Prawo dostępu do danych osobowych

Każdy ma prawo uzyskania informacji o tożsamości konkretnych odbiorców danych od administratora (np. Poczty), który ujawnił osobom trzecim dane osobowe dotyczące tej osoby. Takie prawo dostępu może być ograniczone wyłącznie do wskazania kategorii odbiorców, w przypadku gdy zidentyfikowanie konkretnych odbiorców tych danych jest fizycznie niemożliwe, lub gdy administrator wykaże, że żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne.

Tematyka: Prawo dostępu, dane osobowe, odbiorcy danych, RODO, TSUE, ochrona danych, przetwarzanie danych osobowych

Każdy ma prawo uzyskania informacji o tożsamości konkretnych odbiorców danych od administratora (np. Poczty), który ujawnił osobom trzecim dane osobowe dotyczące tej osoby. Takie prawo dostępu może być ograniczone wyłącznie do wskazania kategorii odbiorców, w przypadku gdy zidentyfikowanie konkretnych odbiorców tych danych jest fizycznie niemożliwe, lub gdy administrator wykaże, że żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne.

 

Każdy ma prawo uzyskania informacji o tożsamości konkretnych odbiorców danych od administratora (np.
Poczty), który ujawnił osobom trzecim dane osobowe dotyczące tej osoby. Takie prawo dostępu może być
ograniczone wyłącznie do wskazania kategorii odbiorców, w przypadku gdy zidentyfikowanie konkretnych
odbiorców tych danych jest fizycznie niemożliwe, lub gdy administrator wykaże, że żądania osoby, której
dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne.
Stan faktyczny
RW zwrócił się do Österreichische Post AG (dalej: Post) na podstawie art. 15 rozporządzenia Parlamentu
Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), w celu uzyskania dostępu do
dotyczących go danych osobowych przechowywanych przez Post obecnie lub w przeszłości, a w przypadku
ujawnienia tych danych osobom trzecim – tożsamości tych odbiorców. Post ograniczyła się do wskazania, że
wykorzystuje dane w zakresie zgodnym z prawem, i nie podała RW tożsamości konkretnych odbiorców danych.
Rozpoznający tę sprawę austriacki SN powziął wątpliwości co do wykładni art. 15 ust. 1 lit. c) RODO, ponieważ jego
treść nie pozwala ustalić, czy przyznaje on osobie, której dane dotyczą, prawo dostępu do informacji dotyczących
konkretnych odbiorców ujawnionych danych, czy też administrator danych dysponuje uznaniem co do sposobu,
w jaki zamierza uwzględnić wniosek o udzielenie dostępu do informacji o odbiorcach.
Stanowisko TSUE
Przepis art. 15 ust. 1 lit. c) RODO stanowi, że osoba, której dane dotyczą, jest uprawniona do uzyskania od
administratora potwierdzenia, czy przetwarzane dane osobowe dotyczą właśnie jej, a jeżeli ma to miejsce, jest
uprawniona do uzyskania dostępu do informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe
zostały lub zostaną ujawnione. Trybunał wskazał, że pojęcia „odbiorcy” i „kategorie odbiorców”, zawarte w tym
przepisie, są użyte jedno po drugim, bez możliwości wywnioskowania pierwszeństwa między nimi. W ocenie TSUE
treść art. 15 ust. 1 lit. c) RODO nie pozwala ustalić w sposób jednoznaczny, czy osoba, której dane dotyczą,
w przypadku gdy dotyczące jej dane osobowe zostały lub zostaną ujawnione, ma prawo do uzyskania informacji
o konkretnej tożsamości odbiorców tych danych.
Odnosząc się do kontekstu, w jaki wpisuje się art. 15 ust. 1 lit. c) RODO, TSUE przypomniał, że motyw 63 tego
rozporządzenia przewiduje, iż osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji,
w szczególności dotyczących odbiorców tych danych osobowych, i nie precyzuje, że to prawo może być ograniczone
wyłącznie do kategorii odbiorców. Ponadto, aby przestrzegane było prawo dostępu, każde przetwarzanie danych
osobowych musi być zgodne z zasadami określonymi w art. 5 RODO (wyrok TSUE z 16.1.2019 r., Deutsche Post, C-
496/17, pkt 57, 
). Wśród tych zasad znajduje się zasada przejrzystości (art. 5 ust. 1 lit. a) RODO), która
oznacza (jak wynika z motywu 39 tego rozporządzenia), że osoba, której dane dotyczą, posiada informacje
o sposobie przetwarzania jej danych osobowych, oraz wymaga, aby te informacje były łatwo dostępne i zrozumiałe.
Trybunał orzekł już, że korzystanie z omawianego prawa dostępu powinno pozwolić osobie, której dane dotyczą, nie
tylko na sprawdzenie, czy dotyczące jej dane są prawidłowe, ale także czy są przetwarzane zgodnie z prawem
(wyrok TSUE z 20.12.2017 r., Nowak, C-434/16, pkt 57, 
), a w szczególności czy zostały one ujawnione
upoważnionym odbiorcom (wyrok TSUE z 7.5.2009 r., Rijkeboer, C-553/07, pkt 49, 
). Przykładowo prawo
dostępu jest niezbędne, aby umożliwić osobie, której dane dotyczą, skorzystanie w razie potrzeby z jej prawa do
sprostowania, prawa do usunięcia danych (prawa do bycia zapomnianym) lub prawa do ograniczenia przetwarzania,
które zostały jej przyznane, odpowiednio, w art. 16, 17 i 18 RODO (wyrok TSUE z 17.7.2014 r., YS i in., C-141/12 i C-
372/12, pkt 44, 
, sprawy połączone).
Trybunał stwierdził, że powyższą wykładnię potwierdza również treść art. 19 RODO, który przewiduje w zdaniu
pierwszym, że administrator danych co do zasady informuje każdego odbiorcę, któremu dane osobowe zostały
ujawnione, o każdym sprostowaniu lub usunięciu danych osobowych lub o jakimkolwiek ograniczeniu przetwarzania,
a w zdaniu drugim – że ten administrator informuje o tych odbiorcach osobę, której dane dotyczą, jeśli tylko tego
zażąda. Art. 19 zd. drugie RODO wyraźnie przyznaje osobie, której dane dotyczą, prawo do bycia informowaną
o konkretnych odbiorcach dotyczących jej danych przez administratora danych w ramach ciążącego na tym ostatnim
obowiązku informowania wszystkich odbiorców o wykonywaniu praw przysługujących tej osobie na podstawie art. 16,
art. 17 ust. 1 i art. 18 RODO. W ocenie TSUE z powyższej analizy systemowej wynika, że art. 15 ust. 1 lit. c) RODO
stanowi jeden z przepisów mających gwarantować przejrzystość sposobów przetwarzania danych osobowych



względem osoby, której dane dotyczą, i umożliwia tej osobie, jak wskazał rzecznik generalny w pkt. 33 opinii,
wykonywanie uprawnień przewidzianych w szczególności w art. 16–19, 21, 79 i 82 RODO. W związku z tym TSUE
uznał, że informacje przekazane osobie, której dane dotyczą, na podstawie prawa dostępu przewidzianego w art. 15
ust. 1 lit. c) RODO powinny być możliwie najbardziej dokładne.
Trybunał wskazał, że RODO dąży w szczególności do zapewnienia wysokiego poziomu ochrony osób fizycznych
w Unii Europejskiej. Ogólne ramy prawne stworzone przez RODO wprowadzają w życie wymogi wynikające
z podstawowego prawa do ochrony danych osobowych, chronionego przez art. 8 KPP, a w szczególności wymogi
wyraźnie przewidziane w art. 8 ust. 2 KPP (wyrok TSUE z 9.3.2017 r., Manni, C-398/15, pkt 40, 
). W ocenie
TSUE ten cel ten potwierdza przedstawioną powyżej wykładnię art. 15 ust. 1 RODO. W związku z tym z celu, do
którego dąży RODO, wynika również, że osoba, której dane dotyczą, ma prawo do uzyskania od administratora
danych informacji o konkretnych odbiorcach, którym zostały lub zostaną ujawnione dotyczące jej dane osobowe.
Trybunał podkreślił, że prawo do ochrony danych osobowych nie jest jednak prawem bezwzględnym. Prawo to
należy bowiem postrzegać w świetle jego funkcji społecznej i wyważyć z innymi prawami podstawowymi,
zgodnie z zasadą proporcjonalności (wyroku TSUE z 16.7.2020 r., Facebook Ireland i Schrems, C-311/18, pkt 172,
). W związku z tym TSUE przyjął, że w szczególnych okolicznościach nie jest możliwe dostarczenie
informacji dotyczących konkretnych odbiorców.
Trybunał przypomniał, że zgodnie z art. 12 ust. 5 lit. b) RODO administrator danych, zgodnie z zasadą
odpowiedzialności, może odmówić uwzględnienia wniosków osoby, której dotyczą dane, jeżeli wnioski te są
ewidentnie nieuzasadnione lub nadmierne. Przy czym na tym samym administratorze danych spoczywa
obowiązek wykazania, że dane wnioski mają ewidentnie nieuzasadniony lub nadmierny charakter. W niniejszej
sprawie Post oddaliła wniosek złożony przez RW na podstawie art. 15 ust. 1 RODO, w którym zażądał on, aby Post
podała mu tożsamość odbiorców, którym ujawniła dotyczące go dane osobowe. Trybunał wskazał, że do Sądu
odsyłającego będzie należało zbadanie, czy, w rozpatrywanych okolicznościach Post wykazała, iż ten wniosek miał
ewidentnie nieuzasadniony lub nadmierny charakter.
Reasumując, TSUE orzekł, że art. 15 ust. 1 lit. c) RODO należy interpretować w ten sposób, iż przewidziane
w tym przepisie prawo dostępu osoby, której dane dotyczą, do dotyczących jej danych osobowych oznacza,
w przypadku gdy te dane zostały lub zostaną ujawnione odbiorcom, że na administratorze danych ciąży
obowiązek podania tej osobie dokładnej tożsamości tych odbiorców, chyba że nie jest możliwe
zidentyfikowanie tych odbiorców lub ten administrator danych wykaże, że wnioski o uzyskanie dostępu
złożone przez osobę, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne w rozumieniu art. 12
ust. 5 RODO, w których to przypadkach administrator ten może wskazać tej osobie wyłącznie kategorie
odnośnych odbiorców.

Komentarz
W niniejszym wyroku Trybunał dokonał wykładni art. 15 ust. 1 lit. c) RODO w odniesieniu do zakresu przewidzianego
w tym przepisie prawa osoby, której dane dotyczą, do uzyskania od administratora informacji dotyczących odbiorców
lub kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione.
Z prezentowanego wyroku wynika, że jeżeli osoba, której dane osobowe są przetwarzane, chce uzyskać od
administratora informacje o osobach trzecich, którym te dane są ujawniane, jej prawo dostępu do danych oznacza,
że powinna ona otrzymać informacje o konkretnych odbiorcach, którym ujawniono dotyczące jej dane osobowe. Tym
samym prawo dostępu oznacza, że osoba, której dane dotyczą, może uzyskać od administratora danych informacje
o konkretnych odbiorcach, którym dane zostały ujawnione, lub, alternatywnie, zdecydować się na ograniczenie się do
zażądania informacji dotyczących kategorii odbiorców. Zgodnie z wykładnią TSUE w art. 15 RODO przewidziano
rzeczywiste prawo dostępu na rzecz osoby, której dane dotyczą, w przeciwieństwie np. do art. 13 i 14 RODO.
Trybunał uznał, że jedynie wyjątkowo to prawo może zostać ograniczone do informacji dotyczących tylko kategorii
odbiorców. Dotyczy to przypadku, w którym nie jest możliwe podanie do wiadomości tożsamości konkretnych
odbiorców, w szczególności gdy nie są oni jeszcze znani, bądź też wyłączeń unormowanych w art. 12 ust. 5 lit. b)
RODO.

Wyrok TSUE z 12.1.2023 r., Österreichische Post (Informacje odnoszące się do odbiorców danych
osobowych), C-154/21, 








 

Trybunał uznał, że jedynie wyjątkowo to prawo może zostać ograniczone do informacji dotyczących tylko kategorii odbiorców. Dotyczy to przypadku, w którym nie jest możliwe podanie do wiadomości tożsamości konkretnych odbiorców, w szczególności gdy nie są oni jeszcze znani, bądź też wyłączeń unormowanych w art. 12 ust. 5 lit. b) RODO.