Trybunał Sprawiedliwości Unii Europejskiej orzekł, że administrator danych osobowych nie zawsze będzie zobowiązany do wskazania, komu konkretnie powierza nasze dane. Z jednej strony może to być bulwersujące, ale z drugiej – inaczej się nie da.
Dostęp do danych podmiotów przetwarzające dane osobowe
Trybunał Sprawiedliwości Unii Europejskiej w wyroku wydanym w sprawie o sygn. C-154/21, która toczyła się przeciwko Österreichische Post (czyli austriackiemu operatorowi pocztowemu) odniósł się do dostępu do danych podmiotów przetwarzających dane osobowe. Chodzi o sytuację, w której swoje dane świadomie powierzamy X, a ten X – nawet wskazując o tym w polityce prywatności – udostępnia je innym podmiotom, których dokładnie nie znamy. Na przykład w celach marketingowych.
Sprawa zaczęła się od tego, że jeden z obywateli Austrii zwrócił się do Österreichische Post z prośbą o wskazanie tożsamości wszystkich odbiorców, którym operator przekazał dotyczące go dane osobowe. Wniosek oparto na RODO, a konkretnie na realizacji prawa dostępu do informacji o przetwarzaniu swoich danych osobowych. Czyli także informacji o tożsamości odbiorców lub kategorii odbiorców.
Österreichische Post odpowiedziała, że dane osobowe wykorzystywane są zgodnie z prawem, w ramach działalności wydawcy książek adresowych, a także, że dane te są oferowane partnerom handlowym do celów marketingowych. Obywatel pozwał Österreichische Post i sprawa trafiła przed sąd. Operator informował podczas postępowania sądowego, że dane osobowe powoda były przekazywane klientom, przedsiębiorcom informatycznym, reklamodawcom, wydawcom książek adresowych, stowarzyszeniom (w tym NGO) lub partiom politycznym.
Co orzekł TSUE?
Sprawa trafiła aż przed austriacki sąd najwyższy. Miał on jednak wątpliwość, czy RODO pozostawia wybór administratorowi, czy ten ujawni dane (wraz ze wskazaniem tożsamości odbiorców), czy też same kategorie odbiorców. Z drugiej strony pojawiła się wątpliwość, czy to przypadkiem nie jest prawem osoby, które dane są przetwarzane, aby móc poznać konkretną tożsamość odbiorców.
TSUE uznał, że prawo dostępu do informacji co do przetwarzania jest w sumie konieczne do realizacji innych uprawnień. I trudno się z tym nie zgodzić, bo jak np. żądać usunięcia swoich danych osobowych, gdy nie wiemy, gdzie one się znajdują. Zatem jeżeli dane osobowe zostały ujawnione odbiorcom, to administrator ma obowiązek wskazania – na wniosek – dokładnej tożsamości odbiorców.
To zasada, a więc są wyjątki. Jeżeli nie jest możliwe zidentyfikowanie tych odbiorców, to administrator może ograniczyć się do wskazania samej kategorii odbiorców. To samo może zrobić, jeżeli wniosek jest „ewidentnie nieuzasadniony” lub „nadmierny”. Oznacza to, że są sytuacje, w których administrator jest w stanie legalnie nie podać szczegółowych informacji, choć nastąpić muszą wyżej wskazane przesłanki.
W całej sprawie widać przede wszystkim to, że, choć prawo unijne staje po stronie ochrony danych, to rzeczywistość bardzo często tę ochronę uniemożliwia. Zwłaszcza w realiach, w których dane i tak lawinowo przepływają pomiędzy różnymi podmiotami.