Sprawa C‑231/22

État belge

przeciwko

Autorité de protection des données

(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Cour d’appel de Bruxelles)

Wyrok Trybunału (trzecia izba) z dnia 11 stycznia 2024 r.

Odesłanie prejudycjalne – Zbliżanie ustawodawstw – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych i swobodny przepływ takich danych (ogólne rozporządzenie o ochronie danych) – Rozporządzenie (UE) 2016/679 – Artykuł 4 pkt 7 – Pojęcie „administratora” – Dziennik urzędowy państwa członkowskiego – Obowiązek publikowania w niezmienionej postaci aktów spółek sporządzonych przez spółki lub ich przedstawicieli prawnych – Artykuł 5 ust. 2 – Kolejne przetwarzanie przez kilka odrębnych osób lub podmiotów danych osobowych zawartych w takich aktach – Ustalenie odpowiedzialności

1. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie 2016/679 – Pojęcie administratora – Dziennik urzędowy państwa członkowskiego zapewniający publikację aktów i dokumentów urzędowych przygotowanych przez osoby trzecie nieposiadające uprawnień kontrolnych co do ich treści – Włączenie – Przesłanka – Określenie w prawie krajowym celów i sposobów przetwarzania danych osobowych przez ten dziennik urzędowy – Szczegółowe zasady – Brak znaczenia braku osobowości prawnej

   (rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 4 pkt 7)

   (zob. pkt 28, 30, 34–39; pkt 1 sentencji)

2. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie 2016/679 – Zasady dotyczące przetwarzania – Określenie podmiotu odpowiedzialnego za przestrzeganie tych zasad w wypadku kolejnego przetwarzania tych samych danych – Odpowiedzialność dziennika urzędowego państwa członkowskiego zapewniającego publikację dokumentów urzędowych przygotowanych przez osoby trzecie i posiadającego status administratora – Zakres – Indywidualna odpowiedzialność dziennika urzędowego – Wspólna odpowiedzialność z innymi podmiotami – Przesłanka – Określenie w prawie krajowym celów i sposobów łączących różne operacje przetwarzania oraz odpowiednich obowiązków współadministratorów – Szczegółowe zasady

   (rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 4 pkt 7, art. 5 ust. 1, 2, art. 26 ust. 1)

   (zob. pkt 42–45, 49, 50, 52; pkt 2 sentencji)

Streszczenie

Trybunał, do którego cour d’appel de Bruxelles (sąd apelacyjny w Brukseli, Belgia) zwrócił się z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym, sprecyzował z jednej strony granice pojęcia „administratora”, a z drugiej strony granice obowiązków administratora, gdy operacje przetwarzania danych osobowych są dokonywane przez kolejne podmioty.

W dniu 12 lutego 2019 r.Moniteur belge, który zapewnia w Belgii sporządzanie i rozpowszechnianie szerokiego zakresu publikacji urzędowych i publicznych w formie papierowej i elektronicznej, opublikował wyciąg z uchwały spółki dotyczącej obniżenia jej kapitału. Wyciąg ten, sporządzony przez notariusza wspólnika spółki i przekazany właściwemu sądowi, który z kolei przekazał go do publikacji dyrekcji tego dziennika urzędowego, zawierał dane osobowe tego wspólnika.

Stwierdziwszy, że fragment, w którym znajdowały się dane zainteresowanej osoby, został włączony do wyciągu w następstwie błędu popełnionego przez notariusza, osoba, której dane dotyczyły, wniosła o jego usunięcie na podstawie jej prawa do usunięcia danych ( 1 ). Jej wniosek został jednak oddalony przez federalną służbę publiczną wymiaru sprawiedliwości (zwaną dalej „SPF Justice”), do której należy dyrekcja Moniteur belge. W następstwie tego oddalenia osoba ta złożyła skargę przeciwko SPF Justice do Autorité de protection des données (organu ochrony danych, Belgia, zwanego dalej „OOD”). Decyzją z dnia 23 marca 2021 r. OOD nakazał SPF Justice uwzględnienie wniosku o usunięcie bez zbędnej zwłoki. État belge (państwo belgijskie) wniosło wówczas skargę do cour d’appel de Bruxelles (sądu apelacyjnego w Brukseli), żądając stwierdzenia nieważności decyzji ODO.

W tym kontekście cour d’appel de Bruxelles (sąd apelacyjny w Brukseli) zwrócił się do Trybunału z pytaniem, czy Moniteur belge można uznać za „administratora” ( 2 ) i czy należy uznać, że jest on wyłącznie odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych ( 3 ), czy też odpowiedzialność ta spoczywa również kumulatywnie na podmiotach, które wcześniej przetwarzały dane zawarte w przedmiotowym fragmencie.

Ocena Trybunału

W pierwszej kolejności, w odniesieniu do kwestii, czy jednostkę lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, taki jak Moniteur belge, można uznać za „administratora” w rozumieniu RODO, Trybunał wyjaśnił, że w świetle szerokiej definicji tego pojęcia określenie celów i sposobów przetwarzania oraz, w stosownych przypadkach, wyznaczenie administratora w prawie krajowym może być nie tylko wyraźne, ale również dorozumiane. W tym ostatnim przypadku wymagane jest jednak, aby określenie to wynikało w sposób wystarczająco pewny z roli, misji i uprawnień przyznanych danej jednostce lub danemu podmiotowi.

Trybunał stwierdził, że w niniejszej sprawie prawo belgijskie określiło, przynajmniej w sposób dorozumiany, cele i sposoby przetwarzania danych osobowych przez Moniteur belge. Wynika z tego, że ten ostatni można uznać za „administratora”.

Trybunał podkreślił, że wniosku tego nie podważa ani okoliczność, że Moniteur belge nie posiada osobowości prawnej, ani fakt, że na mocy prawa krajowego nie kontroluje on danych osobowych zawartych w aktach i dokumentach, które otrzymuje, przed ich publikacją.

O ile prawdą jest, że podmiot ten musi opublikować dany dokument w niezmienionej postaci, o tyle tylko on sam wykonuje to zadanie, a następnie rozpowszechnia dany akt lub dokument. Z jednej strony publikacja takich aktów i dokumentów bez możliwości kontroli ani zmiany ich treści jest nierozerwalnie związana z celami i sposobami przetwarzania określonymi w prawie krajowym. Rola tego dziennika urzędowego ogranicza się bowiem do informowania opinii publicznej o istnieniu tych aktów i dokumentów w postaci kopii, w jakiej zostały mu przekazane zgodnie z obowiązującym prawem krajowym, tak aby można było się na nie powoływać wobec osób trzecich. Z drugiej strony sprzeczne z celem art. 4 pkt 7 RODO byłoby wykluczenie z pojęcia „administratora” dziennika urzędowego państwa członkowskiego ze względu na to, że ten ostatni nie sprawuje kontroli nad danymi osobowymi zawartymi w jego publikacjach.

W drugiej kolejności, w odniesieniu do kwestii, czy podmiot taki jak Moniteur belge należy uznać za wyłącznie odpowiedzialny za przestrzeganie przewidzianych w RODO ( 4 ) zasad dotyczących przetwarzania danych osobowych, Trybunał zauważył, że przetwarzanie danych osobowych powierzone Moniteur belge następuje po przetwarzaniu dokonywanym przez notariusza i sekretariat właściwego sądu i pod względem technicznym jest odmienne od przetwarzania dokonywanego przez te dwa podmioty, ponieważ ma względem niego charakter uzupełniający. Czynności dokonywane przez Moniteur belge są bowiem powierzone mu przez ustawodawstwo krajowe i wiążą się w szczególności z cyfrowym przekształceniem danych zawartych w przedkładanych mu aktach lub wyciągach z aktów, ich publikacją, udostępnianiem ich szerokiej publiczności oraz ich przechowywaniem. W związku z tym należy uznać, że jest on odpowiedzialny za przestrzeganie wszystkich obowiązków nałożonych na administratora w RODO.

Ponadto Trybunał przypomniał, że art. 4 pkt 7 RODO przewiduje nie tylko, iż cele i sposoby przetwarzania danych osobowych mogą być ustalane wspólnie przez kilka osób jako administratorów, lecz również, że prawo krajowe może określać te cele i sposoby oraz wyznaczać administratora lub konkretne kryteria jego wyznaczenia. Tak więc w ramach łańcucha przetwarzania dokonywanego przez różne osoby lub podmioty i dotyczącego tych samych danych osobowych prawo krajowe może określać cele i sposoby wszystkich operacji przetwarzania dokonywanych kolejno przez te różne osoby lub podmioty w taki sposób, aby były one wspólnie uznawane za administratorów.

Trybunał podkreślił, że zgodnie z RODO ( 5 ) wspólną odpowiedzialność kilku podmiotów w łańcuchu przetwarzania tych samych danych osobowych można ustanowić w prawie krajowym, o ile różne operacje przetwarzania są powiązane celami i sposobami określonymi w tym prawie, a prawo to określa odpowiednie obowiązki każdego ze współadministratorów. Takie określenie celów i sposobów łączących różne operacje przetwarzania dokonywane przez kilka podmiotów w łańcuchu, jak również ich odpowiednich obowiązków, może być dokonywane nie tylko w sposób bezpośredni, lecz również w sposób pośredni przez prawo krajowe, pod warunkiem że w tym ostatnim przypadku można je wywieść w sposób wystarczająco wyraźny z przepisów prawa odnoszących się do osób lub podmiotów, których dane dotyczą, jak również regulujących przetwarzanie danych osobowych, które prowadzą one w ramach określonego przez to prawo łańcucha przetwarzania.

Trybunał doszedł w ten sposób do wniosku, że jednostka lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, uznane za „administratora”, są wyłącznie odpowiedzialne za przestrzeganie zasad, o których mowa w RODO, w odniesieniu do operacji przetwarzania danych osobowych, do których wykonywania są one zobowiązane na mocy prawa krajowego, chyba że z prawa tego wynika wspólna odpowiedzialność z innymi podmiotami w odniesieniu do tych operacji.

( 1 ) Przewidzianego w art. 17 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

( 2 ) W rozumieniu art. 4 pkt 7 RODO.

( 3 ) Na podstawie art. 5 ust. 2 RODO.

( 4 ) Zasady przewidziane w postaci obowiązków w art. 5 ust. 1 RODO.

( 5 ) Zgodnie z art. 26 ust. 1 w związku z art. 4 pkt 7 RODO.