała odpowiednich informacji zgodnie z art. 13 RODO, i nałożył na nią karę pieniężną.Rozstrzygnięcie
Artykuły 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że w przypadku zbierania danych osobowych przy użyciu kamery nasobnej przez kontrolerów biletów pracujących dla przedsiębiorstwa transportu publicznego zastosowanie ma art. 13, natomiast art. 14 nie ma zastosowania.Pełny tekst orzeczenia
OPINIA RZECZNICZKI GENERALNEJ
LAILI MEDINY
przedstawiona w dniu 1 sierpnia 2025 r. ( )
Sprawa C‑422/24
Integritetsskyddsmyndigheten
przeciwko
AB Storstockholms Lokaltrafik
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Högsta förvaltningsdomstolen (najwyższy sąd administracyjny, Szwecja)]
Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych i swobodny przepływ takich danych – Rozporządzenie (UE) 2016/679 – Dane osobowe pozyskane przy użyciu kamery nasobnej używanej przez kontrolera biletów pracującego dla przedsiębiorstwa transportu publicznego – Informacje udzielane osobie, której dane dotyczą – Artykuły 13 i 14
I. Wprowadzenie
1.
Niniejsza sprawa dotyczy obowiązku administratora w rozumieniu art. 4 pkt 7 rozporządzenia (UE) 2016/679 (zwanego dalej „RODO”) ( ), który to obowiązek polega na podaniu osobie, której dane dotyczą, informacji w sytuacji zbierania danych osobowych przy użyciu kamery nasobnej przez kontrolera biletów w środkach transportu publicznego. Obowiązek udzielenia informacji ciążący na administratorze w odniesieniu do osób, których dotyczy przetwarzanie danych osobowych, jest ściśle związany z prawem do informacji, które zostało przyznane tym osobom w art. 12 i 14 RODO ( ). Prawo do informacji, stanowiące fundament zasady przejrzystości ( ), „gwarantuje przejrzystość wszelkich czynności przetwarzania” w kontekście RODO ( ).
2.
Do Trybunału zwrócono się konkretnie o rozstrzygnięcie, czy w sytuacji wiążącej się ze zbieraniem danych przy użyciu kamery nasobnej, właściwą podstawą prawną jest art. 13 czy art. 14 RODO. Określenie zakresu stosowania każdego z tych przepisów pociąga za sobą ważne skutki dla ram czasowych udzielania informacji, a także dla ewentualnych wyjątków.
II. Ramy prawne
3.
Artykuł 13 RODO, zatytułowany „Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą”, stanowi:
„1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a)
swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b)
gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c)
cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d)
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e)
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f)
gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a)
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b)
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c)
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d)
informacje o prawie wniesienia skargi do organu nadzorczego;
e)
informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f)
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
4. Ustęp[y] 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami”.
4.
Artykuł 14 RODO, zatytułowany „Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą”, stanowi:
„1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
a)
swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b)
gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c)
cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d)
kategorie odnośnych danych osobowych;
e)
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f)
gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję [Europejską] odpowiedniego stopnia ochrony […].
2. Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
a)
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b)
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
c)
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
d)
jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
e)
informacje o prawie wniesienia skargi do organu nadzorczego;
f)
źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
g)
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Informacje, o których mowa w ust. 1 i 2, administrator podaje:
a)
w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
b)
jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
c)
jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
4. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
5. Ustęp[y] 1–4 nie mają zastosowania, gdy – i w zakresie, w jakim:
a)
osoba, której dane dotyczą, dysponuje już tymi informacjami;
b)
udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
[…]”.
III. Okoliczności poprzedzające postępowanie główne i pytanie prejudycjalne
5.
Spółka AB Storstockholms Lokaltrafik (przedsiębiorstwo transportu publicznego, zwane dalej „spółką SL”) jest operatorem usług transportu publicznego. Wyposażyła ona pracujących dla niej kontrolerów biletów w kamery nasobne. Kamery te służą nagrywaniu pasażerów, którzy podczas kontroli biletów nie posiadają ważnego biletu i którzy muszą uiścić mandat. Kamery nasobne są wykorzystywane w celu zapobiegania groźbom i aktom przemocy wobec kontrolerów oraz dokumentowania takich sytuacji, a także w celu weryfikowania tożsamości pasażerów zobowiązanych do uiszczenia mandatu.
6.
W toku czynności nadzorczych Integritetsskyddsmyndigheten (szwedzki urząd ochrony danych, zwany dalej „urzędem ochrony danych”) analizował, czy przetwarzanie przez spółkę SL danych osobowych zebranych przy użyciu kamer nasobnych jest zgodne z RODO. W czerwcu 2021 r. urząd ten wydał decyzję nadzorczą (zwaną dalej „decyzją nadzorczą”), zawierającą szereg ustaleń w przedmiocie wykorzystywania i funkcjonowania kamer nasobnych. Ściślej rzecz ujmując, z decyzji tej wynika, że kontrolerzy biletów noszą kamery przez całą zmianę. Kamery rejestrują obrazy i dźwięki w sposób ciągły. Są one wyposażone w tak zwaną pamięć cykliczną, co oznacza, że po upływie określonego czasu wszystkie materiały wideo są automatycznie usuwane. Usunięcie materiału powoduje jego skasowanie. Początkowo zarejestrowany materiał był przechowywany przez dwie minuty, ale w toku audytu nadzorczego czas ten skrócono do jednej minuty. Naciśnięcie przycisku przez kontrolera biletów wstrzymuje działanie funkcji automatycznego usuwania, pozwalając tym samym zapewnić, że nagranie nie zostanie skasowane. Kontrolerom biletów polecono wstrzymywać działanie funkcji automatycznego usuwania zawsze, gdy nakładają mandat, a także w przypadku kierowania wobec nich gróźb.
7.
W decyzji nadzorczej urząd ochrony danych stwierdził, że w okresie od grudnia 2018 r. do dnia wydania przez urząd decyzji w czerwcu 2021 r. Spółka SL przetwarzała dane osobowe – w drodze wykorzystywania kamer nasobnych w związku z kontrolami biletów – w sposób niezgodny z szeregiem przepisów RODO. Spółka SL między innymi nie podawała osobom, których dane dotyczą, odpowiednich informacji w sposób zgodny z art. 13 RODO. W rezultacie spółce SL nakazano zapłatę administracyjnej kary pieniężnej w łącznej kwocie 16 mln SEK (koron szwedzkich, około 1422000 EUR), w tym 4 mln SEK (około 355000 EUR) z tytułu podawania osobom, których dane dotyczą, nieodpowiednich informacji.
8.
Spółka SL odwołała się od decyzji nadzorczej do Förvaltningsrätten i Stockholm (sądu administracyjnego w Sztokholmie, Szwecja), który oddalił skargę w zakresie, w jakim dotyczyła ona kary pieniężnej za podawanie nieodpowiednich informacji.
9.
Spółka SL wniosła wówczas apelację do Kammarrätten i Stockholm (apelacyjnego sądu administracyjnego w Sztokholmie, Szwecja), który uchylił wyrok sądu pierwszej instancji i stwierdził nieważność decyzji nadzorczej w zakresie, w jakim dotyczyła ona kary pieniężnej nałożonej na spółkę SL z tytułu podawania osobom, których dane dotyczą, nieodpowiednich informacji. W uzasadnieniu wyroku Kammarrätten i Stockholm (apelacyjny sąd administracyjny w Sztokholmie) powołał się na wyrok Trybunału z dnia 11 grudnia 2014 r., Ryneš (C‑212/13, EU:C:2014:2428, zwany dalej „wyrokiem Ryneš”), dotyczący działania systemu kamer zainstalowanego przez osobę fizyczną na jej domu rodzinnym. Zdaniem Kammarrätten i Stockholm (apelacyjnego sądu administracyjnego w Sztokholmie) z przytoczonego wyroku wynika, że w sytuacji wiążącej się z zastosowaniem monitoringu wizyjnego obowiązek udzielenia przez kontrolera odpowiednich informacji wynika z art. 11 dyrektywy 95/46/WE ( ), który stanowi wcześniejszy odpowiednik art. 14 RODO. Dodatkowo – zdaniem Kammarrätten i Stockholm (apelacyjnego sądu administracyjnego w Sztokholmie) – z brzmienia art. 13 RODO wynika, że aby można było przyjąć, iż dane osobowe zostały zebrane od osoby, której dane dotyczą, konieczny jest pewien rodzaj umyślnego działania ze strony tej osoby. Nie można uznać, że tak jest, gdy dane osobowe są pozyskiwane przy użyciu kamery nasobnej. Kammarrätten i Stockholm (apelacyjny sąd administracyjny w Sztokholmie) uznał, że ponieważ art. 13 RODO nie ma zastosowania, urząd ochrony danych nie miał podstaw, by nakładać na spółkę SL karę finansową za jego naruszenie.
10.
Urząd ochrony danych wniósł skargę kasacyjną od wyroku Kammarrätten i Stockholm (apelacyjnego sądu administracyjnego w Sztokholmie) do Högsta förvaltningsdomstolen (najwyższego sądu administracyjnego, Szwecja), będącego sądem odsyłającym, żądając uchylenia wspomnianego wyroku w zakresie dotyczącym kary pieniężnej za niepodanie osobom, których dane dotyczą, odpowiednich informacji.
11.
Urząd ochrony danych podnosił przed sądem odsyłającym, że art. 13 RODO ma zastosowanie nawet wówczas, gdy osoba, której dane dotyczą, nie uczestniczy aktywnie w zbieraniu danych. Ponieważ w przypadku korzystania z monitoringu wizyjnego informacje muszą być podane przed rozpoczęciem przetwarzania danych osobowych, osobą, która umożliwia zbieranie danych osobowych, jest osoba, której dane dotyczą, ponieważ świadomie wchodzi ona na teren objęty monitoringiem.
12.
Spółka SL wniosła do sądu odsyłającego o oddalenie skargi kasacyjnej. Argumentuje, że brzmienie art. 13 RODO sugeruje, że osoba, której dane dotyczą, musi świadomie uczestniczyć w zbieraniu danych osobowych. Co więcej, warstwowe podejście do podawania informacji w przypadku korzystania z monitoringu wizyjnego odpowiada w większym stopniu mechanizmowi przewidzianemu w art. 14 RODO niż przewidzianemu w art. 13 RODO. Artykuł 14 ust. 5 lit. b) tego rozporządzenia przewiduje wyjątek od obowiązku udzielenia informacji, w przypadku gdy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Spółka SL argumentuje, że wyjątek ten powinien mieć zastosowanie w sytuacji wiążącej się z użyciem kamer nasobnych, ponieważ udzielanie informacji indywidualnie każdemu pasażerowi, zanim nastąpi zarejestrowanie danych, byłoby niepraktyczne.
13.
Aby rozstrzygnąć, czy urząd ochrony danych słusznie nałożył na spółkę SL karę pieniężną z tytułu naruszenia art. 13 RODO, sąd odsyłający dąży do ustalenia, czy w przypadku pozyskiwania danych osobowych przy użyciu kamer nasobnych zastosowanie ma art. 13 czy art. 14 RODO. Ustalenie, który artykuł ma zastosowanie, pociąga za sobą skutki również w kontekście ustalenia, jakie informacje należy podać z chwilą powstania obowiązku udzielenia informacji, a także stwierdzenia, czy ma zastosowanie którykolwiek z wyjątków od tego obowiązku udzielenia informacji.
14.
W tych okolicznościach Högsta förvaltningsdomstolen (najwyższy sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
„Czy w przypadku gdy dane osobowe są pozyskiwane przy użyciu kamery nasobnej, zastosowanie znajduje art. 13 czy też art. 14 RODO?”.
15.
Strony w postępowaniu głównym, rządy austriacki i duński oraz Komisja przedstawiły uwagi na piśmie.
IV. Ocena
A.
Uwagi wstępne w przedmiocie zakresu pytania prejudycjalnego
16.
Pytanie zadane przez sąd odsyłający dotyczy obowiązków informacyjnych spoczywających na spółce SL, będącej operatorem transportu publicznego, które wynikają z korzystania przez jej kontrolerów z kamer nasobnych. Kamery, których dotyczy sprawa, to kamery nasobne rejestrujące obrazy i dźwięki ( ). Celem korzystania z tych kamer jest przede wszystkim zapobieganie zagrożeniom i przemocy wobec kontrolerów biletów oraz dokumentowanie tego rodzaju zachowań.
17.
Z postanowienia odsyłającego jasno wynika, że rozpatrywane przetwarzanie wchodzi w zakres stosowania RODO. Moja analiza nie obejmuje zatem przetwarzania danych w kontekście korzystania z kamer nasobnych przez organy ścigania, które wchodzi w zakres stosowania dyrektywy (UE) 2016/680 ( ).
18.
Należy również zaznaczyć, że pytanie zadane przez sąd odsyłający dotyczy wyłącznie obowiązku udzielenia przez administratora informacji na podstawie art. 13 i 14 RODO. Do Trybunału nie skierowano pytania o zgodność z prawem spornego przetwarzania danych w świetle art. 6 RODO.
B.
Zbieranie danych przy użyciu kamer nasobnych a obowiązek udzielenia informacji osobie, której dane dotyczą: określenie zakresu stosowania art. 13 i 14 RODO
19.
Sąd odsyłający w swoim pytaniu dąży zasadniczo do ustalenia, czy w sytuacji, gdy dane osobowe są zbierane przy użyciu kamer nasobnych przez kontrolerów biletów pracujących dla przedsiębiorstwa będącego operatorem transportu publicznego, zastosowanie znajduje art. 13 czy art. 14 RODO.
20.
Artykuły 13 i 14 RODO określają zakres spoczywającego na administratorze obowiązku udzielenia informacji osobie, której dane dotyczą. Artykuł 13 ma zastosowanie w przypadku zbierania danych od osoby, której dane dotyczą (bezpośrednie zbieranie danych), natomiast art. 14 ma zastosowanie w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą (pośrednie zbieranie danych) ( ).
21.
Większość poszczególnych informacji, które należy podać na podstawie art. 13 i 14 RODO, jest taka sama, chociaż istnieją pewne różnice ( ). Największa różnica między tymi dwoma przepisami dotyczy momentu, w którym należy udzielić informacji, a także możliwych wyjątków od obowiązku udzielenia informacji.
22.
Zgodnie z art. 13 ust. 1 i 2 RODO, jeżeli dane osobowe osoby, której dane dotyczą, są zbierane od tej osoby, informację należy podać „podczas pozyskiwania danych osobowych”. Jeżeli dane osobowe nie zostały pozyskane od osoby, której dane dotyczą, administrator ma obowiązek podać informacje, o których mowa w art. 14 ust. 1 i 2 RODO, w terminach określonych w art. 14 ust. 3 lit. a), b) i c) RODO. Zgodnie z ogólną zasadą administrator musi podać informacje w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych [art. 14 ust. 3 lit. a) RODO]. Terminy, w których administrator musi podać informacje, są różne w sytuacjach przewidzianych w art. 14 ust. 3 lit. b) i c) ( ).
23.
Jeżeli chodzi o ewentualne wyjątki od obowiązku udzielenia informacji, w przypadkach bezpośredniego zbierania danych na podstawie art. 13 RODO jedyny wyjątek ma zastosowanie wówczas, „gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami”. W przypadku pośredniego zbierania danych katalog ewentualnych wyjątków określonych w art. 14 ust. 5 RODO jest szerszy. Wyjątki te obejmują sytuacje, w których udzielenie informacji „okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku” [art. 14 ust. 5 lit. b) RODO]. W takich przypadkach administrator musi „pod[jąć] odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępni[ć] informacje publicznie”.
24.
Z powyższego wynika jasno, że zakres ciążącego na administratorze obowiązku udzielenia informacji będzie różny w zależności od tego, czy zastosowanie ma art. 13 czy art. 14 RODO. Rozstrzygnięcie tej kwestii będzie miało wpływ na to, które zagadnienia ma badać organ nadzorczy w celu stwierdzenia, czy doszło do naruszenia obowiązku udzielenia informacji.
25.
Po dokonaniu tych spostrzeżeń o charakterze ogólnym należy następnie przeanalizować, czy przetwarzanie danych przy użyciu kamer nasobnych, takich jak te używane w postępowaniu głównym, wchodzi w przedmiotowy zakres stosowania art. 13 czy art. 14 RODO. W tym celu zgodnie z utrwalonym orzecznictwem należy wziąć pod uwagę nie tylko brzmienie wspomnianych przepisów, lecz także ich kontekst oraz cele regulacji, której część one stanowią ( ).
26.
W pierwszej kolejności w kwestii brzmienia art. 13 i 14 RODO należy zauważyć, jak doprecyzował Trybunał w wyroku Másdi, że przedmiotowy zakres stosowania art. 14 zdefiniowano w sposób negatywny w stosunku do art. 13 RODO ( ). Jak wynika z samych tytułów tych przepisów, art. 13 dotyczy informacji, które należy podać, w sytuacji gdy dane osobowe są zbierane od osoby, której dane dotyczą, podczas gdy art. 14 dotyczy informacji, które należy podać w sytuacji, gdy dane osobowe nie są pozyskiwane od osoby, której dane dotyczą ( ). Jak zauważyła Komisja w swoich uwagach na piśmie, te dwa przepisy wzajemnie się wykluczają. Z uwagi na tę dychotomię wszystkie przypadki, w których dane są zbierane od osoby, której dane dotyczą, wchodzą w przedmiotowy zakres stosowania art. 13, a wszystkie sytuacje, w których dane nie są zbierane od osoby, której dane dotyczą, wchodzą w przedmiotowy zakres stosowania art. 14 ( ).
27.
Z postanowienia odsyłającego wynika jasno, że trudność w określeniu przedmiotowego zakresu stosowania tych przepisów sprowadza się w szczególności do kwestii, czy zastosowanie art. 13 RODO zależy od tego, czy osoba, której dane dotyczą, jest świadoma, że jej dane są zbierane, lub czy mamy do czynienia z pewnego rodzaju świadomym działaniem z jej strony w związku z podaniem tych danych (na przykład poprzez wypełnienie formularza) ( ).
28.
W tym względzie należy zauważyć, że pojęcie danych „zbieranych” od osoby, której dane dotyczą, w rozumieniu wspomnianego art. 13 ust. 1 RODO nie wymaga szczególnego działania ze strony tej osoby. „Zbieranie” jest formą „przetwarzania” danych zgodnie z definicją tego ostatniego terminu zawartą w art. 4 pkt 2 RODO. W związku z tym zbieranie danych wymaga podjęcia działania przez administratora ( ). Jak podniósł urząd ochrony danych przed sądem odsyłającym, to administrator danych, a nie osoba, której dane dotyczą, odgrywa aktywną rolę w gromadzeniu danych.
29.
Komisja i urząd ochrony danych zauważyły w swoich uwagach na piśmie, że w angielskiej i szwedzkiej wersji językowej RODO w art. 13 i 14 posłużono się dwoma różnymi czasownikami. Podczas gdy art. 13 odnosi się do danych „zbieranych” od osoby, której dane dotyczą („samlas” w języku szwedzkim), art. 14 odnosi się do danych, które nie zostały „pozyskane” od osoby, której dane dotyczą („erhållits” w języku szwedzkim). Jednakże, jak wskazała Komisja, w innych wersjach językowych zastosowano ten sam czasownik ( ), a w każdym razie użycie dwóch różnych czasowników, a mianowicie „zbierać” i „pozyskać” nie wydaje się mieć znaczenia. Do takiego wniosku można dojść również na podstawie wyroku Másdi, w którym Trybunał wyjaśnił, że dane osobowe, które zostały „pozyskane” przez administratora w rozumieniu art. 14 RODO, to wszystkie dane, które ten ostatni „zebrał od osoby innej niż osoba, której dane dotyczą […]” ( ).
30.
Dychotomia między art. 13 i 14 RODO, o której mowa w pkt 26 powyżej, wskazuje, że podstawą określenia odpowiedniego przedmiotowego zakresu stosowania tych artykułów jest nie aktywny udział osoby, której dane dotyczą, w zbieraniu danych, lecz źródło danych. Jeżeli źródłem danych jest osoba, której dane dotyczą, zastosowanie ma art. 13. Aby przepis ten miał zastosowanie, między osobą, której dane dotyczą, a administratorem nie powinien istnieć żaden pośrednik. Jeżeli źródłem danych jest źródło inne niż osoba, której dane dotyczą, zastosowanie ma art. 14. Innymi źródłami mogą być na przykład zewnętrzni administratorzy, źródła dostępne publicznie lub inne osoby, których dane dotyczą ( ).
31.
Brzmienie art. 14 ust. 2 lit. f) RODO potwierdza, że to źródło danych stanowi kryterium rozgraniczenia przedmiotowego zakresu stosowania art. 13 i 14. Zgodnie bowiem z tym przepisem, jeżeli dane nie zostały pozyskane od osoby, której dane dotyczą, administrator musi poinformować osobę, której dane dotyczą, o „źród[le] pochodzenia danych osobowych” (wyróżnienie moje).
32.
Również brzmienie motywu 61 RODO wskazuje, że kryterium różnicującym przedmiotowy zakres stosowania art. 13 i 14 jest źródło danych. Motyw ten stanowi, że „[i]nformacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności” (wyróżnienie moje). Motyw ten stanowi ponadto, że informacje należy przedstawić w sposób ogólny, „[j]eżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł” (wyróżnienie moje).
33.
Dane mogą być zbierane od osoby, której dane dotyczą, bezpośrednio z wykorzystaniem różnych metod. Takie zbieranie nie wymaga udziału ani inicjatywy osoby, której dane dotyczą, w dostarczaniu danych ani posiadania przez nią wiedzy o ich gromadzeniu. Podejście to znajduje potwierdzenie również w wytycznych Grupy Roboczej Artykuł 29 w sprawie przejrzystości, zgodnie z którymi art. 13 ma zastosowanie, gdy osoba, której dane dotyczą, świadomie przekazuje dane osobowe administratorowi danych, albo gdy administrator zbiera dane od osoby, której dane dotyczą, w drodze obserwacji. Przykłady zbierania danych w drodze obserwacji podane w tym dokumencie obejmują wykorzystanie automatycznych rejestratorów danych lub oprogramowania rejestrującego dane, na przykład kamer ( ).
34.
W przypadku bezpośredniego zbierania danych w drodze obserwacji świadomość, że dochodzi do zbierania danych, osoby, której dane dotyczą, jest konsekwencją stosowania art. 13 RODO i wynikającego z niego – ciążącego na administratorze – obowiązku przekazania informacji osobie, której dane dotyczą, podczas zbierania danych. Innymi słowy, wiedza o tym, że dochodzi do zbierania danych, nie jest warunkiem wstępnym stosowania art. 13, lecz raczej konsekwencją przewidzianego w art. 13 RODO obowiązku podania informacji osobie, której dane dotyczą, (najpóźniej) podczas zbierania danych osobowych.
35.
Z chwilą bezpośredniego zebrania danych od osoby, której dane dotyczą, i właśnie ze względu na to zbieranie danych administrator musi udzielić informacji, co pozwala osobie, której dane dotyczą, powziąć wiedzę o tym, że następuje zbieranie danych. Jak podniósł urząd ochrony danych, w przypadku obszaru objętego monitoringiem, należy zamieścić odpowiedni znak ostrzegawczy, aby osoba, której dane dotyczą, wiedziała o zbieraniu danych przed wejściem na obszar objęty monitoringiem ( ). Świadomie wchodząc na obszar objęty monitoringiem, osoba, której dane dotyczą, wyraża zgodę na zbieranie danych osobowych.
36.
Co się tyczy zbierania danych przy użyciu kamery nasobnej, takiego jak rozpatrywane w postępowaniu głównym, jak zauważył rząd austriacki, osoba, której dane dotyczą, staje się źródłem zebranych danych już ze względu na swoją fizyczną obecność na danym obszarze obejmowanym przez kamerę.
37.
Z brzmienia art. 13 i 14 RODO ani z brzmienia motywów tego rozporządzenia nie można wywieść odmiennego wniosku, a więc takiego, zgodnie z którym art. 13 miałby zastosowanie tylko wtedy, gdyby osoba, której dane dotyczą, dostarczała dane w sposób aktywny. Ściślej rzecz ujmując, wbrew temu, co twierdzą spółka SL i rząd duński, takiego wniosku nie można wywieść z art. 13 ust. 2 lit. e) RODO, odzwierciedlonego w motywie 60 tego rozporządzenia. Zgodnie z tym przepisem, jeżeli dane są zbierane od osoby, której dane dotyczą, administrator musi podać informację, „[…] czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych”. Jak wskazał urząd ochrony danych przed sądem odsyłającym, informacji dotyczących ewentualnego obowiązku podania danych należy udzielić tylko wtedy, gdy są one wymagane w konkretnym przypadku ( ). Artykułu 13 ust. 2 lit. e) RODO nie można interpretować w ten sposób, że w każdych okolicznościach dla zastosowania art. 13 wymaga się od osoby, której dane dotyczą, podjęcia konkretnego działania.
38.
Podobnie z brzmienia art. 14 ust. 1 lit. d) RODO nie wynika również, że aby art. 13 miał zastosowanie, osoba, której dane dotyczą, musi odgrywać aktywną rolę w podawaniu danych lub musi być świadoma, że dochodzi do zbierania danych. Artykuł 14 ust. 1 lit. d) RODO przewiduje wymóg, aby administrator poinformował osobę, której dane dotyczą – jeżeli dane osobowe nie zostały pozyskane od osoby, której dane dotyczą – o kategoriach odnośnych danych osobowych. Jako że nie ma obowiązku podawania takich informacji na podstawie art. 13 RODO, spółka SL i rząd duński wywodzą z tego, że art. 13 ma zastosowanie, gdy osoba, której dane dotyczą, jest już świadoma, że dochodzi do zbierania danych. Wymóg informacyjny na mocy art. 14 ust. 1 lit. d) może być jednak uzasadniony faktem, że administrator przetwarza dane pozyskane ze źródeł innych niż osoba, której dane dotyczą, i nie ma z nią kontaktu podczas zbierania danych.
39.
W związku z tym brzmienie, odpowiednio, art. 13 i 14 RODO pozwala stwierdzić, że zbieranie danych przy użyciu kamery nasobnej jako forma bezpośredniego zbierania danych od osoby, której dane dotyczą, jest objęte zakresem stosowania art. 13.
40.
W drugiej kolejności za taką wykładnią przemawia kontekst tych przepisów. Obowiązki udzielania informacji określone w art. 13 i 14 RODO stanowią szczególny wyraz zasady przejrzystości, która reguluje przetwarzanie danych osobowych zgodnie z art. 5 ust. 1 lit. a) RODO. Zgodnie z tym ostatnim przepisem dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Wynika z tego, że przetwarzanie danych osobowych musi w szczególności spełniać konkretne wymogi w zakresie przejrzystości względem osoby, której przetwarzanie dotyczy ( ).
41.
Określenie zakresu stosowania art. 13 i 14 RODO w zależności od źródła danych umożliwia rzetelne i przejrzyste przetwarzanie. Jeżeli dane są zbierane bezpośrednio od osoby, której dane dotyczą, musi ona otrzymać informacje podczas zbierania danych. Jeżeli dane nie są zbierane bezpośrednio od osoby, której dane dotyczą, administrator dysponuje pewnym marginesem na podanie informacji – w rozsądnym terminie – właśnie dlatego, że nie ma bezpośredniego kontaktu z osobą, której dane dotyczą.
42.
W przypadku zbierania danych przy użyciu kamery nasobnej natychmiastowe udzielenie osobie, której dane dotyczą, informacji o zbieraniu danych umożliwia jej powzięcie wiedzy o tym, że dochodzi do zbierania danych, dzięki czemu może ona skorzystać z praw przysługujących jej jako osobie, której dane dotyczą, od chwili rozpoczęcia zbierania danych, a nawet przed nim. Jak zauważył rząd austriacki, powziąwszy możliwie wcześnie wiedzę, że dochodzi do zbierania danych, osoba, której dane dotyczą, może na przykład podjąć decyzję o powstrzymaniu się od wchodzenia na obszar objęty monitoringiem lub o dostosowaniu swojego zachowania.
43.
Co się tyczy praktycznych sposobów udzielania informacji, należy mieć na uwadze, że zgodnie z art. 12 ust. 1 RODO administrator musi podjąć „odpowiednie środki” w celu udzielenia wymaganych informacji „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”.
44.
Strony i zainteresowane strony, które przedstawiły uwagi na piśmie, przyjmują jako ogólne założenie, że w przypadku monitoringu wizyjnego należy podawać informacje zgodnie z „podejściem warstwowym”. Wytyczne EROD w sprawie monitoringu wizyjnego zawierają szczegółowe i praktyczne omówienie podejścia warstwowego. Pierwsza warstwa informacji dotyczy „podstawowego sposobu, w jaki administrator po raz pierwszy wchodzi w interakcję z osobą, której dane dotyczą”. W przypadku monitoringu wizyjnego będzie to na ogół znak ostrzegawczy pozwalający danej osobie dowiedzieć się, że wchodzi ona na teren objęty monitoringiem. Informacje z pierwszej warstwy należy następnie uzupełnić informacjami z drugiej warstwy, najlepiej wskazując źródło cyfrowe (na przykład kod QR lub adres strony internetowej), przy czym informacje powinny być również łatwo dostępne w postaci innej niż cyfrowa ( ).
45.
Spółka SL i rząd duński podnosiły, że podejście warstwowe odpowiada w większym stopniu ogólnej systematyce art. 14 RODO, a nie art. 13 RODO. Uważają one, że trudność w udzieleniu informacji podczas zbierania danych w przypadku korzystania z kamer nasobnych powinna stanowić podstawę zastosowania wyjątku przewidzianego w art. 14 ust. 5 lit. b) RODO. Wyjątek ten ma zastosowanie, gdy udzielenie informacji „okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”. W takim przypadku administrator musi „pod[jąć] odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępni[ć] informacje publicznie”.
46.
Nie przekonują mnie te argumenty. Po pierwsze, z art. 12 RODO wynika, że „odpowiednie środki”, które administrator musi podjąć w celu udzielenia informacji, odnoszą się do informacji, o których mowa zarówno w art. 13, jak i art. 14. Oznacza to, że administrator danych musi podjąć odpowiednie środki w celu udzielania informacji zarówno w sytuacjach bezpośredniego, jak i pośredniego zbierania danych.
47.
Po drugie, jak zauważył w istocie urząd ochrony danych, odpowiedni charakter środków zależy od kontekstu zbierania danych i jest związany w szczególności z interesem osób, których dane dotyczą. Zbieranie danych przy użyciu kamery nasobnej jest tak samo inwazyjne, jak monitoring wizyjny i wiąże się z poważnym zagrożeniem dla prywatności osób, których dane dotyczą ( ). W ramach ustalania przez administratorów najwłaściwszych środków w celu udzielenia informacji osobom, których dane dotyczą, należy odpowiednio uwzględnić zasadę przejrzystości oraz stopień ingerencji powodowany przez środki wykorzystywane do zbierania danych. Skoro powszechnie przyjmuje się, że podejście warstwowe jest odpowiednie w przypadku monitoringu wizyjnego, który wiąże się ze znacznym zagrożeniem dla prywatności, te same zasady powinny mieć zastosowanie do zbierania danych przy użyciu kamer nasobnych.
48.
Po trzecie, istnieją przekonujące argumenty świadczące o tym, że podejście warstwowe nie jest „niepraktyczne” ani „niemożliwe” w przypadku kamer nasobnych. Urząd ochrony danych, rząd austriacki i Komisja podniosły, że podejście warstwowe w odniesieniu do monitoringu wizyjnego można stosować w podobny sposób w przypadku kamer nasobnych, powołując się na wytyczne EROD w sprawie monitoringu wizyjnego. Niewiążący charakter tych wytycznych nie zmienia faktu, że konkretnie wskazano w nich, iż podejście warstwowe jest możliwe i wykonalne ( ).
49.
W trzeciej kolejności wykładnia, w myśl której wspomniany art. 13 ma zastosowanie w przypadku danych zbieranych przy użyciu kamery nasobnej, jest zgodna z celami realizowanymi przez przepisy, których część stanowią art. 13 i 14 RODO. Cel realizowany przez RODO, jak wynika z art. 1 oraz z motywów 1 i 10 tego rozporządzenia, polega w szczególności na zapewnieniu wysokiego stopnia ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego w zakresie przetwarzania danych osobowych, zapisanego w art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i w art. 16 ust. 1 TFUE ( ). Zgodnie z tym celem każde przetwarzanie danych osobowych musi być w szczególności zgodne z zasadami dotyczącymi przetwarzania takich danych określonymi w art. 5 RODO, w tym z zasadą przejrzystości.
50.
Obowiązek udzielenia informacji ciążący na administratorze, o którym to obowiązku mowa w art. 13 i 14 RODO, jest wyrazem zasady przejrzystości. Jak już wskazano powyżej ( ), ramy czasowe obowiązku udzielenia informacji różnią się w zależności od tego, który z tych przepisów ma zastosowanie. Bezpośrednie zbieranie danych wymaga natychmiastowego udzielenia informacji. W przypadku gdy zbieranie danych nie odbywa się bezpośrednio, ponieważ dane są zbierane z innych źródeł, informacji można udzielić na późniejszym etapie. RODO dopuszcza różne terminy udzielenia informacji właśnie dlatego, że zbieranie danych odbywa się w sposób pośredni.
51.
Gdyby przyjąć, że w przypadku zbierania danych przy użyciu kamery nasobnej zastosowanie ma art. 14 RODO, oznaczałoby to, że osoby, których dane dotyczą, nie otrzymywałyby informacji podczas gromadzenia danych, mimo że są źródłem danych. Jak zauważyły w istocie rząd austriacki i Komisja, mogłoby to podważyć skuteczność (effet utile) art. 13 RODO. Pozwoliłoby to bowiem administratorom zaniechać natychmiastowego udzielenia informacji osobom, których dane dotyczą, niezależnie od faktu, że dane zebrano bezpośrednio od tych osób ( ). Stwarza to ryzyko, że osoby, których dane dotyczą, nie zauważą, iż dochodzi do zbierania danych, a także ryzyko praktykowania niejawnego monitoringu ( ). Takie obejście art. 13 RODO stanowiłoby poważne naruszenie prawa do informacji przysługującego osobie, której dane dotyczą.
52.
Wreszcie, gdyby rozróżnienie między przedmiotowymi zakresami stosowania odpowiednio art. 13 i 14 RODO miało zależeć od tego, czy osoba, której dane dotyczą, rzeczywiście miała świadomość, że dochodzi do zbierania jej danych w chwili zbierania danych, powodowałoby to zatarcie granic między tymi dwoma przepisami i uzależniałoby ich stosowanie od przypadkowych okoliczności.
53.
Z wykładni językowej, kontekstowej i celowościowej art. 13 i 14 RODO wynika zatem, że w przypadku zbierania danych przy użyciu kamery nasobnej – które to zbieranie stanowi formę bezpośredniego zbierania danych od osoby, której dane dotyczą – obowiązek udzielenia informacji ciążący na administratorze danych wchodzi w zakres stosowania pierwszego z tych przepisów.
54.
Dla kompletności wywodu przedstawię kilka uwag końcowych na temat znaczenia wyroku Ryneš dla niniejszej sprawy ( ). W wyroku tym Trybunał dokonał wykładni wyjątku od stosowania dyrektywy 95/46 w odniesieniu do czynności o charakterze czysto „osobistym lub domowym”, który to wyjątek przewidziano w art. 3 ust. 2 tiret drugie tej dyrektywy. Trybunał orzekł zasadniczo, że wykorzystanie systemu kamer zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony mienia, zdrowia i życia właścicieli domu, w sytuacji gdy system ten monitoruje również przestrzeń publiczną, nie może być uznane za działalność o charakterze czysto „osobistym lub domowym” w rozumieniu tego przepisu. W związku z tym takie przetwarzanie nie może być wyłączone z zakresu stosowania dyrektywy 95/46.
55.
W pkt 34 przytoczonego wyroku Trybunał orzekł, że „[j]ednocześnie zastosowanie przepisów […] dyrektywy [95/46] pozwala, w razie konieczności, uwzględnić, w szczególności zgodnie z art. 7 lit. f), art. 11 ust. 2, a także art. 13 ust. 1 lit. d) i g) [przedmiotowej] dyrektywy, uzasadnione interesy administratora danych […]”.
56.
Odniesienie do art. 11 ust. 2 dyrektywy 95/46 w tym konkretnym punkcie nie jest równoznaczne z dokonaną przez Trybunał wykładnią właściwej podstawy prawnej udzielenia informacji przez administratora danych w przypadku monitoringu wizyjnego. Przytoczony wyrok dotyczył kwestii całkowicie odmiennej od kwestii występującej w niniejszej sprawie, ponieważ dotyczył zastosowania „wyjątku dotyczącego działalności o charakterze domowym”, a nie obowiązku udzielenia informacji. W cytowanym punkcie Trybunał ilustruje jedynie możliwość uwzględnienia uzasadnionych interesów administratora w świetle ograniczeń i wyjątków przewidzianych w dyrektywie 95/46. Komisja słusznie zauważa również, że z wniosku o wydanie orzeczenia w trybie prejudycjalnym w sprawie, która doprowadziła do wydania wyroku Ryneš, wynika, iż w ramach postępowania krajowego krajowy organ nadzorczy uznał, że doszło do naruszenia przepisów krajowych transponujących art. 11 dyrektywy 95/46.
57.
W każdym wypadku termin na przekazanie informacji przewidziany w art. 14 RODO nie odpowiada terminowi przewidzianemu w art. 11 dyrektywy 95/46 ( ). Ponadto prawodawca Unii wyjaśnił rozróżnienie między odpowiednimi zakresami stosowania art. 13 i 14 RODO, odnosząc się do źródła danych w motywie 61 RODO ( ).
58.
Z tych względów uważam, że wyrok Ryneš nie ma znaczenia dla niniejszej sprawy i nie może prowadzić do innego wniosku niż wniosek proponowany w niniejszej opinii.
59.
W świetle całości powyższych rozważań uważam, że art. 13 i 14 RODO należy interpretować w ten sposób, że w przypadku zbierania danych osobowych przy użyciu kamery nasobnej przez kontrolerów biletów pracujących dla przedsiębiorstwa transportu publicznego zastosowanie ma art. 13, natomiast art. 14 nie ma zastosowania.
V. Wnioski
60.
W świetle powyższych rozważań proponuję, aby Trybunał odpowiedział na pytanie prejudycjalne postawione przez Högsta förvaltningsdomstolen (najwyższy sąd administracyjny, Szwecja) w następujący sposób:
Artykuły 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że w przypadku zbierania danych osobowych przy użyciu kamery nasobnej przez kontrolerów biletów pracujących dla przedsiębiorstwa transportu publicznego zastosowanie ma art. 13, natomiast art. 14 nie ma zastosowania.
( ) Język oryginału: angielski.
( ) Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1).
( ) Zobacz podobnie wyrok z dnia 11 lipca 2024 r., Meta Platforms Ireland (Powództwo przedstawicielskie) (C‑757/22, EU:C:2024:598, pkt 58).
( ) H.U. Vrabec, Data Subject Rights under the GDPR, Oxford, Oxford University Press, 2021, s. 64.
( ) Opinia rzecznika generalnego P. Cruza Villalóna w sprawie Bara i in. (C‑201/14, EU:C:2015:461, pkt 74).
( ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).
( ) Zobacz pkt 6 niniejszej opinii.
( ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89). W przedmiocie rozróżnienia zakresu stosowania RODO i dyrektywy 2016/680 zob. wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 67 i nast.).
( ) Zobacz moja opinia w sprawie Másdi (C‑169/23, EU:C:2024:474, pkt 23–25). W przedmiocie rozróżnienia bezpośredniego i pośredniego zbierania danych zob. w kontekście dyrektywy 95/46 wyrok z dnia 7 listopada 2013 r., IPI (C‑473/12, EU:C:2013:715, pkt 24).
( ) Ściślej rzecz ujmując, zgodnie z art. 13 ust. 2 lit. e) RODO administrator ma obowiązek podać osobie, której dane dotyczą, informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. Zgodnie z art. 14 ust. 1 lit. d) RODO administrator danych ma obowiązek podać informacje o kategoriach odnośnych danych osobowych. Ponadto zgodnie z art. 14 ust. 2 lit. f) RODO administrator ma obowiązek poinformować osobę, której dane dotyczą, o źródle pochodzenia danych osobowych.
( ) Zgodnie z wytycznymi opracowanymi przez Grupę Roboczą Artykuł 29 – Wytyczne w sprawie przejrzystości na podstawie rozporządzenia 2016/679, 29 listopada 2017 r., GR260 rev. 01, pkt 28, popartymi przez Europejską Radę Ochrony Danych (EROD) w dniu 25 maja 2018 r. (zwanymi dalej „wytycznymi Grupy Roboczej Artykuł 29 w sprawie przejrzystości”) maksymalny termin na podanie informacji zgodnie z art. 14 wynosi w każdym przypadku jeden miesiąc.
( ) Zobacz podobnie wyrok z dnia 28 listopada 2024 r., Másdi (C‑169/23, EU:C:2024:988, pkt 39).
( ) Wyrok z dnia 28 listopada 2024 r., Másdi (C‑169/23, EU:C:2024:988, pkt 48).
( ) Ibidem.
( ) Zobacz podobnie wyrok z dnia 28 listopada 2024 r., Másdi (C‑169/23, EU:C:2024:988, pkt 48).
( ) Zobacz pkt 9, 11 i 12 niniejszej opinii.
( ) Zobacz A. Roßnagel, Kapitel I Allgemeine Bestimmungen, Artikel 4 Nr. 2 Begriffsbestimmung „Verarbeitung” w: S. Simitis, G. Hornung i in., Datenschutzrecht, Datenschutzgrundrechtverordnung, Bundesdatenschutzgesetz, 2. Auflage, Baden-Baden, Nomos, 2025, pkt 15.
( ) Tak jest na przykład w wersjach językowych francuskiej, niemieckiej i greckiej RODO.
( ) Wyrok z dnia 28 listopada 2024 r., Másdi (C‑169/23, EU:C:2024:988, pkt 47) (wyróżnienie moje).
( ) Wytyczne Grupy Roboczej artykuł 29 w sprawie przejrzystości, pkt 26.
( ) Ibidem.
( ) Zobacz EROD, Wytyczne 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo, 29 stycznia 2020 r., pkt 113 (zwane dalej „wytycznymi EROD w sprawie monitoringu wizyjnego”). To, czy osoba, której dane dotyczą, rzeczywiście zrozumiała informacje, jest kwestią odrębną i zależy od tego, czy informacje zostały przekazane „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem” zgodnie z art. 12 RODO.
( ) W wytycznych Grupy Roboczej artykuł 29 w sprawie przejrzystości podano przykład informacji, których podanie aktualnemu lub potencjalnemu pracodawcy może być wymagane w kontekście zatrudnienia.
( ) Wyrok z dnia 11 lipca 2024 r., Meta Platforms Ireland (Powództwo przedstawicielskie) (C‑757/22, EU:C:2024:598, pkt 53).
( ) Zobacz szczegółowo wytyczne EROD w sprawie monitoringu wizyjnego, pkt 112–119.
( ) Zobacz ogólnie wytyczne EROD w sprawie monitoringu wizyjnego, pkt 1 i nast.
( ) W kwestii praktycznego wdrażania wymogów informacyjnych w przypadku korzystania z kamer nasobnych – zob. Data Protection Commission (Irlandia), Guidance on the use of body worn cameras or action cameras, 10 stycznia 2020 r., s. 3, w którym to dokumencie stwierdzono, że „odpowiednie środki mające na celu przekazanie tych informacji osobie, której dane dotyczą, zależą od konkretnego kontekstu i otoczenia, w którym dane są zbierane i przetwarzane, a w przypadku kamer nasobnych mogą obejmować widoczne powiadomienia zwierające informacje, plakietki umieszczone obok sprzętu z informacjami lub linkami, publiczne oznakowania lub inne sposoby przekazania odpowiednich informacji lub zwrócenia uwagi osób, których dane dotyczą”. Zobacz także Datenschutzkonferenz (DSK) (konferencja dotycząca ochrony danych, Niemcy), Orientierungshilfe der Datenschutzausichtsbehörden zu dem Einsatz von Bodycams durch private Sicherheitsunternehmen, 22 lutego 2019 r. (zwane dalej „DSK Orientierungshilfe”), s. 4. Z wytycznych tych wynika, że istnieją praktyczne sposoby zwrócenia uwagi osoby, której dane dotyczą, na fakt przetwarzania danych. Na przykład gdy kamera nasobna została aktywowana, należy aktywować sygnał optyczny („czerwona lampka”) („rote Lampe”), a osoby korzystające z kamer nasobnych muszą być wyposażone w widoczne znaki, na przykład nosić kurtki ostrzegawcze z symbolami kamer („beschriftete Warnwesten mit Kamerasymbolen”).
( ) Wyrok z dnia 3 kwietnia 2025 r.Ministerstvo zdravotnictví (Dane dotyczące przedstawiciela osoby prawnej) (C‑710/23, EU:C:2025:231, pkt 29).
( ) Zobacz pkt 41 niniejszej opinii.
( ) Pozostaje to bez uszczerbku dla stosowania wszelkich ograniczeń prawa osoby, której dane dotyczą, do otrzymywania informacji w warunkach określonych w art. 23 RODO.
( ) Zobacz podobnie DSK Orientierungshilfe (przypis 28), op.cit., s. 1.
( ) Kammarrätten i Stockholm (apelacyjny sąd administracyjny w Sztokholmie) oparł się w swoim rozumowaniu na przytoczonym wyroku. Również spółka SL i rząd duński w swoich uwagach na piśmie podnoszą, że wyrok ten ma znaczenie dla niniejszej sprawy.
( ) Zgodnie z art. 11 dyrektywy 95/46 administrator danych był zobowiązany do udzielenia informacji osobie, której dane dotyczą, „od początku gromadzenia danych osobowych lub w przypadku ujawnienia danych osobie trzeciej, nie później niż do momentu, gdy dane są ujawniane po raz pierwszy”.
( ) Jak wskazała Komisja w swoich uwagach na piśmie, brzmienie motywu 61: „jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła”, jest elementem nowym w stosunku do dyrektywy 95/46. Zobacz pkt 32 niniejszej opinii.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 13.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło