Gromadzenie danych osobowych przez członków wspólnoty religijnej

Tematyka: prawo, dane osobowe, wspólnota religijna, działalność kaznodziejska, administrator danych, dyrektywa 95/46

Trybunał orzekł, że art. 2 lit. d) dyrektywy 95/46 w świetle art. 10 ust. 1 Karty należy interpretować w ten
sposób, że pozwala on uznać wspólnotę religijną wspólnie z jej członkami głosicielami za administratora
danych osobowych w odniesieniu do przetwarzania dokonywanego przez tych członków głosicieli w ramach
zorganizowanej, koordynowanej i wspieranej przez wspólnotę działalności kaznodziejskiej realizowanej
poprzez...
Fińska komisja ds. ochrony danych (dalej jako: Komisja) wydała na wniosek krajowego inspektora ochrony danych
decyzję zakazującą wspólnocie religijnej świadków Jehowy (dalej jako: Wspólnota) gromadzenia i przetwarzania
danych osobowych pozyskanych w ramach działalności kaznodziejskiej realizowanej przez jej członków poprzez
odwiedzanie kolejnych gospodarstw domowych, o ile nie będą przestrzegane warunki prawne przetwarzania takich
danych, przewidziane w ustawie o danych osobowych (dalej jako: ustawa Nr 523/1999). W ustawie Nr 523/1999
implementowano do prawa fińskiego przepisy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r.
w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych
danych (uchylona przez rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych obowiązujące od 25.5.2018 r.). Ponadto, Komisja zobowiązała Wspólnotę do zaprzestania w terminie 6
miesięcy gromadzenia jakichkolwiek danych osobowych dla jej celów, o ile nie będą przestrzegane te warunki.
W uzasadnieniu Komisja uznała, że gromadzenie danych przez członków Wspólnoty stanowi przetwarzanie danych
osobowych w rozumieniu ustawy Nr 523/1999 oraz że ta Wspólnota i jej członkowie są łącznie administratorami
danych. Wspólnota wniosła do sądu skargę na tę decyzję.
Poprzez pierwsze pytanie prejudycjalne sąd odsyłający dążył do ustalenia, czy art. 3 ust. 2 dyrektywy 95/46 w świetle
art. 10 ust. 1 Karty praw podstawowych Unii Europejskiej (dalej jako: Karta) należy interpretować w ten sposób, że
gromadzenie danych osobowych przez członków wspólnoty religijnej w ramach działalności kaznodziejskiej
realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych i późniejsze przetwarzanie tych danych,
stanowi przetwarzanie danych osobowych w rozumieniu art. 3 ust. 2 tej dyrektywy?
Z art. 1 ust. 1 i z motywu 10 dyrektywy 95/46 wynika, że jej celem jest zapewnienie wysokiego poziomu ochrony
podstawowych praw i wolności osób fizycznych, a szczególnie prawa do prywatności w zakresie przetwarzania
danych osobowych (wyroki: Google Spain i Google, C-131/12, pkt 66; Wirtschaftsakademie Schleswig-Holstein, C-
210/16, pkt 26). W art. 3 ust. 1 dyrektywy 95/46 określono, że stosuje się ona do przetwarzania danych osobowych
w całości lub w części w sposób zautomatyzowany oraz do innego przetwarzania danych osobowych, stanowiących
część zbioru danych lub mających stanowić część zbioru danych. Jednakże w ust. 2 tego artykułu przewidziano dwa
wyjątki od zakresu stosowania dyrektywy 95/46, które muszą podlegać ścisłej wykładni (wyroki: Ryneš, C-212/13, pkt
29; Puškár, C-73/16, EU:C:2017:725, pkt 38). Ponadto, dyrektywa 95/46 nie przewiduje żadnego dodatkowego
ograniczenia jej zakresu stosowania (wyrok Satakunnan Markkinapörssi i Satamedia, C-73/07, pkt 46).
Z orzecznictwa TS wynika, że rodzaje aktywności, które zostały wymienione w art. 3 ust. 2 tiret pierwsze dyrektywy
95/46, tytułem przykładu, stanowią w każdym przypadku działalność właściwą władzom państwowym, odmienną od
prowadzonej przez podmioty indywidualne. Te rodzaje działalności mają na celu określenie zakresu wyeliminowania
przewidzianego w tym przepisie w taki sposób, że to wyłączenie ma zastosowanie wyłącznie do takich aktywności,
które zostały w nim wyraźnie wymienione lub które mogą być zaliczone do tej samej kategorii (wyroki: Lindqvist, C-
101/01, pkt 43, 44; Satakunnan Markkinapörssi i Satamedia, pkt 41; Puškár, pkt 36, 37). W niniejszej sprawie
gromadzenie danych osobowych przez członków Wspólnoty w ramach działalności kaznodziejskiej realizowanej
poprzez odwiedzanie kolejnych gospodarstw domowych stanowi wyłącznie aktywność religijną jednostek. W ocenie
TS taka działalność nie stanowi działalności właściwej władzom państwowym i w konsekwencji nie może zostać
utożsamiona z rodzajami działalności określonymi w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46.
Przepis art. 3 ust. 2 tiret drugie dyrektywy 95/46 wyłącza z jej zakresu stosowania przetwarzanie danych
wykonywane w trakcie czynności o „czysto” osobistym lub domowym charakterze (wyrok Ryneš, pkt 30). Określenie
„o osobistym lub domowym charakterze” w rozumieniu tego przepisu odnosi się do działalności osoby, która
przetwarza dane osobowe, a nie osoby, której dane są przetwarzane (wyrok Ryneš, pkt 31, 33). Z orzecznictwa TS
wynika, że art. 3 ust. 2 tiret drugie dyrektywy 95/46 należy interpretować jako obejmujący jedynie działania
wchodzące w zakres życia prywatnego lub rodzinnego podmiotów indywidualnych. W tym względzie danej czynności
nie można uznać za czynność o czysto osobistym lub domowym charakterze w rozumieniu tego przepisu, gdy jej
celem jest udostępnienie danych osobowych nieokreślonej liczbie osób lub też gdy ta czynność rozciąga się choćby
częściowo na przestrzeń publiczną i tym samym jest skierowana poza sferę prywatną osoby dokonującej
przetwarzania danych (wyroki: Lindqvist, pkt 47; Satakunnan Markkinapörssi i Satamedia, pkt 44). Z postanowienia

odsyłającego wynika, że działalność kaznodziejska realizowana poprzez odwiedzanie kolejnych gospodarstw
domowych, w ramach której członkowie Wspólnoty gromadzą dane osobowe, ma z samej swojej natury na celu
propagowanie wiary Wspólnoty wśród osób, które nie należą do gospodarstwa domowego członków. Działalność ta
jest więc skierowana poza ich sferę prywatną. Ponadto, gromadzone przez nich niektóre dane są przekazywane
zborom tej Wspólnoty, które prowadzą na podstawie tych danych listy osób nieżyczących już sobie kolejnych takich
wizyt. Tym samym w ramach swojej działalności kaznodziejskiej udostępniają przynajmniej niektóre ze
zgromadzonych danych potencjalnie nieograniczonej liczbie osób.
Trybunał przypomniał, że prawo do wolności sumienia i religii, sformułowane w art. 10 ust. 1 Karty, oznacza
w szczególności wolność każdego do uzewnętrzniania swej religii lub przekonań, indywidualnie lub wspólnie
z innymi, publicznie lub prywatnie, poprzez uprawianie kultu, nauczanie, praktykowanie i uczestniczenie
w obrzędach. W Karcie przyjęto szerokie znaczenie zawartego w tym postanowieniu pojęcia „religia”, które może
obejmować zarówno forum internum, czyli fakt posiadania przekonań, jak i forum externum, czyli publiczne
uzewnętrznianie wyznawanej wiary (wyrok Liga van Moskeeën en Islamitische Organisaties Provincie Antwerpen
i in., C-426/16, pkt 44). Ponadto, jako że wolność uzewnętrzniania swej religii, indywidualnie lub wspólnie z innymi,
publicznie lub prywatnie, może przybierać różne formy, takie jak: nauczanie, praktykowanie i uczestniczenie
w obrzędach, obejmuje ona również prawo do starania się o przekonanie innych osób, np. za pośrednictwem
kaznodziejstwa (wyroki ETPCz w sprawach: Kokkinakis przeciwko Grecji, § 31; Perry przeciwko Łotwie, § 52).
Działalność kaznodziejska realizowana poprzez odwiedzanie kolejnych gospodarstw domowych przez członków
wspólnoty religijnej jest chroniona przez art. 10 ust. 1 Karty jako wyraz wiary głosiciela lub głosicieli. Jednakże TS
podkreślił, że ta okoliczność nie spowoduje uznania, że jest to działalność o czysto osobistym lub domowym
charakterze w rozumieniu art. 3 ust. 2 tiret drugie dyrektywy 95/46. Działalność kaznodziejska wykracza bowiem
poza sferę prywatną członka głosiciela danej wspólnoty religijnej.
Trybunał orzekł, że art. 3 ust. 2 dyrektywy 95/46 w świetle art. 10 ust. 1 Karty należy interpretować w ten sposób, że
gromadzenie danych osobowych przez członków wspólnoty religijnej w ramach działalności kaznodziejskiej
realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych i późniejsze przetwarzanie tych danych nie
stanowi ani przetwarzania danych osobowych w ramach działalności, o której mowa w art. 3 ust. 2 tiret pierwsze
dyrektywy 95/46, ani przetwarzania danych osobowych przez osobę fizyczną w trakcie czynności o czysto osobistym
lub domowym charakterze w rozumieniu art. 3 ust. 2 tiret drugie tej dyrektywy.
Poprzez drugie pytanie prejudycjalne sąd odsyłający dążył do ustalenia, czy art. 2 lit. c) dyrektywy 95/46 należy
interpretować w ten sposób, że pojęcie „zbiór”, o którym mowa w tym przepisie, obejmuje zestaw danych osobowych
gromadzonych w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw
domowych, zawierających nazwiska i adresy oraz inne informacje dotyczące odwiedzonych osób, o ile te dane mogą
być w praktyce łatwo odnalezione dla celów ich późniejszego wykorzystania, lub czy też ten zestaw, aby był objęty
tym pojęciem, musi zawierać kartoteki, szczególne rejestry lub inne systemy służące wyszukiwaniu?
Z art. 3 ust. 1 i z motywów 15 i 27 dyrektywy 95/46 wynika, że dotyczy ona zarówno zautomatyzowanego
przetwarzania danych osobowych, jak i ręcznego ich przetwarzania. Tym samym nie uzależnia ochrony
przyznawanej osobom, których dane są przetwarzane, od zastosowanych technik, aby uniknąć ryzyka obchodzenia
tej ochrony. Jednak przepisy dyrektywy 95/46 stosuje się do ręcznego przetwarzania danych osobowych tylko
w przypadku, gdy stanowią one część zbioru danych lub mają stanowić część zbioru danych. Z art. 2 lit. c) dyrektywy
95/46 wynika, że pojęcie „zbiór” obejmuje „każdy uporządkowany zestaw danych osobowych, dostępnych według
określonych kryteriów, scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie”.
Trybunał wskazał, że w tym przepisie zdefiniowano w szeroki sposób to pojęcie, w szczególności odnosząc się do
każdego uporządkowanego zestawu danych osobowych. Z motywów 15 i 27 dyrektywy 95/46 wynika, że zawartość
zbiorów musi być zorganizowana w celu zapewnienia łatwego dostępu do danych osobowych i powinny „dotyczyć
osób fizycznych”. W ocenie TS wymóg, zgodnie z którym zestaw danych osobowych musi mieć charakter
„zorganizowany według określonych kryteriów”, ma jedynie na celu umożliwienie, aby dane dotyczące osoby mogły
zostać łatwo odnalezione. Poza tym wymogiem art. 2 lit. c) dyrektywy 95/46 nie przewiduje ani szczegółowych zasad,
zgodnie z którymi zbiór musi być zorganizowany, ani postaci, jaką musi on przyjąć.
W niniejszej sprawie dane zbierane w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie
kolejnych gospodarstw domowych są gromadzone jako zapiski po to, aby ułatwić organizowanie późniejszych wizyt
składanych u osób, które zostały już odwiedzone. Dane zawierają nie tylko informacje dotyczące treści rozmów
dotyczących przekonań odwiedzonej osoby, ale również jej nazwisko i adres. Ponadto te informacje, a przynajmniej
niektóre z nich, są wykorzystywane do sporządzania prowadzonych przez zbory Wspólnoty list osób nieżyczących
już sobie kolejnych wizyt. W ocenie TS dane gromadzone w ramach rozpatrywanej działalności kaznodziejskiej są
zorganizowane według kryteriów przyjętych w zależności od celu, któremu ma służyć to gromadzenie, a którym jest
przygotowanie późniejszych wizyt i prowadzenie list osób nieżyczących już sobie odwiedzin. Kryteria te, wśród
których znajdują się w szczególności nazwiska i adresy odwiedzonych osób, ich przekonania, a nawet wzmianka, że
nie życzą już sobie wizyt, zostały wybrane tak, aby umożliwić łatwe odnalezienie danych dotyczących określonych
osób. Trybunał stwierdził, że kwestia, według jakiego konkretnego kryterium i w jakiej dokładnie postaci zestaw

danych osobowych gromadzonych przez każdego z głosicieli jest faktycznie zorganizowany, jest pozbawiona
znaczenia, o ile ten zestaw pozwala na łatwe odnalezienie danych dotyczących określonej odwiedzonej osoby, czego
sprawdzenie należy jednak do sądu odsyłającego w świetle wszystkich okoliczności rozpatrywanej sprawy.
Trybunał orzekł, że art. 2 lit. c) dyrektywy 95/46 należy interpretować w ten sposób, że pojęcie „zbiór”, o którym
mowa w tym przepisie, obejmuje zestaw danych osobowych gromadzonych w ramach działalności kaznodziejskiej
realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych, zawierających nazwiska i adresy oraz inne
informacje dotyczące odwiedzonych osób, o ile dane te są zorganizowane według określonych kryteriów
umożliwiających w praktyce ich łatwe odnalezienie dla celów ich późniejszego wykorzystania. Aby zestaw taki był
objęty tym pojęciem, nie jest konieczne, aby zawierał kartoteki, szczególne rejestry lub inne systemy służące
wyszukiwaniu.
Poprzez kolejne pytania prejudycjalne sąd odsyłający dążył do ustalenia, czy art. 2 lit. d) dyrektywy 95/46 w świetle
art. 10 ust. 1 Karty należy interpretować w ten sposób, że pozwala on uznać wspólnotę religijną wspólnie z jej
członkami głosicielami za administratora danych osobowych w odniesieniu do przetwarzania dokonywanego przez
tych członków w ramach zorganizowanej, koordynowanej i wspieranej przez wspólnotę działalności kaznodziejskiej
realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych?
Na wstępie TS zaznaczył, że kwestionowana jest jedynie odpowiedzialność tej Wspólnoty, a odpowiedzialność
członków-głosicieli nie wydaje się być podważona.
W art. 2 lit. d) dyrektywy 95/46 przewidziano, że pojęcie „administrator danych” oznacza osobę fizyczną lub prawną,
która „samodzielnie lub wspólnie z innymi podmiotami” określa cele i sposoby przetwarzania danych. Termin ten nie
odnosi się do pojedynczej osoby fizycznej lub prawnej, ale może dotyczyć kilku podmiotów uczestniczących w tym
przetwarzaniu, przy czym każdy z nich musi podlegać wówczas przepisom obowiązującym w dziedzinie ochrony
danych (wyrok Wirtschaftsakademie Schleswig-Holstein, pkt 29). Celem tego przepisu jest zapewnienie, poprzez
przyjęcie szerokiej definicji pojęcia „administrator”, skutecznej i pełnej ochrony osobom, których dane dotyczą. Przy
czym istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych
podmiotów w odniesieniu do tego samego przetwarzania danych osobowych. Wręcz przeciwnie, te podmioty mogą
być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności
każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy (wyrok
Wirtschaftsakademie Schleswig-Holstein, pkt 28, 43, 44). Trybunał wskazał, że żaden przepis dyrektywy 95/46 nie
pozwala na uznanie, że określenie celów i sposobów przetwarzania musi odbywać się za pomocą pisemnych
wytycznych lub instrukcji ze strony administratora danych. Natomiast osoba fizyczna lub prawna, która wpływa dla
własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów
i sposobów tego przetwarzania, może być uznana za administratora danych w rozumieniu art. 2 lit. d) dyrektywy
95/46. Ponadto, wspólna odpowiedzialność kilku podmiotów w zakresie tego samego przetwarzania na mocy tego
przepisu nie zakłada, aby każdy z nich miał dostęp do odnośnych danych osobowych (wyrok Wirtschaftsakademie
Schleswig-Holstein, pkt 38).
W rozpatrywanej sprawie TS stwierdził, że gromadzenie danych osobowych dotyczących odwiedzonych osób i ich
późniejsze przetwarzanie służą realizacji celu Wspólnoty zakładającego propagowanie jej wiary i w związku z tym są
dokonywane przez członków-głosicieli dla celów własnych tej Wspólnoty. Ponadto Wspólnota nie tylko wie, że takie
przetwarzanie odbywa się dla celów propagowania jej wiary, lecz także organizuje i koordynuje działalność
kaznodziejską swoich członków, w szczególności poprzez podział obszarów aktywności pomiędzy poszczególnych
głosicieli. Takie okoliczności pozwalają uznać, zdaniem TS, że Wspólnota zachęca swoich członków do dokonywania
w ramach ich działalności kaznodziejskiej przetwarzania danych osobowych. Trybunał uznał, że Wspólnota
organizując, koordynując i wspierając działalność kaznodziejską członków w celu propagowania swojej wiary,
uczestniczy wspólnie z członkami-głosicielami w określaniu celów i sposobów przetwarzania danych osobowych
odwiedzonych osób, czego sprawdzenie należy jednak do sądu odsyłającego w świetle wszystkich okoliczności
niniejszej sprawy. Trybunał podkreślił, że tego stwierdzenia nie może podważyć zasada autonomii organizacyjnej
wspólnot religijnych, która wynika z art. 17 TFUE. Z orzecznictwa TS wynika, że spoczywający na wszystkich
osobach obowiązek dostosowania się do unijnego prawa ochrony danych osobowych nie można bowiem uznać za
ingerencję w autonomię organizacyjną tych wspólnot (wyrok Egenberger, C-414/16, pkt 58).
Trybunał orzekł, że art. 2 lit. d) dyrektywy 95/46 w świetle art. 10 ust. 1 Karty należy interpretować w ten
sposób, że pozwala on uznać wspólnotę religijną wspólnie z jej członkami głosicielami za administratora
danych osobowych w odniesieniu do przetwarzania dokonywanego przez tych członków głosicieli w ramach
zorganizowanej, koordynowanej i wspieranej przez wspólnotę działalności kaznodziejskiej realizowanej
poprzez odwiedzanie kolejnych gospodarstw domowych. Przy czym nie jest konieczne, aby ta Wspólnota
miała dostęp do danych, ani nie musi zostać ustalone, że udzielała ona swoim członkom pisemnych
wytycznych lub instrukcji dotyczących tego przetwarzania.
Autorka jest doktorem nauk prawnych, ekspertem ds. prawa gospodarczego, WPiA UKSW w Warszawie

Wyrok TS z 10.7.2018 r., Jehovan todistajat, C-25/17