C-638/23

WyrokTSUE2025-02-27CELEX: 62023CJ0638ECLI:EU:C:2025:127

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy art. 4 pkt 7 RODO należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniom krajowym, które wyznaczają jako administratora pomocniczą jednostkę administracyjną bez osobowości prawnej i własnej zdolności prawnej, nie określając precyzyjnie konkretnych operacji przetwarzania ani ich celu, oraz czy taki podmiot musi rzeczywiście decydować o celach i sposobach przetwarzania danych osobowych?
Ratio decidendi
Trybunał uznał, że szeroka definicja pojęcia „administratora” w RODO ma na celu zapewnienie skutecznej i pełnej ochrony osób, których dane dotyczą. Zgodnie z tą definicją, administratorem może być również jednostka lub podmiot nieposiadający osobowości prawnej ani własnej zdolności prawnej, pod warunkiem że jest w stanie faktycznie i prawnie wypełniać obowiązki administratora. Bezpośrednie wyznaczenie administratora przez prawo krajowe jest dopuszczalne, nawet jeśli nie wymienia ono wyczerpująco wszystkich operacji przetwarzania, o ile zakres przetwarzania jest określony wyraźnie lub dorozumianie. Nie jest wymagane, aby podmiot wyznaczony przez prawo krajowe aktywnie decydował o celach i sposobach przetwarzania, aby móc ustosunkowywać się do żądań osób, których dane dotyczą, co przyczynia się do pewności prawa.
Stan faktyczny
Amt der Tiroler Landesregierung (Urząd), pomocnicza jednostka administracyjna, wysłał „pisma przypominające o szczepieniu” do dorosłych mieszkańców Tyrolu w ramach walki z pandemią COVID-19. W tym celu Urząd upoważnił dwie prywatne firmy do porównania danych z centralnego rejestru szczepień i rejestru pacjentów. CW, jeden z adresatów, złożył skargę do Datenschutzbehörde (organu ochrony danych), zarzucając niezgodne z prawem przetwarzanie jego danych. Organ ochrony danych stwierdził naruszenie, a Urząd odwołał się, co doprowadziło do pytania prejudycjalnego do TSUE w kwestii statusu Urzędu jako „administratora” w rozumieniu RODO.
Rozstrzygnięcie
Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że nie stoi on na przeszkodzie uregulowaniom krajowym, które wyznaczają jako administratora pomocniczą jednostkę administracyjną, która nie posiada osobowości prawnej ani własnej zdolności prawnej, przy czym nie określają w precyzyjny sposób konkretnych operacji przetwarzania danych osobowych, za które jednostka ta jest odpowiedzialna, ani celu tych operacji, o ile, po pierwsze, jednostka taka jest w stanie spełniać, zgodnie z tymi uregulowaniami krajowymi, obowiązki w dziedzinie ochrony danych osobowych ciążące na administratorze względem osób, których dane dotyczą, a po drugie, wspomniane uregulowania krajowe określają, w sposób wyraźny lub przynajmniej dorozumiany, zakres przetwarzania danych osobowych, za które jednostka ta jest odpowiedzialna.

Pełny tekst orzeczenia

WYROK TRYBUNAŁU (ósma izba) z dnia 27 lutego 2025 r. ( *1 ) Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 4 pkt 7 – Pojęcie „administratora” – Bezpośrednie wyznaczenie administratora w prawie krajowym – Pomocnicza jednostka administracyjna działająca w służbie rządu regionalnego – Brak osobowości prawnej – Brak własnej zdolności prawnej – Określanie celów i sposobów przetwarzania W sprawie C‑638/23 mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Verwaltungsgerichtshof (trybunał administracyjny, Austria) postanowieniem z dnia 23 sierpnia 2023 r., które wpłynęło do Trybunału w dniu 24 października 2023 r., w postępowaniu: Amt der Tiroler Landesregierung przeciwko Datenschutzbehörde, przy udziale: Bundesministerin für Justiz, CW, TRYBUNAŁ (ósma izba), w składzie: N. Jääskinen, prezes dziewiątej izby, pełniący obowiązki prezesa ósmej izby, M. Gavalec (sprawozdawca) i N. Piçarra, sędziowie, rzecznik generalny: M. Campos Sánchez-Bordona, sekretarz: A. Calot Escobar, uwzględniając pisemny etap postępowania, rozważywszy uwagi, które przedstawili: – w imieniu Datenschutzbehörde – M. Schmidl i E. Wagner, w charakterze pełnomocników, – w imieniu Bundesministerin für Justiz – E. Riedl, w charakterze pełnomocnika, – w imieniu rządu austriackiego – A. Posch, J. Schmoll i C. Gabauer, w charakterze pełnomocników, – w imieniu Komisji Europejskiej – A. Bouchagiar i M. Heller, w charakterze pełnomocników, podjąwszy, po wysłuchaniu rzecznika generalnego, decyzję o rozstrzygnięciu sprawy bez opinii, wydaje następujący Wyrok Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”). Wniosek ten złożono w ramach sporu pomiędzy Amt der Tiroler Landesregierung (urzędem tyrolskiego rządu krajowego, Austria, zwanym dalej „Urzędem”) a Datenschutzbehörde (organem ochrony danych osobowych, Austria) w przedmiocie podnoszonego niezgodnego z prawem przetwarzania przez Urząd danych osobowych osoby fizycznej. Ramy prawne Prawo Unii Motywy 1, 7, 10, 45 i 74 RODO mają następujące brzmienie: „(1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art[ykuł] 8 ust. 1 Karty praw podstawowych Unii Europejskiej […] oraz art. 16 ust. 1 [TFUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. […] (7) […] Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Osoby fizyczne, podmioty gospodarcze i organy publiczne powinny zyskać większe poczucie pewności prawa i jego stosowania w praktyce. […] (10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii [Europejskiej], należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. […] […] (45) Jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki określone w niniejszym rozporządzeniu dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania. Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej. […] (74) Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych”. Artykuł 1 tego rozporządzenia, zatytułowany „Przedmiot i cele”, stanowi w ust. 2: „Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”. Artykuł 4 tego rozporządzenia, zatytułowany „Definicje”, brzmi następująco: „Na użytek niniejszego rozporządzenia: […] 2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; […] 7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; […]”. Zgodnie z art. 5 tego rozporządzenia, zatytułowanym „Zasady dotyczące przetwarzania danych osobowych”: „1.   Dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (»ograniczenie celu«); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (»prawidłowość«); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (»ograniczenie przechowywania«); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«). 2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”. Artykuł 6 RODO, zatytułowany „Zgodność przetwarzania z prawem”, stanowi w ust. 1 i 3: „1.   Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: […] c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; […] e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; […] 3.   Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona: a) w prawie Unii; lub b) w prawie państwa członkowskiego, któremu podlega administrator. Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. […]”. Prawo austriackie Konstytucja kraju związkowego Tyrol z 1989 r. Artykuł 56 Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) [ustawy regionalnej w sprawie konstytucji kraju związkowego Tyrol (konstytucji kraju związkowego Tyrol z 1989 r.)] z dnia 21 września 1988 r., w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanej dalej „konstytucją kraju związkowego Tyrol z 1989 r.”), zatytułowany „Landeshauptmann (premier kraju związkowego, Austria) (zwany dalej »premierem«)”, stanowi w ust. 1: „[Premier] reprezentuje kraj związkowy Tyrol”. Artykuł 58 konstytucji kraju związkowego Tyrol z 1989 r., zatytułowany „[Urząd]”, stanowi w ust. 1: „[Premier], rząd kraju związkowego i jego członkowie zwracają się do [Urzędu] w celu wypełniania swoich obowiązków. [Premier] jest prezesem [Urzędu]”. TDVG Paragraf 2 Tiroler Datenverarbeitungsgesetz (ustawy kraju związkowego Tyrol o przetwarzaniu danych, zwanej dalej „TDVG”) przewiduje: „1.   Za administratora w rozumieniu art. 4 pkt 7 [RODO] uznaje się: a) [Urząd]; […] 3.   Jeżeli przetwarzanie danych jest dokonywane lub zlecane przez kraj związkowy Tyrol, [Urząd] jest zawsze uznawany za administratora w zakresie, w jakim: a) nie istnieje wspólna odpowiedzialność w rozumieniu ust. 1 lit. b) lub c); oraz b) przetwarzanie nie zostało powierzone w rozumieniu § 5”. Postępowanie główne i pytanie prejudycjalne W ramach środków mających na celu walkę z pandemią COVID-19 Urząd, będący pomocniczą jednostką administracyjną działającą w służbie premiera i rządu kraju związkowego Tyrol, wysłał „pismo przypominające o szczepieniu” do wszystkich osób pełnoletnich zamieszkałych w kraju związkowym Tyrol, które nie zostały jeszcze zaszczepione przeciwko temu wirusowi. W celu zidentyfikowania adresatów tych pism Urząd upoważnił dwa prywatne przedsiębiorstwa, które dokonały krzyżowego porównania danych zawartych w centralnym rejestrze szczepień oraz w rejestrze pacjentów, w którym widniał ich adres zamieszkania. W dniu 21 grudnia 2021 r. CW, jeden z adresatów pisma, wniósł do organu ochrony danych osobowych skargę na Urząd z powodu niezgodnego z prawem przetwarzania jego danych osobowych. Urząd poinformował ów organ, że posiada status „administratora” i że jest autorem pisma wysłanego do CW. Decyzją z dnia 22 sierpnia 2022 r. wspomniany organ stwierdził, że Urząd naruszył prawo CW do ochrony jego danych osobowych w zakresie, w jakim w celu wysłania do niego „pisma przypominającego o szczepieniu” Urząd zapoznał się z danymi zainteresowanego zawartymi w rejestrze szczepień, mimo że nie miał on prawa dostępu do tego rejestru ani do rejestru pacjentów. Przetwarzanie danych osobowych CW było zatem niezgodne z prawem. Urząd wniósł skargę na tę decyzję do Bundesverwaltungsgericht (federalnego sądu administracyjnego, Austria). Sąd ten orzekł, że na podstawie mającego zastosowanie prawa krajowego Urząd ma status administratora, lecz nie przysługuje mu prawo wglądu do rejestru szczepień w celu wysłania pisma przypominającego, takiego jak pismo skierowane do CW. Ponieważ ów sąd oddalił skargę Urzędu na wspomnianą decyzję, Urząd złożył skargę rewizyjną od tego wyroku do Verwaltungsgerichtshof (trybunału administracyjnego, Austria), który jest sądem odsyłającym. Sąd ten uważa, że aby móc orzec w zawisłej przed nim sprawie, należy ustalić, czy w kontekście tej sprawy Urząd ma status „administratora” w rozumieniu art. 4 pkt 7 RODO. W tym względzie sąd odsyłający podkreśla fakt, że Urząd jedynie przedstawił premierowi propozycję wysłania „pisma przypominającego o szczepieniu”, którą to propozycję premier zatwierdził jako prezes Urzędu i przedstawiciel kraju związkowego Tyrol zgodnie z, odpowiednio, art. 58 i art. 56 ust. 1 konstytucji kraju związkowego Tyrol z 1989 r. Urząd ograniczył się zatem do poinformowania premiera, po pierwsze, o celu zamierzonego przetwarzania danych osobowych, a mianowicie o zwiększeniu wskaźnika zaszczepienia, a po drugie, o sposobach, które zostaną zastosowane na podstawie tego przetwarzania, a mianowicie o wysłaniu takiego „pisma przypominającego o szczepieniu” przy wykorzystaniu danych z centralnego rejestru szczepień i rejestru pacjentów. Zdaniem sądu odsyłającego, biorąc pod uwagę to zatwierdzenie przez premiera, jedynie premier zdecydował zarówno o celu, jak i o sposobach przetwarzania danych osobowych, w związku z czym Urząd nie może mieć statusu „administratora” w rozumieniu art. 4 pkt 7 pierwszy człon zdania RODO. Niemniej jednak sąd ten zastanawia się, czy Urząd mógł zostać zgodnie z prawem wskazany jako taki w przepisie prawa krajowego, a mianowicie w § 2 ust. 1 lit. a) TDVG. Urząd nie jest bowiem osobą prawną ani organem odpowiedzialnym za przetwarzanie danych osobowych, które doprowadziło do wysłania do CW „pisma przypominającego o szczepieniu”. Urząd uczestniczył w tym przetwarzaniu jedynie jako pomocnicza jednostka administracyjna działająca w służbie organu publicznego. Nie posiada on osobowości prawnej ani własnej zdolności prawnej. Należy zatem ustalić, czy w tych okolicznościach Urząd można uznać za „jednostkę lub inny podmiot” w rozumieniu art. 4 pkt 7 pierwszy człon zdania RODO, który może zostać wyznaczony jako administrator na mocy prawa krajowego zgodnie z art. 4 pkt 7 drugi człon zdania tego rozporządzenia. Ponadto wspomniany sąd przypomina, że zgodnie z art. 4 pkt 7 drugi człon zdania RODO administrator może zostać wyznaczony bezpośrednio tylko pod warunkiem, że cele i sposoby odnośnego przetwarzania danych osobowych są określone w prawie krajowym. Tymczasem, o ile § 2 ust. 1 lit. a) TDVG wyznacza Urząd jako administratora danych, o tyle nie wskazuje on konkretnie, jakich rodzajów przetwarzania danych osobowych może dokonywać Urząd, ani celów, jakie przetwarzanie to powinno realizować, ani też sposobów, jakie Urząd mógłby w tym celu zastosować. Sąd odsyłający dodaje, że z art. 6 ust. 1 lit. c) i e) RODO wynika, iż przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze lub jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Z owych przesłanek zgodności z prawem oraz z realizowanego przez art. 4 pkt 7 RODO celu polegającego na zapewnieniu skutecznej i pełnej ochrony osób, których dane dotyczą, wynika, że państwa członkowskie mogą wyznaczyć jako administratora jedynie osobę lub podmiot, które są w stanie określić cele i sposoby przetwarzania danych osobowych lub przynajmniej uczestniczyć w tym określeniu. W tych okolicznościach Verwaltungsgerichtshof (trybunał administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym: „Czy wykładni art. 4 pkt 7 [RODO] należy dokonywać w ten sposób, że stoi on na przeszkodzie zastosowaniu przepisu prawa krajowego (takiego jak § 2 ust. 1 [TDVG] w niniejszej sprawie), w którym wyznacza się wprawdzie określonego administratora w rozumieniu drugiego członu zdania art. 4 pkt 7 RODO, ale – jest nim jedynie biuro (takie jak [Urząd] w niniejszej sprawie), które wprawdzie zostało utworzone na podstawie ustawy, ale nie jest ani osobą fizyczną, ani osobą prawną, a w niniejszej sprawie nie jest też organem publicznym, lecz występuje jedynie jako aparat wspomagający organ publiczny i nie dysponuje własną zdolnością prawną (nawet częściową); – wyznacza się go bez odniesienia do konkretnego przetwarzania danych osobowych, w związku z czym prawo państwa członkowskiego nie określa też celów i sposobów konkretnego przetwarzania danych osobowych; – w konkretnym przypadku ani samodzielnie, ani wspólnie z innymi nie ustalał on celów i sposobów odnośnego przetwarzania danych osobowych?”. W przedmiocie pytania prejudycjalnego Poprzez pytanie prejudycjalne sąd odsyłający dąży w istocie do ustalenia, czy art. 4 pkt 7 RODO należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniom krajowym, które wyznaczają jako administratora pomocniczą jednostkę administracyjną, która nie posiada osobowości prawnej ani własnej zdolności prawnej, przy czym nie określają w precyzyjny sposób konkretnych operacji przetwarzania danych osobowych, za które jednostka ta jest odpowiedzialna, ani celu tych operacji. Sąd ten dąży również do ustalenia, czy art. 4 pkt 7 RODO należy interpretować w ten sposób, że podmiot wyznaczony zgodnie z tym przepisem przez prawo krajowe jako administrator powinien rzeczywiście decydować o celach i sposobach przetwarzania danych osobowych, aby być zobowiązanym do ustosunkowania się, jako administrator, do żądań kierowanych do niego przez osoby, których dane dotyczą, na podstawie praw, które wywodzą one z RODO. Na wstępie należy przypomnieć, że zgodnie z art. 4 pkt 7 RODO pojęcie „administratora” obejmuje osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przepis ten stanowi również, że jeżeli cele i sposoby tego przetwarzania są określone w szczególności w prawie państwa członkowskiego, to również w tym prawie może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Z orzecznictwa Trybunału wynika, że przepis ten ma na celu zapewnienie, poprzez szeroką definicję pojęcia „administratora”, skutecznej i pełnej ochrony osobom, których dane dotyczą (zob. podobnie wyroki z dnia 5 grudnia 2023 r.: Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 29; Deutsche Wohnen, C‑807/21, EU:C:2023:950, pkt 40). Cel realizowany przez RODO, jak wynika z jego art. 1 oraz z jego motywów 1 i 10, polega w szczególności na zagwarantowaniu wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego w zakresie przetwarzania danych osobowych, zapisanego w art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i w art. 16 ust. 1 TFUE (wyrok z dnia 7 marca 2024 r., IAB Europe, C‑604/22, EU:C:2024:214, pkt 53 i przytoczone tam orzecznictwo). Biorąc pod uwagę brzmienie art. 4 pkt 7 RODO, interpretowanego w świetle tego celu, aby ustalić, czy daną osobę lub podmiot należy uznać za „administratora” w rozumieniu tego przepisu, należy zbadać, czy ta osoba lub ten podmiot samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania, czy też są one określone w prawie krajowym. Jeżeli takiego określenia dokonuje prawo krajowe, należy wówczas zbadać, czy prawo to wskazuje administratora czy też przewiduje konkretne kryteria jego wyznaczania [wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy), C‑231/22, EU:C:2024:7, pkt 29]. W świetle szerokiej definicji pojęcia „administratora” w rozumieniu art. 4 pkt 7 RODO określenie celów i sposobów przetwarzania oraz, w stosownym przypadku, wyznaczenie tego administratora w prawie krajowym może być nie tylko wyraźne, ale również dorozumiane. W tym ostatnim przypadku wymagane jest jednak, aby określenie to wynikało w sposób wystarczająco pewny z roli, misji i uprawnień przyznanych danej osobie lub danemu podmiotowi [wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy), C‑231/22, EU:C:2024:7, pkt 30]. To właśnie w świetle tych wstępnych rozważań należy zbadać zadane pytanie. W tym celu należy, po pierwsze, ustalić, w jakim zakresie ustawodawca krajowy może skutecznie wyznaczyć pomocniczą jednostkę administracyjną działającą w służbie organów publicznych jako administratora w rozumieniu art. 4 pkt 7 drugi człon zdania RODO, jeżeli owa jednostka nie posiada osobowości prawnej ani własnej zdolności prawnej. W tym względzie należy zauważyć z jednej strony, że Trybunał orzekł już, iż z jasnego brzmienia art. 4 pkt 7 RODO wynika, że administratorem może być nie tylko osoba fizyczna lub prawna, lecz również organ publiczny, jednostka lub podmiot, przy czym takie podmioty niekoniecznie muszą posiadać osobowość prawną w świetle prawa krajowego [zob. podobnie wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy), C‑231/22, EU:C:2024:7, pkt 36]. Nie można zatem wykluczyć, że dany podmiot mógłby zostać uznany za „administratora” w rozumieniu tego przepisu, nawet jeśli nie posiada on osobowości prawnej. Z drugiej strony, co się tyczy kwestii, czy zakwalifikowanie danego podmiotu jako „administratora” wymaga istnienia własnej zdolności prawnej tego podmiotu, czy też wystarczy w tym celu, by dany podmiot posiadał pewną zdolność decyzyjną i zdolność do działania w ramach ochrony danych osobowych, należy przypomnieć, że z motywu 74 RODO wynika, iż prawodawca Unii chciał, aby odpowiedzialność spoczywająca na administratorze była taka sama niezależnie od tego, czy przetwarzanie danych osobowych jest dokonywane przez niego samego czy za pośrednictwem osoby trzeciej, lecz w jego imieniu. Zamiarem prawodawcy Unii było również zapewnienie, aby administrator był zobowiązany do wdrożenia odpowiednich i skutecznych środków oraz aby był w stanie wykazać zgodność czynności przetwarzania z tym rozporządzeniem, w tym skuteczność odnośnych środków, przy czym owe środki powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. To właśnie w tym zakresie art. 5 ust. 2 RODO ustanawia zasadę rozliczalności, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych osobowych określonych w art. 5 ust. 1 RODO, oraz przewiduje, że wspomniany administrator musi być w stanie wykazać, iż zasady te są przestrzegane. Zważywszy zatem na obowiązki prawne ciążące na administratorze, o którym mowa w art. 4 pkt 7 RODO, administrator powinien, zgodnie z zasadami przewidzianymi w uregulowaniach państwa członkowskiego, którym podlega, być w stanie spełnić te obowiązki pod względem faktycznym i prawnym, przy czym okoliczność, czy podmiot ten posiada osobowość prawną lub własną zdolność prawną, czy też nie, nie ma w tym względzie żadnego znaczenia. W niniejszej sprawie do sądu odsyłającego należy zbadanie, czy na mocy prawa austriackiego Urząd jest uprawniony do przyjęcia zadań i obowiązków, jakie RODO nakłada na administratora, w szczególności z uwagi na niezakwestionowaną przed sądami krajowymi, do których wniesiono sprawę w postępowaniu głównym, okoliczność, że Urząd może wnieść skargę na decyzję organu ochrony danych osobowych, podobnie jak jego decyzje mogą być przedmiotem skargi do tego organu. Sąd odsyłający będzie mógł również wziąć pod uwagę fakt, że Urząd upoważnił dwa prywatne przedsiębiorstwa do przetwarzania danych osobowych zawartych w centralnym rejestrze szczepień oraz w rejestrze pacjentów zamieszkałych w kraju związkowym Tyrol. Po drugie, sąd odsyłający zastanawia się, czy ustawodawca krajowy może wyznaczyć jednostkę jako administratora na podstawie art. 4 pkt 7 drugi człon zdania RODO, nie określając w konkretny sposób ani rodzajów przetwarzania danych osobowych, do którego przeprowadzenia podmiot ten może być zobowiązany, ani celu tego przetwarzania, ani konkretnych sposobów, jakie może on zastosować do celów owego przetwarzania. Jak przypomniano w pkt 28 niniejszego wyroku, jeżeli prawo krajowe wyznacza podmiot jako administratora, określenie przez to prawo celów i sposobów przetwarzania może być dorozumiane, pod warunkiem że owo określenie wynika w sposób wystarczająco pewny z roli, misji i uprawnień powierzonych temu podmiotowi. Przesłanka ta jest spełniona, jeżeli owe cele i sposoby wynikają zasadniczo z przepisów prawa krajowego regulujących działalność rzeczonego podmiotu. Bezpośrednie wyznaczenie przez ustawodawcę krajowego podmiotu jako administratora przyczynia się do realizacji celu pewności prawa, któremu służy RODO, jak wynika z jego motywu 7, umożliwiając osobom fizycznym, których dane osobowe podlegają przetwarzaniu, łatwe zidentyfikowanie podmiotu odpowiedzialnego za zapewnienie przestrzegania praw przyznanych im w tym rozporządzeniu. Ważność takiego wyznaczenia jest jednak uzależniona od warunku, by uregulowania krajowe określały zakres przetwarzania danych osobowych, w odniesieniu do których podmiot ten jest wyznaczony jako administrator, przy czym nie jest konieczne, by ustawodawca ten wymienił w sposób wyczerpujący wszystkie operacje przetwarzania, w odniesieniu do których wspomniany podmiot został w ten sposób wyznaczony. Jak przewiduje motyw 45 tego rozporządzenia, „[w]ystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej”. Wynika z tego, że uregulowania krajowe, które wyznaczają podmiot jako administratora, nie wymieniając wyraźnie wszystkich konkretnych operacji przetwarzania danych osobowych, za które jest on odpowiedzialny, ani celu tych operacji przetwarzania, jest zgodne z art. 4 pkt 7 RODO, o ile uregulowania te określają, w sposób wyraźny lub przynajmniej dorozumiany, zakres przetwarzania danych osobowych, w odniesieniu do których podmiot ten jest wyznaczony jako administrator. W niniejszej sprawie do sądu odsyłającego należy zbadanie z jednej strony, czy przetwarzanie danych osobowych dokonane przez Urząd w celu przygotowania i wysłania rozpatrywanych w postępowaniu głównym „pism przypominających o szczepieniu” jest zgodne z celami, jakim powinny odpowiadać operacje przetwarzania danych osobowych, w odniesieniu do których Urząd został wyznaczony jako administrator, tak jak owe cele wynikają, przynajmniej w sposób dorozumiany, ze wszystkich przepisów prawa krajowego regulujących jego działalność, a z drugiej strony sposobów, jakie może on w tym celu zastosować. Sama okoliczność, że owe przepisy krajowe nie określają w danym wypadku w konkretny sposób operacji przetwarzania, do których przeprowadzenia uprawniony jest Urząd, nie może wykluczać zakwalifikowania podmiotu takiego jak Urząd jako administratora w rozumieniu art. 4 pkt 7 RODO. Po trzecie, sąd odsyłający dąży do ustalenia, czy podmiot wyznaczony przez uregulowania krajowe jako administrator na podstawie art. 4 pkt 7 drugi człon zdania RODO powinien również decydować, sam lub wspólnie z innymi właściwymi organami, o celach i sposobach przetwarzania danych osobowych, w odniesieniu do których został wyznaczony jako administrator, aby można było wymagać od niego ustosunkowania się w tym charakterze do żądań kierowanych do niego przez osoby, których dane dotyczą, na podstawie praw, które wywodzą one z RODO. W tym względzie wystarczy zauważyć, że aby ustalić, czy podmiot jest administratorem w rozumieniu art. 4 pkt 7 pierwszy człon zdania RODO, należy zbadać, czy podmiot ten rzeczywiście wpłynął, dla własnych celów, na określenie celów i sposobów tego przetwarzania (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 30, 31). Natomiast, aby ustalić, czy podmiot jest administratorem w rozumieniu art. 4 pkt 7 drugi człon zdania RODO, jak wynika z jasnego brzmienia tego przepisu, nie jest konieczne, aby ów podmiot wywierał wpływ na określenie celów i sposobów tego przetwarzania. Tak więc taki podmiot, wyznaczony przez prawo krajowe jako administrator, nie musi samodzielnie decydować o celach i sposobach przetwarzania danych osobowych, aby jako administrator ustosunkowywać się do żądań kierowanych do niego przez osoby, których dane dotyczą, na podstawie praw, które wywodzą one z RODO. W tym względzie Trybunał orzekł już, że na ważność bezpośredniego wyznaczenia nie ma wpływu okoliczność, że na mocy prawa krajowego podmiot wyznaczony jako administrator nie sprawuje żadnej kontroli nad danymi osobowymi, które ma przetwarzać [zob. podobnie wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy), C‑231/22, EU:C:2024:7, pkt 37, 38]. Taka wykładnia jest zgodna z celem pewności prawa realizowanym przez RODO. Jak Komisja Europejska podkreśliła w uwagach na piśmie, osiągnięcie tego celu byłoby zagrożone, gdyby – aby móc uznać, że ustawodawca krajowy dokonał owego wyznaczenia w sposób ważny – osoby, których dane dotyczą, musiały sprawdzić, czy podmiot wyznaczony jako administrator ich danych osobowych jest uprawniony do samodzielnego ustalenia celów i sposobów takiego przetwarzania. Należy jeszcze dodać, że okoliczność, iż nie jest konieczne, aby podmiot wyznaczony przez prawo krajowe jako administrator był również uprawniony do samodzielnego decydowania o celach i sposobach przetwarzania danych osobowych, aby można było wymagać od niego ustosunkowania się, jako administrator, do żądań kierowanych do niego przez osoby, których dane dotyczą, na podstawie praw, które wywodzą one z RODO, nie pozbawia jednak tych osób możliwości kierowania owych żądań do innego podmiotu, który uważają one za administratora lub współadministratora ich danych osobowych ze względu na wpływ, jaki ten inny podmiot wywarł na określenie celów i sposobów danego przetwarzania. W świetle powyższych rozważań na zadane pytanie należy odpowiedzieć, że art. 4 pkt 7 RODO należy interpretować w ten sposób, iż nie stoi on na przeszkodzie uregulowaniom krajowym, które wyznaczają jako administratora pomocniczą jednostkę administracyjną, która nie posiada osobowości prawnej ani własnej zdolności prawnej, przy czym nie określają w precyzyjny sposób konkretnych operacji przetwarzania danych osobowych, za które jednostka ta jest odpowiedzialna, ani celu tych operacji, o ile, po pierwsze, jednostka taka jest w stanie spełniać, zgodnie z tymi uregulowaniami krajowymi, obowiązki w dziedzinie ochrony danych osobowych ciążące na administratorze względem osób, których dane dotyczą, a po drugie, wspomniane uregulowania krajowe określają, w sposób wyraźny lub przynajmniej dorozumiany, zakres przetwarzania danych osobowych, za które jednostka ta jest odpowiedzialna. W przedmiocie kosztów Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.   Z powyższych względów Trybunał (ósma izba) orzeka, co następuje:   Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)   należy interpretować w ten sposób, że:   nie stoi on na przeszkodzie uregulowaniom krajowym, które wyznaczają jako administratora pomocniczą jednostkę administracyjną, która nie posiada osobowości prawnej ani własnej zdolności prawnej, przy czym nie określają w precyzyjny sposób konkretnych operacji przetwarzania danych osobowych, za które jednostka ta jest odpowiedzialna, ani celu tych operacji, o ile, po pierwsze, jednostka taka jest w stanie spełniać, zgodnie z tymi uregulowaniami krajowymi, obowiązki w dziedzinie ochrony danych osobowych ciążące na administratorze względem osób, których dane dotyczą, a po drugie, wspomniane uregulowania krajowe określają, w sposób wyraźny lub przynajmniej dorozumiany, zakres przetwarzania danych osobowych, za które jednostka ta jest odpowiedzialna.   Podpisy ( *1 ) Język postępowania: niemiecki.

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 13.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło