Pasirinkite eksperimentines funkcijas, kurias norite išbandyti

Šis dokumentas gautas iš interneto svetainės „EUR-Lex“

Dokumentas 62021CJ0487

2023 m. gegužės 4 d. Teisingumo Teismo (pirmoji kolegija) sprendimas.
F.F. prieš Österreichische Datenschutzbehörde.
Bundesverwaltungsgericht prašymas priimti prejudicinį sprendimą.
Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – Duomenų subjekto teisė susipažinti su tvarkomais jo asmens duomenimis – 15 straipsnio 3 dalis – Duomenų kopijos pateikimas – Sąvoka „kopija“ – Sąvoka „informacija.
Byla C-487/21.

Teismo praktikos rinkinys. Bendrasis rinkinys

Europos teismų praktikos identifikatorius (ECLI): ECLI:EU:C:2023:369

 TEISINGUMO TEISMO (pirmoji kolegija) SPRENDIMAS

2023 m. gegužės 4 d. ( *1 )

„Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – Duomenų subjekto teisė susipažinti su tvarkomais jo asmens duomenimis – 15 straipsnio 3 dalis – Duomenų kopijos pateikimas – Sąvoka „kopija“ – Sąvoka „informacija“

Byloje C‑487/21

dėl Bundesverwaltungsgericht (Federalinis administracinis teismas, Austrija) 2021 m. rugpjūčio 9 d. sprendimu, kurį Teisingumo Teismas gavo 2021 m. rugpjūčio 9 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

F.F.

prieš

Österreichische Datenschutzbehörde,

dalyvaujant

CRIF GmbH,

TEISINGUMO TEISMAS (pirmoji kolegija),

kurį sudaro kolegijos pirmininkas A. Arabadjiev, teisėjai P. G. Xuereb, T. von Danwitz, A. Kumin ir I. Ziemele (pranešėja),

generalinis advokatas G. Pitruzzella,

kancleris A. Calot Escobar,

atsižvelgęs į rašytinę proceso dalį,

išnagrinėjęs pastabas, pateiktas:

F.F., atstovaujamo M. Schrems,

Österreichische Datenschutzbehörde, atstovaujamos A. Jelinek ir M. Schmidl,

CRIF GmbH, atstovaujamos Rechtsanwälte L. Feiler ir M. Raschhofer,

Austrijos vyriausybės, atstovaujamos G. Kunnert, A. Posch ir J. Schmoll,

Čekijos vyriausybės, atstovaujamos O. Serdula, M. Smolek ir J. Vláčil,

Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello Stato M. Russo,

Europos Komisijos, atstovaujamos A. Bouchagiar, M. Heller ir H. Kranenborg,

susipažinęs su 2022 m. gruodžio 15 d. posėdyje pateikta generalinio advokato išvada,

priima šį

Sprendimą

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, klaidų ištaisymai OL L 127, 2018, p. 2 ir OL L 74, 2021, p. 35, toliau – BDAR) 15 straipsnio išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant F.F. ir Österreichische Datenschutzbehörde (Austrijos duomenų apsaugos tarnyba, toliau – DSB) ginčą dėl pastarosios atsisakymo įpareigoti CRIF GmbH perduoti F.F. dokumentų ir išrašų iš duomenų bazių, kuriuose, be kita ko, yra tvarkomi jo asmens duomenys, kopijas.

Teisinis pagrindas

3

BDAR 10, 11, 26, 58, 60 ir 63 konstatuojamosios dalys suformuluotos taip:

„(10)

siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <…>

(11)

siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir išsamiai nustatyti duomenų subjektų teises ir asmens duomenis tvarkančių ir jų tvarkymą nustatančių subjektų prievoles, <…>

<…>

(26)

duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta <…> Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. <…>

<…>

(58)

pagal skaidrumo principą visuomenei arba duomenų subjektui skirta informacija turi būti glausta, lengvai prieinama ir suprantama, pateikiama aiškia ir paprasta kalba <…>

<…>

(60)

pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus. Duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą. <…>

<…>

(63)

duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. <…> Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas visų pirma apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. Kai įmanoma, duomenų valdytojas turėtų galėti suteikti nuotolinę prieigą prie saugios sistemos, kurioje duomenų subjektas gali tiesiogiai prieiti prie savo asmens duomenų. Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. <…>“

4

Šio reglamento 4 straipsnyje nurodyta:

„Šiame reglamente:

1)

asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti <…>; fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2)

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka <…>;

<…>“

5

Šio reglamento 12 straipsnyje „Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos“ nustatyta:

„1.   Duomenų valdytojas imasi tinkamų priemonių, kad visą 13 ir 14 straipsniuose nurodytą informaciją ir visus pranešimus pagal 15–22 ir 34 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.

<…>

3.   Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal 15–22 straipsnius. <…> Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

<…>“

6

BDAR 15 straipsnyje „Duomenų subjekto teisė susipažinti su duomenimis“ numatyta:

„1.   Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)

duomenų tvarkymo tikslai;

b)

atitinkamų asmens duomenų kategorijos;

c)

duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;

d)

kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)

teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)

teisė pateikti skundą priežiūros institucijai;

g)

kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)

tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

2.   Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones pagal 46 straipsnį.

3.   Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Už bet kurias kitas duomenų subjekto prašomas kopijas duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

4.   3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms.“

7

BDAR 16 straipsnis „Teisė reikalauti ištaisyti duomenis“ suformuluotas taip:

„Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.“

8

Minėto reglamento 17 straipsnio „Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)“ 1 dalyje nustatyta:

„Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis <…>

<…>“

Pagrindinė byla ir prejudiciniai klausimai

9

CRIF yra verslo konsultacijų įmonė, kuri klientų prašymu teikia informaciją apie trečiųjų šalių mokumą. Šiuo tikslu ji tvarkė pareiškėjo pagrindinėje byloje asmens duomenis.

10

2018 m. gruodžio 20 d. pareiškėjas pagrindinėje byloje, remdamasis BDAR 15 straipsniu, paprašė CRIF leisti susipažinti su savo asmens duomenimis. Be to, jis paprašė pateikti dokumentų, t. y. elektroninių laiškų ir išrašų iš duomenų bazių, kuriuose, be kita ko, yra jo duomenų, kopijas „įprastu techniniu formatu“.

11

Atsakydama į šį prašymą CRIF pateikė pareiškėjui pagrindinėje byloje apibendrintą jo tvarkomų asmens duomenų sąrašą.

12

Manydamas, kad CRIF turėjo jam perduoti visų dokumentų, kuriuose yra jo duomenų, kaip antai elektroninių laiškų ir duomenų bazių išrašų, kopijas, pareiškėjas pagrindinėje byloje pateikė DSB skundą.

13

2019 m. rugsėjo 11 d. sprendimu DSB atmetė tą skundą ir konstatavo, kad CRIF nepažeidė pareiškėjo pagrindinėje byloje teisės susipažinti su asmens duomenimis.

14

Prašymą priimti prejudicinį sprendimą pateikusiam teismui, kuriam pareiškėjas pagrindinėje byloje pateikė skundą dėl to sprendimo, kyla klausimas dėl BDAR 15 straipsnio 3 dalies pirmo sakinio taikymo srities. Visų pirma jam kyla klausimas, ar šioje nuostatoje numatyta pareiga pateikti asmens duomenų „kopiją“ įvykdoma, kai duomenų valdytojas perduoda asmens duomenis apibendrinamoje lentelėje, ar vis dėlto ši pareiga taip pat reiškia, kad reikia perduoti dokumentų išrašus ar visos apimties dokumentus ir išrašus iš duomenų bazių, kuriuose šie duomenys atgaminami.

15

Konkrečiau kalbant, tas teismas kelia klausimą, ar BDAR 15 straipsnio 3 dalies pirmame sakinyje tik apibrėžiama teisės susipažinti su šio reglamento 15 straipsnio 1 dalyje nurodyta informacija forma, ar vis dėlto pagal minėto 15 straipsnio 3 dalies pirmą sakinį duomenų subjektui suteikiama savarankiška teisė susipažinti su informacija, susijusia su jo duomenų tvarkymo kontekstu, t. y. dokumentų ištraukų, visos apimties dokumentų arba išrašų iš duomenų bazių, kuriuose, be kita ko, yra šie duomenys, kopijomis.

16

Be to, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar BDAR 15 straipsnio 3 dalies trečiame sakinyje vartojama sąvoka „informacija“ taip pat apima šio reglamento 15 straipsnio 1 dalies a–h punktuose nurodytą informaciją ar net papildomą informaciją, kaip antai metaduomenis, susijusius su asmens duomenimis, ar ji apima tik minėto reglamento 15 straipsnio 3 dalies pirmame sakinyje nurodytus „tvarkomus asmens duomenis“.

17

Šiomis aplinkybėmis Bundesverwaltungsgericht (Federalinis administracinis teismas, Austrija) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.

Ar [BDAR] 15 straipsnio 3 dalyje vartojama „kopijos“ sąvoka turi būti aiškinama taip, kad ji reiškia (elektroninio) duomens fotokopiją ar faksimilę arba elektroninę kopiją, ar į šią sąvoką, vadovaujantis vokiečių, prancūzų ir anglų kalbų žodynuose pateikiamomis apibrėžtimis, patenka ir „Abschrift“, „double“ („duplicata“) ar „transcript“?

2.

Ar BDAR 15 straipsnio 3 dalies pirmas sakinys, kuriame nustatyta, kad „duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją“, turi būti aiškinamas taip, kad juo duomenų subjektui suteikiama bendro pobūdžio teisė gauti – taip pat – visų dokumentų, kuriuose tvarkomi duomenų subjekto asmens duomenys, kopiją arba duomenų bazės išrašo kopiją, jeigu asmens duomenys tvarkomi duomenų bazėje, ar šis sakinys reiškia – tik – duomenų subjekto teisę į tikslų asmens duomenų, su kuriais turi būti leidžiama susipažinti pagal BDAR 15 straipsnio 1 dalį, atgaminimą?

3.

Jeigu į antrąjį klausimą reikėtų atsakyti taip, kad duomenų subjektas turi tik teisę į tikslų asmens duomenų, su kuriais turi būti leidžiama susipažinti pagal BDAR 15 straipsnio 1 dalį, atgaminimą, ar BDAR 15 straipsnio 3 dalies pirmas sakinys turi būti aiškinamas taip, kad dėl tvarkomų duomenų pobūdžio (pavyzdžiui, duomenų, susijusių su [BDAR] 63 konstatuojamojoje dalyje minimomis diagnozėmis, tyrimų rezultatais, taip pat išvadomis arba susijusių su egzaminų, kaip tai suprantama pagal 2017 m. gruodžio 20 d. Teisingumo Teismo sprendimą Nowak (C‑434/16, EU:C:2017:994), dokumentais) ir dėl BDAR 12 straipsnio 1 dalyje įtvirtinto skaidrumo reikalavimo konkrečiu atveju visgi gali prireikti duomenų subjektui pateikti ir teksto ištraukas ar visos apimties dokumentus?

4.

Ar „informacijos“, kuri, kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, pagal BDAR 15 straipsnio 3 dalies trečią sakinį „pateikiama įprastai naudojama elektronine forma“, „išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip“, sąvoka turi būti aiškinama taip, kad ji reiškia tik 15 straipsnio 3 dalies pirmame sakinyje minėtus „tvarkomus asmens duomenis“?

a)

Jeigu į ketvirtąjį klausimą būtų atsakyta neigiamai, ar „informacijos“, kuri, kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, pagal BDAR 15 straipsnio 3 dalies trečią sakinį „pateikiama įprastai naudojama elektronine forma“, „išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip“, sąvoka turi būti aiškinama taip, kad ji reiškia taip pat BDAR 15 straipsnio 1 dalies a–h punktuose nurodytą informaciją?

b)

Jeigu į ketvirtojo klausimo a dalį būtų atsakyta neigiamai, ar „informacijos“, kuri, kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, pagal BDAR 15 straipsnio 3 dalies trečią sakinį „pateikiama įprastai naudojama elektronine forma“, „išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip“, sąvoka turi būti aiškinama taip, kad ji reiškia ne tik 15 straipsnio 3 dalies pirmame sakinyje minėtus „tvarkomus asmens duomenis“ ir ne tik BDAR 15 straipsnio 1 dalies a–h punktuose nurodytą informaciją, bet ir, pavyzdžiui, susijusius metaduomenis?“

Dėl prejudicinių klausimų

Dėl pirmojo, antrojo ir trečiojo prejudicinių klausimų

18

Pirmuoju–trečiuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 15 straipsnio 3 dalies pirmas sakinys, siejamas su šio reglamento 12 straipsnio 1 dalyje numatytu skaidrumo principu, turi būti aiškinamas taip, kad teisė gauti tvarkomų asmens duomenų kopiją reiškia, kad duomenų subjektui turi būti perduota ne tik šių duomenų kopija, bet ir visos apimties dokumentų, jų ištraukų ar išrašų iš duomenų bazių, kuriuose, be kita ko, yra minėtų duomenų, kopijos. Šiam teismui visų pirma kyla klausimas dėl šios teisės apimties.

19

Visų pirma, reikia priminti, kad pagal suformuotą Teisingumo Teismo jurisprudenciją aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekste vartojamų žodžių įprastą reikšmę, bet ir į teisės akto, kuriame ji įtvirtinta, tikslus ir kontekstą (šiuo klausimu žr. 2021 m. gruodžio 2 d. Sprendimo Vodafone Kabel Deutschland, C‑484/20, EU:C:2021:975, 19 punktą ir jame nurodytą jurisprudenciją bei 2022 m. rugsėjo 7 d. Sprendimo Staatssecretaris van Justitie en Veiligheid(Teisės gyventi šalyje pagal SESV 20 straipsnį pobūdis), C‑624/20, EU:C:2022:639, 28 punktą).

20

Iš BDAR 15 straipsnio 3 dalies pirmo sakinio formuluotės matyti, kad duomenų valdytojas „pateikia tvarkomų asmens duomenų kopiją“.

21

Nors BDAR nepateikta vartojamos sąvokos „kopija“ apibrėžtis, reikia atsižvelgti į įprastą šio termino reikšmę, t. y. kaip pažymėjo generalinis advokatas išvados 30 punkte, tikslų originalo atkūrimą ar perrašymą, todėl bendras tvarkomų duomenų aprašymas arba nuoroda į asmens duomenų kategorijas neatitinka šios apibrėžties. Be to, iš šio reglamento 15 straipsnio 3 dalies pirmo sakinio formuluotės matyti, kad pareiga pateikti yra susijusi su asmens duomenimis, kurie yra nagrinėjamo tvarkymo objektas.

22

BDAR 4 straipsnio 1 punkte „asmens duomenys“ apibrėžiami kaip „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas)“, taip pat patikslinama, kad „fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“.

23

Šioje nuostatoje esančių žodžių „bet kokia informacija“ vartojimas apibrėžiant sąvoką „asmens duomenys“ atspindi Sąjungos teisės aktų leidėjo tikslą šiai sąvokai suteikti plačią reikšmę, ji potencialiai apima bet kokios rūšies informaciją, tiek objektyvią, tiek subjektyvią, nuomonių ar vertinimų pavidalo, jei ji yra „apie“ atitinkamą asmenį (pagal analogiją žr. 2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 34 punktą).

24

Šiuo klausimu buvo nuspręsta, kad informacija yra apie fizinį asmenį, kurio tapatybė yra nustatyta arba gali būti nustatyta, jeigu dėl savo turinio, tikslo ar poveikio ji yra susijusi su asmeniu, kurio tapatybė gali būti nustatyta (šiuo klausimu žr. 2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 35 punktą).

25

Dėl to, ar galima „nustatyti fizinio asmens tapatybę“, BDAR 26 konstatuojamojoje dalyje nurodyta, kad reikia atsižvelgti „į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo“.

26

Taigi, kaip iš esmės pažymėjo generalinis advokatas išvados 36–39 punktuose, plati sąvokos „asmens duomenys“ apibrėžtis apima ne tik duomenų valdytojo surinktus ir saugomus duomenis, bet ir visą tvarkant asmens duomenis gautą informaciją, susijusią su asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, pavyzdžiui, jo kreditingumo ar galimybės sumokėti įvertinimą.

27

Šiomis aplinkybėmis dar reikia pridurti, kad Sąjungos teisės aktų leidėjas BDAR 4 straipsnio 2 punkte apibrėžtai sąvokai „duomenų tvarkymas“ siekė suteikti plačią taikymo sritį, pateikdamas nebaigtinį operacijų sąrašą (šiuo klausimu žr. 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 35 punktą).

28

Taigi, BDAR 15 straipsnio 3 dalies pirmą sakinį nagrinėjant pažodžiui, matyti, jog šia nuostata duomenų subjektui suteikiama teisė gauti tikslią jo asmens duomenų, suprantamų plačiai, su kuriais duomenų valdytojas atlieka duomenų tvarkymu laikytinas operacijas, kopiją.

29

Atsižvelgiant į tai, reikia konstatuoti, kad vien šios nuostatos formuluotė neleidžia atsakyti į pirmuosius tris klausimus, nes joje nėra jokios nuorodos į galimą teisę gauti ne tik tvarkomų asmens duomenų kopiją, bet ir dokumentų ištraukų ar pilnos apimties dokumentų ar išrašų iš duomenų bazių, kuriuose, be kita ko, yra šių duomenų, kopijas.

30

Dėl BDAR 15 straipsnio 3 dalies pirmo sakinio konteksto reikia pažymėti, kad BDAR 15 straipsnio „Duomenų subjekto teisė susipažinti su duomenimis“ 1 dalyje apibrėžiamas duomenų subjektui pripažintos teisės susipažinti su duomenimis dalykas ir taikymo sritis bei įtvirtinama duomenų subjekto teisė iš duomenų valdytojo gauti prieigą prie jo asmens duomenų ir 15 straipsnio 3 dalies a–h punktuose nurodytos informacijos.

31

BDAR 15 straipsnio 3 dalyje patikslinama praktinė duomenų valdytojui tenkančios prievolės vykdymo tvarka, be kita ko, jo pirmame sakinyje nurodant formą, kuria šis duomenų valdytojas turi pateikti „tvarkomus asmens duomenis“, t. y. „kopiją“. Be to, šios dalies trečiame sakinyje nurodyta, kad kai prašymas pateikiamas elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.

32

Vadinasi, BDAR 15 straipsnis negali būti aiškinamas taip, kad jo 3 dalies pirmame sakinyje yra įtvirtinta teisė, atskira nuo 1 dalyje numatytos teisės. Be to, kaip Europos Komisija pažymėjo savo rašytinėse pastabose, sąvoka „kopija“ reiškia ne patį dokumentą, o jame esančius asmens duomenis, kurie turi būti išsamūs. Taigi kopijoje turi būti pateikti visi tvarkomi asmens duomenys.

33

Kalbant apie BDAR 15 straipsniu siekiamus tikslus, reikia pažymėti, kad jo tikslas, kaip nurodyta jo 11 konstatuojamojoje dalyje, yra sustiprinti ir išsamiai nustatyti duomenų subjektų teises. Šiuo klausimu, skirtingai nei 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) 12 straipsnio a punkto antroje įtraukoje, pagal kurią tik reikalaujama pateikti „pranešimą suprantamu pavidalu apie tvarkomus duomenis“, BDAR 15 straipsnyje numatyta teisė gauti kopiją. Šio reglamento 63 konstatuojamojoje dalyje nurodyta, kad „duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą“.

34

Taigi BDAR 15 straipsnyje numatyta teisė susipažinti su duomenimis turi suteikti duomenų subjektui galimybę įsitikinti, kad jo asmens duomenys yra tikslūs ir tvarkomi teisėtai (šiuo klausimu žr. 2023 m. sausio 12 d. Sprendimo Österreichische Post (Informacija apie asmens duomenų gavėjus), C‑154/21, EU:C:2023:3, 37 punktą ir jame nurodytą jurisprudenciją).

35

Konkrečiai kalbant, ši teisė susipažinti su duomenimis yra būtina tam, kad duomenų subjektas prireikus galėtų pasinaudoti teise ištaisyti duomenis, teise ištrinti duomenis („teisė būti pamirštam“) ir teise apriboti duomenų tvarkymą, kurios jam suteiktos atitinkamai pagal BDAR 16, 17 ir 18 straipsnius, taip pat BDAR 21 straipsnyje numatyta teise nesutikti, kad jo asmens duomenys būtų tvarkomi, ir BDAR 79 ir 82 straipsniuose numatyta teise pareikšti ieškinį, kai patiriama žalos (2023 m. sausio 12 d. Sprendimo Österreichische Post (Informacija apie asmens duomenų gavėjus), C‑154/21, EU:C:2023:3, 38 punktas ir jame nurodyta jurisprudencija).

36

Taip pat reikėtų pažymėti, kad BDAR 60 konstatuojamojoje dalyje nurodyta, jog pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, o duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą.

37

Be to, pagal prašymą priimti prejudicinį sprendimą pateikusio teismo nurodytą skaidrumo principą, į kurį daroma nuoroda BDAR 58 konstatuojamojoje dalyje ir kuris aiškiai įtvirtintas šio reglamento 12 straipsnio 1 dalyje, visa duomenų subjektui skirta informacija turi būti glausta, lengvai prieinama ir suprantama, pateikiama aiškia ir paprasta kalba.

38

Kaip pažymėjo generalinis advokatas išvados 54 ir 55 punktuose, iš šios nuostatos matyti, kad duomenų valdytojas privalo imtis tinkamų priemonių, kad duomenų subjektui visą informaciją, be kita ko, nurodytą BDAR 15 straipsnyje, pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, paprasta ir suprantama kalba, ir kad informacija turi būti pateikiama raštu arba kitomis priemonėmis, įskaitant, kai tinkama, elektronines priemones, nebent duomenų subjektas prašytų ją pateikti žodžiu. Šios nuostatos, kuri yra skaidrumo principo išraiška, tikslas – užtikrinti, kad duomenų subjektas galėtų visapusiškai suprasti jam skirtą informaciją.

39

Darytina išvada, kad tvarkomų asmens duomenų kopija, kurią duomenų valdytojas turi pateikti pagal BDAR 15 straipsnio 3 dalies pirmą sakinį, turi atitikti visus požymius, leidžiančius duomenų subjektui veiksmingai įgyvendinti savo teises pagal šį reglamentą, todėl joje turi būti visiškai ir tiksliai atgaminti šie duomenys.

40

Toks aiškinimas atitinka šio reglamento tikslą, kuris, kaip matyti iš jo 10 konstatuojamosios dalies, be kita ko, yra užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą visoje Sąjungoje, taigi – nuoseklų ir vienodą taisyklių, reglamentuojančių šių asmenų pagrindinių teisių ir laisvių apsaugą tvarkant asmens duomenis, taikymą visoje Sąjungoje (šiuo klausimu žr. 2023 m. vasario 9 d. Sprendimo X-FAB Dresden, C‑453/21, EU:C:2023:79, 25 punktą ir jame nurodytą jurisprudenciją).

41

Iš tiesų, siekiant užtikrinti, kad taip pateiktą informaciją būtų lengva suprasti, kaip to reikalaujama pagal BDAR 12 straipsnio 1 dalį, siejamą su šio reglamento 58 konstatuojamąja dalimi, dokumentų ištraukų ar net visos apimties dokumentų ar išrašų iš duomenų bazių, kuriuose, be kita ko, yra tvarkomų asmens duomenų, atgaminimas gali būti būtinas, kaip pažymėjo generalinis advokatas išvados 57 ir 58 punktuose, tuo atveju, kai tvarkomų asmens duomenų kontekstas yra būtinas, siekiant užtikrinti, kad jie būtų suprantami.

42

Konkrečiai kalbant, kai asmens duomenys generuojami remiantis kitais duomenimis arba kai tokie duomenys gaunami iš laisvų laukelių, t. y. kai nesant nuorodų atskleidžiama informacija apie duomenų subjektą, tokių duomenų tvarkymo kontekstas yra būtinas elementas, kad duomenų subjektas galėtų turėti skaidrią prieigą ir kad šie duomenys būtų jam pateikti suprantamai.

43

Be to, remiantis BDAR 15 straipsnio 4 dalimi, siejama su šio reglamento 63 konstatuojamąja dalimi, 3 dalyje nurodyta teisė gauti kopiją neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga.

44

Taigi, kaip pažymėjo generalinis advokatas išvados 61 punkte, tais atvejais, kai teisės visapusiškai susipažinti su asmens duomenimis įgyvendinimas prieštarauja kitų asmenų teisėms ir laisvėms, reikia užtikrinti nagrinėjamų teisių ir laisvių pusiausvyrą. Kai įmanoma, turėtų būti pasirenkami tokie asmens duomenų perdavimo būdai, kuriais nebūtų pažeistos kitų asmenų teisės ar laisvės, atsižvelgiant į tai, kad, kaip nurodyta BDAR 63 konstatuojamojoje dalyje, tokie argumentai neturėtų „lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją“.

45

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį–trečiąjį prejudicinius klausimus reikia atsakyti, kad BDAR 15 straipsnio 3 dalies pirmas sakinys

turi būti aiškinamas taip:

teisė iš duomenų valdytojo gauti jo tvarkomų asmens duomenų kopiją reiškia, kad duomenų subjektui turi būti pateikti tiksliai ir suprantamai atgaminti visi šie duomenys. Ši teisė apima teisę gauti dokumentų ištraukų ar visos apimties dokumentų arba išrašų iš duomenų bazių, kuriuose, be kita ko, yra minėtų duomenų, kopijas, jeigu tokių kopijų pateikimas yra būtinas, kad duomenų subjektas galėtų veiksmingai pasinaudoti šiuo reglamentu jam suteiktomis teisėmis, pabrėžiant, kad šiuo klausimu reikia atsižvelgti į kitų asmenų teises ir laisves.

Dėl ketvirtojo prejudicinio klausimo

46

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 15 straipsnio 3 dalies trečias sakinys turi būti aiškinamas taip, kad jame vartojama sąvoka „informacija“ susijusi tik su asmens duomenimis, kurių kopiją pagal šios dalies pirmą sakinį turi pateikti duomenų valdytojas, ar ji taip pat apima visą šio straipsnio 1 dalyje nurodytą informaciją, t. y. net ir kitus elementus, kaip antai metaduomenis.

47

Kaip priminta šio sprendimo 19 punkte, aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekstą, bet ir į kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus.

48

Šiuo klausimu pažymėtina, kad nors BDAR 15 straipsnio 3 dalies trečiame sakinyje tik nurodyta, kad „kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, <…> informacija pateikiama įprastai naudojama elektronine forma“, nepatikslinant, kaip reikia suprasti sąvoką „informacija“, šios dalies pirmame sakinyje numatyta, kad „duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją“.

49

Taigi iš BDAR 15 straipsnio 3 dalies trečio sakinio konteksto matyti, kad jame nurodyta „informacija“ neišvengiamai atitinka asmens duomenis, kurių kopiją pagal šios dalies pirmą sakinį turi pateikti duomenų valdytojas.

50

Tokį aiškinimą patvirtina BDAR 15 straipsnio 3 dalies tikslai, kurie, kaip priminta šio sprendimo 31 punkte, yra nustatyti praktinę duomenų valdytojui tenkančios pareigos pateikti tvarkomų asmens duomenų kopiją vykdymo tvarką. Taigi šia nuostata nėra nustatoma atskira teisė nei ta, pagal kurią duomenų subjektas gali reikalauti, kad šie duomenys būtų tiksliai ir suprantamai atgaminti, o tai leidžia jam veiksmingai pasinaudoti šiame reglamente jam suteiktomis teisėmis.

51

Reikia pažymėti, kad jokia minėto reglamento nuostata nenustato skirtingo prašymo vertinimo, atsižvelgiant į jo pateikimo formą, todėl teisės gauti kopiją apimtis negali skirtis dėl prašymo pateikimo formos.

52

Be to, taip pat reikia pažymėti, kad pagal BDAR 12 straipsnio 3 dalį, kai prašymas pateiktas elektroniniu būdu, 15 straipsnyje nurodyta informacija, įskaitant šio straipsnio 1 dalies a–h punktuose nurodytą informaciją, teikiama elektroniniu būdu, nebent duomenų subjektas nurodo kitaip.

53

Atsižvelgiant į tai, kas išdėstyta, į ketvirtąjį prejudicinį klausimą reikia atsakyti, kad BDAR 15 straipsnio 3 dalies trečias sakinys

turi būti aiškinamas taip:

jame vartojama sąvoka „informacija“ susijusi tik su asmens duomenimis, kurių kopiją pagal šios dalies pirmą sakinį turi pateikti duomenų valdytojas.

Dėl bylinėjimosi išlaidų

54

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti tas teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

 

Remdamasis šiais motyvais, Teisingumo Teismas (pirmoji kolegija) nusprendžia:

 

1.

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 15 straipsnio 3 dalies pirmas sakinys

turi būti aiškinamas taip:

teisė iš duomenų valdytojo gauti jo tvarkomų asmens duomenų kopiją reiškia, kad duomenų subjektui turi būti pateikti tiksliai ir suprantamai atgaminti visi šie duomenys. Ši teisė apima teisę gauti dokumentų ištraukų ar visos apimties dokumentų arba išrašų iš duomenų bazių, kuriuose, be kita ko, yra minėtų duomenų, kopijas, jeigu tokių kopijų pateikimas yra būtinas, kad duomenų subjektas galėtų veiksmingai pasinaudoti šiuo reglamentu jam suteiktomis teisėmis, pabrėžiant, kad šiuo klausimu reikia atsižvelgti į kitų asmenų teises ir laisves.

 

2.

Reglamento 2016/679 15 straipsnio 3 dalies trečias sakinys

turi būti aiškinamas taip:

jame vartojama sąvoka „informacija“ susijusi tik su asmens duomenimis, kurių kopiją pagal šios dalies pirmą sakinį turi pateikti duomenų valdytojas.

 

Parašai.


( *1 ) Proceso kalba: vokiečių.

Į viršų