Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62016CC0013

Opinia rzecznika generalnego M. Bobeka przedstawiona w dniu 26 stycznia 2017 r.
Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde przeciwko Rīgas pašvaldības SIA „Rīgas satiksme”.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Augstākā tiesas Administratīvo lietu departaments.
Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Artykuł 7 lit. f) – Dane osobowe – Zasady legalności przetwarzania danych osobowych – Pojęcie „konieczności dla potrzeb wynikających z uzasadnionych interesów osoby trzeciej” – Wniosek o przekazanie danych osobowych osoby odpowiedzialnej za wypadek drogowy w celu dochodzenia praw przed sądem – Obowiązek uwzględnienia takiego wniosku przez administratora danych – Brak.
Sprawa C-13/16.

Court reports – general

ECLI identifier: ECLI:EU:C:2017:43

OPINIA RZECZNIKA GENERALNEGO

MICHALA BOBEKA

przedstawiona w dniu 26 stycznia 2017 r. ( 1 )

Sprawa C‑13/16

Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde

przeciwko

Rīgas pašvaldības SIA „Rīgas satiksme”

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Augstākā tiesa Administratīvo lietu departaments (sąd najwyższy, izba ds. administracyjnych Łotwa)]

„Odesłanie prejudycjalne — Dane osobowe — Zgodne z prawem przetwarzanie danych — Artykuł 7 lit. f) dyrektywy 95/46/WE — Zakres i przesłanki — Obowiązek czy możliwość przetwarzania danych osobowych — Pojęcie przetwarzania koniecznego dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej”

I. Wprowadzenie

1.

Kierowca taksówki zatrzymał swój pojazd na poboczu jezdni w Rydze. W chwili gdy trolejbus należący do Rīgas satiksme (zwanej dalej „drugą stroną postępowania”) przejeżdżał obok taksówki, pasażer taksówki nagle otworzył drzwi. Doszło do kolizji, w wyniku której uszkodzona została karoseria trolejbusu. Rīgas satiksme zwróciła się do policji (zwanej dalej „stroną wnoszącą odwołanie”) o ujawnienie tożsamości pasażera. Przedsiębiorstwo to zamierzało wytoczyć mu powództwo o odszkodowanie za uszkodzony trolejbus przed sąd cywilny. Policja ujawniła Rīgas satiksme tylko imię i nazwisko pasażera. Odmówiła podania jego numeru dokumentu tożsamości i miejsca zamieszkania.

2.

Na tle powyżej opisanego stanu faktycznego sąd odsyłający zwraca się z pytaniem, czy art. 7 lit. f) dyrektywy 95/46/WE (zwanej dalej „dyrektywą 95/46” lub „dyrektywą”) ( 2 ) nakłada obowiązek ujawnienia wszystkich danych osobowych niezbędnych do wytoczenia powództwa na drodze cywilnej przeciwko osobie, której zarzuca się popełnienie wykroczenia administracyjnego. Następnie sąd odsyłający pyta, czy dla odpowiedzi na to pytanie znaczenie ma okoliczność, że osoba ta była małoletnia.

II. Ramy prawne

A. Prawo Unii

1.  Karta praw podstawowych Unii Europejskiej (zwana dalej „kartą”)

3.

Artykuł 7 karty stanowi: „Każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się”.

4.

4. Na mocy art. 8:

„1.   Każdy ma prawo do ochrony danych osobowych, które go dotyczą.

2.   Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania.

3.   Przestrzeganie tych zasad podlega kontroli niezależnego organu”.

2.  Traktat o funkcjonowaniu Unii Europejskiej

5.

Artykuł 16 ust. 1 TFUE stanowi, że „[k]ażda osoba ma prawo do ochrony danych osobowych jej dotyczących”.

3.  Dyrektywa 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych

6.

Artykuł 2 zawiera szereg definicji do celów dyrektywy:

„a)

»dane osobowe« oznacza[ją] wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;

b)

»przetwarzanie danych osobowych« (»przetwarzanie«) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;

[…]

f)

»osoba trzecia« oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ niebędący osobą, której dane dotyczą, ani administratorem danych, ani przetwarzającym lub jedną z osób, które pod bezpośrednim zwierzchnictwem administratora danych lub przetwarzającego upoważnione są do przetwarzania danych;

[…]”.

7.

Artykuł 5 znajduje się w rozdziale II, zatytułowanym „Ogólne zasady legalności przetwarzania danych osobowych” i stanowi, że „[p]aństwa członkowskie określą, w granicach przepisów zawartych w niniejszym rozdziale, bardziej szczegółowe warunki ustalania legalności przetwarzania danych osobowych”.

8.

Artykuł 6 ust. 1 ma następujące brzmienie: „[P]aństwa członkowskie zapewniają, aby dane osobowe były:

„[…]

c)

prawidłowe, stosowne oraz nienadmierne w stosunku do celów, dla których są gromadzone lub przetwarzane dalej;

[…]”.

9.

Artykuł 7 stanowi, że „państwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas, gdy:

a)

osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę; lub

b)

przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy; lub

c)

przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu administrator danych podlega; lub

d)

przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osób, których dane dotyczą; lub

e)

przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane; lub

f)

przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom [osób trzecich], którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1.

10.

Artykuł 8 zabrania co do zasady przetwarzania szczególnych kategorii danych, takich jak dane osobowe ujawniające pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne. Wprowadza on jednak pewne wyjątki.

11.

W szczególności zakaz nie ma zastosowania, zgodnie z art. 8 ust. 2 lit. e), w przypadku gdy „przetwarzanie […] jest konieczne do ustalenia, wykonania lub ochrony roszczeń prawnych”.

12.

Artykuł 8 ust. 5 stanowi:

„[…] państwa członkowskie mogą ustanowić przepisy zobowiązujące oficjalny organ do sprawowania kontroli nad przetwarzaniem danych dotyczących sankcji administracyjnych lub orzeczeń w sprawach cywilnych”.

13.

Zgodnie z art. 8 ust. 7 „państwa członkowskie określą warunki, w których może następować przetwarzanie krajowego numeru identyfikacyjnego lub innego identyfikatora ogólnego stosowania”.

14.

Na podstawie art. 14 „państwa członkowskie przyznają osobie, której dane dotyczą, prawo:

a)

przynajmniej w przypadkach wymienionych w art. 7 lit. e) i f), w dowolnym czasie z ważnych i uzasadnionych przyczyn wynikających z jego konkretnej sytuacji, sprzeciwu co do przetwarzania dotyczących jej danych, z zastrzeżeniem odmiennych postanowień ustawodawstwa krajowego. W przypadku uzasadnionego sprzeciwu przetwarzanie danych przez administratora danych nie może już obejmować tych danych;

[…]”.

15.

Dyrektywa 95/46 została obecnie uchylona rozporządzeniem (UE) 2016/679 ( 3 ). Weszło ono w życie dnia 24 maja 2016 r. Jednakże nowe rozporządzenie będzie stosowane dopiero od dnia 25 maja 2018 r.

B. Prawo krajowe

16.

Artykuł 7 Fizisko personu datu aizsardzības likums (ustawy o ochronie danych osobowych) jest sformułowany podobnie do art. 7 dyrektywy 95/46. Stanowi on, że przetwarzanie danych osobowych jest dozwolone jedynie wtedy, gdy spełniony jest co najmniej jeden z następujących wymogów, chyba że przepisy tejże ustawy stanowią inaczej:

1)

osoba, której dane dotyczą, wyraziła na to zgodę,

2)

przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy;

3)

przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu administrator danych podlega;

4)

przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osób, których dane dotyczą, w tym ich życie i zdrowie;

5)

przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane;

6)

przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osób, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą.

III. Postępowanie główne i pytanie prejudycjalne

17.

W grudniu 2012 r. doszło w Rydze do kolizji. Kierowca taksówki zatrzymał swój pojazd na poboczu jezdni. W chwili gdy trolejbus należący do Rīgas satiksme przejeżdżał obok taksówki, pasażer taksówki otworzył drzwi, które otarły i uszkodziły karoserię trolejbusu. Kolizja ta spowodowała wszczęcie postępowania w sprawie o wykroczenie administracyjne. Sporządzony został protokół stwierdzający, że zostało popełnione wykroczenie administracyjne.

18.

Początkowo, wychodząc z założenia, że to kierowcę taksówki należy uznać za odpowiedzialnego za wspomnianą kolizję, Rīgas satiksme zażądało odszkodowania od towarzystwa ubezpieczeniowego, w którym wykupiono ubezpieczenie od odpowiedzialności cywilnej właściciela taksówki. Jednakże wspomniane towarzystwo ubezpieczeniowe powiadomiło, że nie wypłaci żadnego odszkodowania z uwagi na to, iż do kolizji doszło z winy pasażera, a nie kierowcy taksówki, i że Rīgas satiksme może dochodzić roszczeń przeciwko wspomnianemu pasażerowi na drodze cywilnej.

19.

Rīgas satiksme zwróciło się do Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (biura do spraw wykroczeń administracyjnych w ruchu drogowym policji ds. bezpieczeństwa regionu Ryga, zwanego dalej „policją”). Poprosiło o udzielenie informacji na temat osoby, która została ukarana na drodze administracyjnej za spowodowanie kolizji. Konkretnie zwróciło się o podanie imienia, nazwiska, numeru dokumentu tożsamości i miejsca zamieszkania pasażera taksówki oraz o przekazanie kopii dokumentów zawierających wyjaśnienia udzielone przez kierowcę taksówki i pasażera co do okoliczności kolizji. Rīgas satiksme wskazało policji, że informacje, o których udzielenie wniosło, zostaną użyte wyłącznie w celu wytoczenia powództwa cywilnego.

20.

Policja jedynie w części uwzględniła wniosek Rīgas satiksme. Podała jedynie imię i nazwisko pasażera taksówki. Odmówiła podania numeru dokumentu tożsamości i miejsca zamieszkania wymienionej osoby. Nie przekazano również Rīgas satiksme wyjaśnień udzielonych przez osoby uczestniczące w kolizji.

21.

W wydanej decyzji policja stwierdziła, że dokumenty zawarte w aktach sprawy postępowań w sprawach o wykroczenie mogą być przekazywane wyłącznie stronom tych postępowań. Rīgas satiksme nie jest taką stroną. Ponadto Datu valsts inspekcija (łotewski urząd ochrony danych) zakazuje przekazywania informacji o danych dotyczących numeru dokumentu tożsamości i miejsca zamieszkania osób fizycznych.

22.

Zgodnie z art. 261 Latvijas Administratīvo pārkāpumu kodekss (łotewskiego kodeksu wykroczeń administracyjnych) w postępowaniach w sprawach o wykroczenia zainteresowany na swój wyraźny wniosek może zostać uznany za pokrzywdzonego. Rīgas satiksme nie skorzystało z prawa do ubiegania się o przyznanie statusu pokrzywdzonego we wspomnianym postępowaniu.

23.

Rīgas satiksme zaskarżyło na drodze administracyjnej decyzję policji w zakresie, w jakim odmówiono w niej ujawnienia numeru dokumentu tożsamości i miejsca zamieszkania pasażera taksówki.

24.

Wyrokiem z dnia 16 maja 2014 r. Administratīvā rajona tiesa (rejonowy sąd administracyjny, Łotwa) uwzględnił skargę Rīgas satiksme. Nakazał policji, by podała informację wskazaną we wniosku w odniesieniu do numeru dokumentu tożsamości i miejsca zamieszkania pasażera taksówki.

25.

Policja zaskarżyła ten wyrok do Augstākā tiesa (sądu najwyższego, Łotwa), który jest sądem odsyłającym w niniejszej sprawie. Sąd odsyłający w pierwszym rzędzie zwrócił się o wydanie opinii do łotewskiego urzędu ochrony danych. Organ ten wskazał, że w tym konkretnym przypadku przekazanie danych nie może nastąpić na podstawie art. 7 pkt 6 łotewskiej ustawy o ochronie danych osobowych z uwagi na to, że łotewski kodeks wykroczeń administracyjnych określa osoby prawne lub fizyczne, którym policja może przekazywać informacje dotyczące danej sprawy. I tak przekazanie danych osobowych dotyczących postępowania w sprawie o wykroczenie może nastąpić wyłącznie zgodnie z art. 7 pkt 3 i 5 wspomnianej ustawy. Ponadto art. 7 owej ustawy nie zobowiązuje administratora danych (w tym przypadku policji) do przetwarzania danych, lecz jedynie zezwala na to.

26.

Łotewski urząd ochrony danych wskazał ponadto, że Rīgas satiksme dysponuje alternatywnymi sposobami zdobycia informacji: może skierować uzasadniony wniosek o udostępnienie danych z Iedzīvotāju reģistrs (systemu ewidencji ludności), lub też na podstawie art. 98, 99100 Civilprocesa likums (łotewskiego kodeksu postępowania cywilnego) wnieść do sądów wniosek w sprawie przedstawienia dowodów. Właściwy sąd może następnie nakazać policji ujawnienie danych osobowych potrzebnych Rīgas satiksme do wytoczenia powództwa cywilnego przeciwko danej osobie.

27.

Sąd odsyłający ma wątpliwości co do wspomnianego alternatywnego sposobu uzyskania danych osobowych, wskazanego przez łotewski urząd ochrony danych. W przypadku zwrócenia się o udostępnienie danych z systemu ewidencji ludności na podstawie wyłącznie imienia i nazwiska pasażera taksówki jest możliwe, że takie imię i nazwisko noszą różne osoby. Właściwą osobę można zatem zindywidualizować wyłącznie za pomocą dodatkowych danych, takich jak te, o które zwrócono się w niniejszej sprawie (czyli numeru dokumentu tożsamości i adresu). Ponadto łotewski urząd ochrony danych przytoczył przepisy krajowego kodeksu postępowania cywilnego dotyczące przedstawienia dowodów. Zgodnie z art. 128 kodeksu postępowania cywilnego w razie złożenia wniosku należy wskazać imię, nazwisko i numer dokumentu tożsamości (jeśli jest znany) pozwanego, jak również jego miejsce zamieszkania oraz dodatkowy adres wskazany w systemie ewidencji ludności lub w braku powyższych adres do doręczeń pozwanego. Zatem powód powinien znać przynajmniej miejsce zamieszkania pozwanego.

28.

Zdaniem sądu odsyłającego alternatywne sposoby uzyskania niezbędnych danych osobowych są zatem niejasne lub nieskuteczne. W rezultacie dla celów ochrony uzasadnionych interesów Rīgas satiksme konieczne może być uzyskanie żądanych danych osobowych od policji.

29.

Sąd odsyłający ma także wątpliwości co do wykładni pojęcia „konieczności” zawartego w art. 7 lit. f) dyrektywy 95/46 i uważa, że wspomniana wykładnia jest niezbędna dla rozstrzygnięcia rozpatrywanego sporu.

30.

Augstākās tiesas (Administratīvo lietu departaments) [sąd najwyższy (izba ds. administracyjnych) Łotwa] postanowił zatem zawiesić postępowanie i zwrócić się do Trybunału Sprawiedliwości z następującym pytaniem prejudycjalnym:

„Czy sformułowanie »przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów […] osoby trzeciej, lub osobom[osób trzecich], którym dane są ujawniane«, ujęty w art. 7 lit. f) dyrektywy 95/46 należy interpretować w ten sposób, że policja państwowa ma obowiązek ujawnić Rīgas satiksme żądane przez to przedsiębiorstwo dane osobowe, które są konieczne do wytoczenia powództwa na drodze cywilnej? Czy na odpowiedź na to pytanie ma wpływ okoliczność, że – jak wynika z akt sprawy – pasażer taksówki, którego dane stara się uzyskać Rīgas satiksme, był małoletni w chwili kolizji?”.

31.

Uwagi na piśmie przedstawiły Rīgas satiksme, Komisja oraz rządy czeski, hiszpański, łotewski, austriacki i portugalski. Komisja i rząd łotewski przedstawiły swoje stanowiska podczas rozprawy, która została przeprowadzona w dniu 24 listopada 2016 r.

IV. Ocena

32.

Sąd odsyłający w istocie zwraca się z pytaniem, czy w świetle przepisów dyrektywy 95/46 administrator danych ma obowiązek ujawnienia danych umożliwiających identyfikację osoby uważanej za sprawcę wykroczenia administracyjnego w celu umożliwienia Rīgas satiksme wytoczenia powództwa na drodze cywilnej.

33.

Moja zwięzła odpowiedź na to konkretne pytanie sądu odsyłającego brzmi „nie”. Sama dyrektywa 95/46 nie ustanawia takiego obowiązku. Zapewnia ona jedynie taką możliwość (dozwala lub zezwala), w sytuacji gdy zaistnieją określone elementy. Możliwość wykonania określonej czynności na mocy prawa stanowi kategorię odmienną od obowiązku jej wykonania.

34.

Jednakże, biorąc pod uwagę okoliczności faktyczne postępowania, nie można poprzestać na tym stwierdzeniu. Przynajmniej w części, to znaczy w odniesieniu do informacji, które zostały rzeczywiście udzielone, do Trybunału zwrócono się również o określenie przesłanek stosowania art. 7 lit. f) dyrektywy 95/46 oraz charakteru i zakresu danych osobowych, jakie wnioskodawca może otrzymać w myśl tego przepisu.

35.

Niniejsza opinia posiada zatem następującą strukturę: po pierwsze, uzasadnię, dlaczego moim zdaniem z dyrektywy 95/46 nie wynika obowiązek ujawnienia informacji przez podmiot, który jest w ich posiadaniu (część A). Po drugie, w celu umożliwienia sądowi odsyłającemu udzielenia pełnej i użytecznej odpowiedzi w niniejszej sprawie przedstawię przesłanki stosowania art. 7 lit. f) dyrektywy oraz zakres danych osobowych, które mogą zostać ujawnione przy spełnieniu tych przesłanek (część B).

A. Obowiązek ujawnienia

36.

Sąd odsyłający zwraca się z pytaniem, czy dane osobowe muszą zostać ujawnione do celów wszczęcia postępowania przed sądem cywilnym na mocy art. 7 lit. f) dyrektywy 95/46. Innymi słowy, sąd odsyłający pyta, czy sama dyrektywa nakłada obowiązek ujawnienia takich danych osobowych.

37.

Moim zdaniem z dyrektywy 95/46 nie można wyprowadzić takiego obowiązku. Wynika to jednoznacznie z jej brzmienia i z ustanowionego przez nią systemu, a także z jej celu.

38.

Rozpoczynając od ustanowionego na mocy dyrektywy 95/46 systemu i logiki tego aktu, zgodnie z domyślną zasadą leżącą u jego podstaw dane osobowe co do zasady nie powinny być przetwarzane, co ma na celu zapewnienie wysokiego poziomu prawa do ochrony prywatności ( 4 ). Przetwarzanie danych osobowych powinno co do zasady pozostać wyjątkiem.

39.

Artykuł 7 został umieszczony w tym systemie. Wymienia on listę wyjątków od domyślnej zasady, na mocy których przetwarzanie jest zasadne jedynie wtedy, gdy są spełnione pewne ściśle określone przesłanki. Zatem kategorie określone w art. 7 stanowią wyjątki od ogólnej zasady.

40.

Na tle powyższego brzmienie art. 7 dyrektywy 95/46 wyraźnie potwierdza, że wymienione kategorie należy traktować jedynie jako możliwość czy ewentualność – w przeciwieństwie do obowiązku – przetwarzania danych osobowych wtedy, gdy sytuacja faktyczna mieści się w którymś z wyjątków określonych prawem. Zgodnie z tym przepisem „państwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas, gdy […]” ( 5 ). Sformułowanie takie, które zostało użyte również w innych wersjach językowych ( 6 ), jasno wskazuje, że wyjątki określone w art. 7 są w istocie wyjątkami. Nie można interpretować ich jako obowiązku przetwarzania danych osobowych.

41.

Okoliczność, że przynajmniej część spośród wyjątków zawartych w art. 7 ma bezpośrednią skuteczność ( 7 ), pozostaje bez wpływu na wcześniejszy wniosek. Same w sobie nie tworzą one prawa do uzyskania informacji przez wnioskodawców ani też nie prowadzą do powstania wynikającego z niego obowiązku ujawnienia tych informacji po stronie podmiotów, które są w ich posiadaniu. Artykuł 7 ustanawia jedynie ogólne zasady umożliwiające podmiotowi przetwarzającemu dane stwierdzenie, kiedy, czy, jak i w jakim zakresie może on przetwarzać dane, które uzyskał.

42.

Wreszcie ogólnym celem dyrektywy 95/46 jest zapewnienie wspólnych unijnych limitów czy ograniczeń dla przetwarzania danych osobowych. Konkretne i indywidualne podstawy przetworzenia oraz uzasadnienie dla takiego przetworzenia będą zatem zazwyczaj znajdowały się w prawie krajowym lub w innych instrumentach prawnych Unii. Innymi słowy, dyrektywa ustanawia ograniczenie, a nie asumpt do przetwarzania danych.

43.

Zatem zarówno brzmienie, jak i ustanowione na podstawie dyrektywy 95/46 system, logika i cel dyrektywy wskazują dostatecznie jasno, że art. 7 lit. f) dyrektywy nie może być rozumiany jako ustanawiający sam w sobie obowiązek ujawnienia danych osobowych.

44.

W szerszym systemowym uzupełniającym komentarzu można także dodać, że tego rodzaju struktura jest powszechna w innych obszarach prawa Unii, w których instrumenty prawa wtórnego wiążą się bezpośrednio lub pośrednio z przetwarzaniem danych osobowych.

45.

Na przykład dyrektywa (WE) 2002/58 o prywatności i łączności elektronicznej ( 8 ), uzupełniająca dyrektywę 95/46 w odniesieniu do sektora łączności elektronicznej, także nie zawiera obowiązku ujawnienia danych. Trybunał w wyroku Promusicae wyjaśnił, że ta pierwsza dyrektywa 2002/58 nie wyklucza ustanowienia przez państwa członkowskie obowiązku ujawnienia danych osobowych w ramach postępowania cywilnego ani nie zobowiązuje państw członkowskich do ustanowienia takiego obowiązku ( 9 ). Decyzja w tym zakresie należy zatem do państw członkowskich. Nie wynika ona natomiast w sposób bezwzględny z prawa Unii.

46.

Podobnie Trybunał stwierdził, że inne dyrektywy ( 10 ), które poruszają kwestię danych osobowych, lecz ich głównym celem jest zapewnienie skutecznej ochrony własności intelektualnej w społeczeństwie informacyjnym ( 11 ), również nie zobowiązują państw członkowskich do ustanowienia obowiązku przekazania danych osobowych w celu zapewnienia skutecznej ochrony praw autorskich w ramach postępowania cywilnego ( 12 ).

B. Możliwość ujawnienia

47.

Jak stwierdził sąd odsyłający, druga strona postępowania otrzymała rzeczywiście pewne dane osobowe: imię i nazwisko osoby, o której mowa. W pozostałym zakresie wniosek oddalono. Musiało to najprawdopodobniej nastąpić na podstawie prawa krajowego.

48.

Wobec powyższego, i w odniesieniu do danych osobowych rzeczywiście ujawnionych, istotne jest, czy ujawnienie to było zgodne z art. 7 dyrektywy 95/46.

49.

Należy jednak wyraźnie podkreślić, że poniższa część niniejszej opinii odnosi się do możliwości ujawnienia danych osobowych w stanie faktycznym takim jak ten będący przedmiotem postępowania głównego, pod warunkiem że prawo krajowe przewiduje podstawę prawną dla takiego ujawnienia. Innymi słowy, jakie ograniczenia nakłada prawo Unii na ujawnianie danych osobowych w takim stanie faktycznym? Jeżeli prawo krajowe przewidywałoby ujawnienie danych osobowych w takiej sytuacji, czy ujawnienie to byłoby zgodne z art. 7 lit. f) dyrektywy 95/46?

50.

Moim zdaniem w sytuacji takiej, jak sytuacja będąca przedmiotem postępowania głównego, przekazanie danych osobowych w zakresie i stopniu umożliwiających poszkodowanemu wszczęcie postępowania cywilnego jest w pełni zgodne z art. 7 lit. f) dyrektywy 95/46.

51.

Zatem w niniejszej części po pierwsze dokonuję analizy właściwej podstawy prawnej dla przetwarzania danych osobowych zgodnie z dyrektywą 95/46 w podobnym stanie faktycznym. Po drugie, przedstawiam przesłanki stosowania art. 7 lit. f) dyrektywy. Po trzecie, dokonuję oceny niniejszej sprawy w świetle tych przesłanek.

1. Właściwa podstawa prawna zgodnie z art. 7 lit. f) dyrektywy 95/46

52.

Wstępne zagadnienie, omawiane zarówno w uwagach przedstawionych na piśmie, jak i w stanowiskach ustnych, odnosi się do tego, która litera art. 7 dyrektywy 95/46 powinna być stosowana w stanie faktycznym takim jak w sprawie rozpatrywanej w postępowaniu głównym.

53.

Większość stron i interwenientów wskazuje na art. 7 lit. f), na który powołał się sąd odsyłający. Jednakże rząd austriacki w uwagach na piśmie twierdzi, że art. 7 lit. f) dyrektywy 95/46 nie stanowi właściwej podstawy prawnej, nawet dla celów późniejszego postępowania cywilnego. Ma tak być dlatego, że zawarta w nim podstawa dla przetwarzania danych osobowych jest rzekomo zbyt abstrakcyjna i nieprecyzyjna. Zatem art. 7 lit. f) dyrektywy nie może uzasadniać ingerencji w prawo do ochrony danych osobowych.

54.

Komisja w uwagach na piśmie skupiła się na art. 7 lit. f). Jednakże w stanowisku ustnym wskazała także, że przetwarzanie danych osobowych takie jak w postępowaniu głównym może także podlegać art. 7 lit. c) lub art. 7 lit. e) dyrektywy 95/46.

55.

Artykuł 7 dyrektywy 95/46 wymienia różne podstawy prawne dla zgodnego z prawem przetwarzania danych i wyróżnia w tym celu sześć możliwych scenariuszy. Aby dane te mogły być przetwarzane, muszą one należeć do przynajmniej jednej z kategorii wymienionych w art. 7. Jednakże jasne jest, że zakres tych przepisów i uzasadnienie dla nich są różne.

56.

W szerszym, abstrakcyjnym rozumieniu, art. 7 zawiera trzy rodzaje wyjątków, na podstawie których przetwarzanie danych osobowych jest zgodne z prawem: po pierwsze, gdy osoba, której dane dotyczą, wyraziła na to zgodę [art. 7 lit. a)], po drugie, gdy można w jakimś stopniu przyjąć istnienie uzasadnionych interesów administratora danych lub osób trzecich [art. 7 lit. b)– e)] i po trzecie, gdy nie tylko trzeba ustalić istnienie konkurencyjnych uzasadnionych interesów, lecz także muszą one przeważać nad prawami i wolnościami osoby, której dane dotyczą [art. 7 lit. f)].

57.

Zatem trzeba przyznać, że zakres art. 7 lit. f) jest szerszy niż zakres art. 7 lit. c) lub art. 7 lit. e). Pierwszy z wymienionych przepisów nie jest związany z żadnym szczególnym stanem prawnym lub faktycznym, lecz został wyrażony w sposób dość ogólny. Jednakże jego stosowanie jest bardziej rygorystyczne ze względu na to, że uzależnione jest ono od faktycznego istnienia uzasadnionych interesów administratora danych lub osoby trzeciej, które przeważają nad interesami osoby, której dane dotyczą, czego nie wymaga art. 7 lit. c) ani art. 7 lit. e).

58.

Abstrahując jednak od akademickiej dyskusji, warto zwrócić uwagę na dwie kwestie. Po pierwsze, wyjątki zawarte w art. 7 nie wykluczają się wzajemnie. W jednym stanie faktycznym mogą więc zostać zastosowane dwa spośród nich lub nawet wszystkie trzy ( 13 ). Po drugie, pomimo nieco innego sformułowania praktyczna różnica w ich stosowaniu jest raczej niewielka, przy założeniu, że istnieje jasno określony i wiarygodny uzasadniony interes.

59.

Mając na uwadze powyższe zastrzeżenia, zdając się jednak na stanowisko sądu krajowego – który ma pełną wiedzę dotyczącą okoliczności faktycznych sprawy i prawa krajowego, wynikającą z przedłożonego pytania i który wskazuje na art. 7 lit. f) jako na mający zastosowanie wyjątek – jestem zdania, że Trybunał powinien rozpoznać sprawę w oparciu o tę podstawę.

2. Przesłanki i zakres art. 7 lit. f) dyrektywy 95/46

60.

Artykuł 7 lit. f) zawiera dwie kumulatywne przesłanki. Aby przetwarzanie danych osobowych było zgodne z prawem, obie muszą zostać spełnione: po pierwsze wymóg, by przetwarzanie było konieczne dla realizacji potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osób trzecich, którym dane są ujawniane, a po drugie, wymóg, by pierwszeństwa nie znajdowały podstawowe prawa i wolności osoby, której dane dotyczą ( 14 ).

61.

Druga z przesłanek ma na celu wyważenie wchodzących w grę interesów. W pierwszej przesłance można wyróżnić dla celów poglądowych dwa elementy: z jednej strony same uzasadnione interesy, z drugiej – konieczny charakter przetwarzania danych, a więc rodzaj proporcjonalności.

62.

Zatem dla celów art. 7 lit. f) muszą być obecne trzy elementy: istnienie uzasadnionego interesu usprawiedliwiającego przetwarzanie (a), prymat tego interesu nad prawami i interesami osoby, której dane dotyczą (wyważenie interesów) (b), i konieczność przetwarzania danych dla realizacji uzasadnionych interesów (c).

(a) Uzasadnione interesy

63.

Po pierwsze, przetwarzanie danych na podstawie art. 7 lit. f) dyrektywy 95/46 jest uzależnione od istnienia uzasadnionych interesów administratora danych lub osoby trzeciej.

64.

Dyrektywa 95/46 nie definiuje uzasadnionych interesów ( 15 ). Zatem to administrator danych lub podmiot, który je przetwarza, musi stwierdzić – pod kontrolą sądów krajowych – czy istnieje uzasadniony cel, który może usprawiedliwić ingerencję w życie prywatne.

65.

Trybunał stwierdzał już, że przejrzystość ( 16 ) czy ochrona własności, zdrowia i życia rodzinnego ( 17 ) stanowią uzasadnione interesy. Pojęcie uzasadnionych interesów jest na tyle pojemne, że może także obejmować inne względy. Moim zdaniem nie ulega wątpliwości, że interes osoby trzeciej w uzyskaniu danych osobowych osoby, która spowodowała uszkodzenie jej własności, w celu pozwania tej osoby o odszkodowanie, można uznać za uzasadniony interes.

(b) Wyważenie interesów

66.

Druga przesłanka jest związana z wyważeniem dwóch zbiorów konkurencyjnych interesów, a mianowicie interesów i praw osoby, której dane dotyczą ( 18 ) i interesów administratora lub osób trzecich. Wymóg wyważenia tych interesów wynika w sposób jasny zarówno z art. 7 lit. f), jak i z prac przygotowawczych nad dyrektywą 95/46. Jeśli chodzi o treść dyrektywy, art. 7 lit. f) wymaga wyważenia uzasadnionych interesów samej osoby, której dane dotyczą, z uzasadnionymi interesami administratora danych lub osoby trzeciej. Prace przygotowawcze nad dyrektywą potwierdzają, że wyważenie interesów zostało już przewidziane, choć w nieco innej formie, w pierwotnym wniosku Komisji ( 19 ) oraz następnie w zmienionym wniosku po pierwszym czytaniu w Parlamencie Europejskim ( 20 ).

67.

Trybunał stwierdził, że stosowanie art. 7 lit. f) wymaga dokonania wyważenia przeciwstawnych sobie praw i interesów, w ramach którego należy uwzględnić wynikające z art. 7 i 8 karty znaczenie praw osoby, której dotyczą dane ( 21 ). Wyważenia takiego trzeba dokonać w każdej sprawie oddzielnie ( 22 ).

68.

Wyważenie jest kluczem do właściwego stosowania art. 7 lit. f). To właśnie ono wyróżnia art. 7 lit. f) od pozostałych przepisów art. 7. Zależy ono od okoliczności konkretnego przypadku. Dlatego właśnie Trybunał podkreślił, że państwa członkowskie nie mogą określić w stosunku do tych kategorii w sposób ostateczny rezultatu ważenia przeciwstawnych praw i interesów, nie dopuszczając do innego rezultatu będącego wynikiem szczególnych okoliczności konkretnego przypadku ( 23 ).

69.

Aby ważenie takie przeprowadzić w sposób racjonalny, konieczne jest wzięcie pod uwagę w szczególności charakteru i wrażliwości żądanych danych, stopnia ich publicznej dostępności ( 24 ) oraz wagę popełnionego przestępstwa. Jednym z potencjalnych elementów, które powinny zostać wzięte pod uwagę w procesie ważenia interesów, mającym znaczenie w niniejszej sprawie, jest wiek osoby, której dane dotyczą.

(c) Konieczność

70.

W odniesieniu do konieczności czy też podstawowej proporcjonalności Trybunał stwierdził, że co do zasady odstępstwa od ochrony danych osobowych i jej ograniczenia powinny być stosowane jedynie wtedy, gdy jest to absolutnie konieczne ( 25 ). Zatem charakter i ilość danych, które mogą być przetwarzane, nie może wykraczać poza to, co jest konieczne dla celów realizacji uzasadnionych interesów w danym przypadku.

71.

Badanie proporcjonalności stanowi ocenę stosunku pomiędzy celami i wybranymi sposobami ich osiągnięcia. Wybrane sposoby nie mogą wykraczać poza to, co jest niezbędne dla osiągnięcia celu. Rozumowanie to działa jednak także w przeciwnym kierunku: środki muszą pozwalać na osiągnięcie celu.

72.

Ujmując rzecz praktycznie, administrator danych osobowych, który musi dokonać oceny konieczności, ma dwie możliwości. Albo nie udzieli żadnych informacji, albo – jeśli zdecyduje się na przetwarzanie danych, musi podać wszystkie informacje konieczne dla realizacji uzasadnionego interesu w danym przypadku ( 26 ).

73.

Po pierwsze, art. 6 ust. 1 lit. c) i motyw 28 dyrektywy 95/46 wymagają, aby dane osobowe były prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone, a także gdy mają one zostać dalej przetworzone ( 27 ). Z przepisów tych wynika zatem, że ujawnione dane powinny również być prawidłowe i stosowne dla realizacji uzasadnionego interesu.

74.

Po drugie, zdrowy rozsądek wymaga racjonalnego podejścia do kwestii danych, które powinny być przetworzone. Wnioskujący o ujawnienie danych powinni w istocie otrzymać użyteczne i stosowne dane, które są konieczne i wystarczające dla realizacji ich uzasadnionych interesów bez konieczności dalszego wnioskowania do innego podmiotu, który także może być w posiadaniu tych informacji.

75.

Ujmując rzecz metaforycznie, stosowanie kryterium konieczności nie powinno przemieniać realizacji uzasadnionego interesu w kafkowskie poszukiwanie skarbu mocno przypominające odcinek Fort Boyard, w którym uczestnicy odsyłani są z jednego pomieszczenia do drugiego, żeby uzyskać kolejne częściowe wskazówki pozwalające im w końcu zdecydować, dokąd powinni pójść.

76.

Wreszcie należy powtórzyć, że określenie precyzyjnego zakresu danych podlegających ujawnieniu należy do prawa krajowego. Co prawda prawo krajowe może dopuszczać tylko takie ujawnienie częściowe, które samo w sobie nie będzie wystarczające. Taka możliwość rzeczywiście istnieje. Okoliczność, że uregulowanie krajowe ma mały walor praktyczny, nie powoduje jeszcze jego automatycznej niezgodności z prawem Unii, jeśli tylko uregulowanie to mieści się w zakresie swobody regulacyjnej państw członkowskich. W tym miejscu twierdzę jedynie, że art. 7 lit. f) nie sprzeciwia się pełnemu ujawnieniu wszystkich niezbędnych informacji, które są konieczne dla skutecznej realizacji uzasadnionego celu, przy zastrzeżeniu spełnienia pozostałych przesłanek.

3. Zastosowanie w niniejszej sprawie

77.

Przedstawiwszy ogólne ramy analizy, przejdę obecnie do niniejszej sprawy, z zastrzeżeniem, że naturalnie do sądu krajowego, który dysponuje szczegółową wiedzą w zakresie okoliczności faktycznych i prawa krajowego, należy podjęcie ostatecznie decyzji.

78.

Rīgas Satiksme zwróciło się do policji o podanie adresu i numeru dokumentu tożsamości pasażera taksówki w celu wszczęcia postępowania cywilnego o zapłatę odszkodowania za poniesioną szkodę.

79.

Po pierwsze, jak słusznie wskazały rządy czeski, hiszpański i portugalski, dochodzenie roszczenia prawnego, takiego jak w postępowaniu głównym, stanowi uzasadniony interes w rozumieniu art. 7 lit. f).

80.

Znajduje to także potwierdzenie w art. 8 ust. 2 lit. e) dyrektywy 95/46, który umożliwia przetwarzanie pewnych kategorii wrażliwych danych w przypadkach, gdy „jest [to] konieczne do ustalenia, wykonania lub ochrony roszczeń prawnych”. Jeśli wykonanie roszczeń prawnych może usprawiedliwić przetwarzanie danych wrażliwych na podstawie art. 8, nie widzę przeciwwskazań, aby mogło ono tym bardziej stanowić uzasadniony interes uzasadniający przetwarzanie danych niebędących danymi wrażliwymi na podstawie art. 7 lit. f). Taka wykładnia wynika również z pragmatycznego podejścia do dyrektywy w świetle innych instrumentów prawa wtórnego (wspomnianych powyżej), które zmierzają do uzyskania równowagi pomiędzy ochroną prywatności a prawem do skutecznej ochrony sądowej ( 28 ).

81.

Po drugie, w odniesieniu do wyważenia interesów, co do zasady nie widzę powodu, dla którego interesy związane z podstawowymi prawami i wolnościami osoby, której dane dotyczą, powinny przeważać nad konkretnym uzasadnionym celem poszkodowanego w postaci wytoczenia powództwa cywilnego. Warto także prawdopodobnie dodać w tym kontekście, że druga strona postępowania zwraca się właściwie jedynie o umożliwienie jej wytoczenia powództwa przed sądem cywilnym. Zatem samo ujawnienie danych nie spowoduje nawet bezpośrednio żadnej zmiany w sytuacji prawej osoby, której dane dotyczą.

82.

Jednakże, jak słusznie wskazuje rząd portugalski, na tym etapie wyważania interesów w szczególności należy wziąć pod uwagę wiek osoby, której dane dotyczą.

83.

Sąd odsyłający pyta w istocie, w jakim stopniu ma znaczenie okoliczność, że pasażer taksówki był małoletni w chwili kolizji. Moim zdaniem w konkretnym stanie faktycznym niniejszej sprawy okoliczność ta nie ma znaczenia.

84.

Zasadniczo okoliczność, że osoba, której dane dotyczą, jest małoletnia, stanowi czynnik wymagający rzeczywiście uwzględnienia przy wyważaniu interesów. Jednakże szczególne względy związane z małoletnimi i zwiększona ochrona małoletnich powinny pozostawać w wyraźnym związku z rodzajem przetwarzanych w danym przypadku danych. Jeśli nie zostanie jednoznacznie wykazane, w jaki sposób ujawnienie danych w tej konkretnej sprawie miałoby zagrozić na przykład fizycznemu lub umysłowemu rozwojowi dziecka, nie widzę powodu, dla którego okoliczność, że szkodę spowodował małoletni, miałaby skutkować zwolnieniem z odpowiedzialności cywilnej.

85.

Wreszcie, jeśli wyważenie interesów doprowadzi do stwierdzenia, że interesy osoby, której dane dotyczą, nie przeważają nad interesami osoby wnioskującej o ujawnienie danych osobowych, pozostaje jeszcze ostatnia kwestia: konieczność i zakres informacji, które mają zostać ujawnione.

86.

Tutaj także do sądu odsyłającego należy określenie podstawy prawnej dla takiego ujawnienia w prawie krajowym. Kiedy taka podstawa prawna zostanie wskazana, kryterium „konieczności” z art. 7 lit. f) dyrektywy 95/46 moim zdaniem z pewnością nie stoi na przeszkodzie pełnemu ujawnieniu wszystkich informacji niezbędnych dla wytoczenia powództwa przed sądem cywilnym na gruncie prawa łotewskiego.

87.

Rząd łotewski podniósł, że zgodnie z utrwalonym orzecznictwem ochrona prawa podstawowego do prywatności wymaga, aby wszelkie ograniczenia i odstępstwa od ochrony danych osobowych ograniczone były do tego, co jest ściśle konieczne. Chociaż rząd ten zauważa, że dostępne są alternatywne metody uzyskania dalszych danych, to jednak przyznaje, że imię i nazwisko prawdopodobnie nie wystarczą dla dochodzenia roszczenia prawnego, a zatem ocenę pozostawił sądowi krajowemu.

88.

Należy wskazać, że art. 8 ust. 7 dyrektywy 95/46 pozostawia państwom członkowskim swobodę decydowania w zakresie ujawniania numeru identyfikacyjnego. Państwa członkowskie nie mają zatem obowiązku ujawnienia numeru identyfikacyjnego, chyba że jest to absolutnie konieczne dla wytoczenia powództwa cywilnego.

89.

Niezależnie od konkretnego charakteru właściwych danych znaczenie ma posiadanie wszystkich danych, które są niezbędne dla dochodzenia roszczenia prawnego. Zatem, jeśli zgodnie z prawem krajowym adres jest dla tego celu wystarczający, nie należy ujawniać innych informacji.

90.

Do sądu krajowego należy określenie ilości danych osobowych, niezbędnych, aby Rīgas satiksme mogło skutecznie wszcząć postępowanie przed sądem ( 29 ) zgodnie z prawem łotewskim. Pragnę jedynie podkreślić, że jak wskazałem już powyżej w pkt 74–75 niniejszej opinii, istnienie alternatywnych sposobów uzyskania niezbędnych danych osobowych nie ma znaczenia dla stosowania art. 7 lit. f). Rīgas satiksme powinno mieć możliwość uzyskania wszystkich niezbędnych informacji od administratora danych, do którego się zwróciło.

C. Uwagi końcowe dotyczące ochrony danych osobowych

91.

Niniejsza sprawa jest w pewnym sensie szczególna. Sąd odsyłający w istocie dąży do ustalenia, czy wyjątek pozwalający na przetwarzanie danych osobowych można rozumieć jako obowiązek po stronie administratora do ujawnienia danych osobowych osoby, która spowodowała kolizję. Wydaje się, że prawdziwą przyczyną, dla której postawiono to pytanie, są wprowadzone w imię ochrony danych osobowych na poziomie krajowym utrudnienia w uzyskaniu tych danych, czy wręcz całkowita niemożność ich uzyskania.

92.

Patrząc na przebieg zdarzeń w niniejszej sprawie, obserwator mógłby zadać sobie proste pytanie: czy sprawa indywidualnego wniosku o ujawnienie tożsamości osoby, która spowodowała uszkodzenie mienia wnioskodawcy i której ów wnioskodawca zamierza wytoczyć powództwo przed sądem cywilnym rzeczywiście powinna być przypadkiem, w którym policjanci są zobowiązani przeprowadzić kilkustopniowe badanie wiążące się z wyważaniem interesów i proporcjonalności, po którym następuje przewlekłe postępowanie oraz konieczność wydania opinii przez krajowy organ ochrony danych?

93.

Niniejsza sprawa jest kolejną ( 30 ), w której prawo ochrony danych osobowych sięga dość zaskakujących okoliczności i jest na ich potrzeby używane. Sytuacja ta, nie tylko w przypadku niezorientowanego obserwatora, wywołuje pewien intelektualny dyskomfort, co do racjonalnego korzystania z zasad ochrony danych osobowych oraz co do funkcji, jakie owe zasady pełnią. Skorzystam zatem z okazji poczynienia pewnych końcowych uwag w tej kwestii.

94.

Nie ma wątpliwości co do tego, że ochrona danych osobowych ma pierwszoplanowe znaczenie w erze cyfrowej. Trybunał jest w czołówce, jeśli chodzi o rozwój orzecznictwa w tym obszarze ( 31 ) i dobrze, że tak jest.

95.

Jednakże cytowane orzecznictwo niewątpliwe odzwierciedla główną troskę związaną z ochroną danych osobowych, która była przyczyną ustanowienia owej ochrony i z powodu której ochrona ta musi być usilnie podtrzymywana: dużą skalę przetwarzania danych osobowych przy użyciu mechanicznych, cyfrowych środków pod wszelkimi postaciami, takimi jak gromadzenie, administracja i wykorzystanie dużych zestawów danych, przekazywanie tych zbiorów dla celów niezgodnych z prawem, gromadzenie i pozyskiwanie metadanych i tak dalej.

96.

Tak jak w każdym innym obszarze prawa zasady regulujące daną działalność muszą być na tyle elastyczne, aby objąć wszystkie ewentualne przyszłe sytuacje. Może to jednak prowadzić do niebezpieczeństwa zbyt szerokiej interpretacji tych zasad i zbyt szerokiego ich stosowania. Mogłyby one wtedy być stosowane także w sytuacji, której związek z ich pierwotnym celem jest dość niepewny i wątpliwy. Wreszcie zbyt szerokie stosowanie i pewien „absolutyzm” je charakteryzujący mogą doprowadzić nawet do dyskredytacji pierwotnej koncepcji, która sama w sobie była bardzo istotna i uzasadniona.

97.

Mówiąc ogólnie, w wyroku Promusicae Trybunał szczególnie podkreślił potrzebę stosowania takiej wykładni dyrektyw dotyczących danych osobowych, która pozwoli na zapewnienie odpowiedniej równowagi między poszczególnymi prawami podstawowymi chronionymi przez porządek prawny Unii ( 32 ).

98.

Do powyższego można dodać zasadę racjonalności, którą należy stosować na etapie wyważania interesów. Oznaczałaby ona wzgląd na pierwotną i pierwszorzędną (z pewnością nie wyłączną, lecz właśnie pierwszorzędną) przyczynę przyjęcia przepisów podlegających wykładni: unormowanie operacji przetwarzania danych osobowych na dużą skalę przy użyciu mechanicznych, zautomatyzowanych środków oraz wykorzystywanie i przekazywanie informacji w ten sposób uzyskanych. Natomiast moim skromnym zdaniem znacznie mniejsze są wymogi ochrony danych w odniesieniu do sytuacji, gdy wnioskodawca domaga się informacji indywidualnej, dotyczącej określonej osoby pozostającej w skonkretyzowanej relacji, kiedy istnieje jasny i całkowicie uzasadniony cel wynikający z normalnego funkcjonowania przepisów prawnych.

99.

Podsumowując, zdrowy rozsądek nie jest źródłem prawa. Jednak z pewnością powinien on przyświecać jego wykładni. Byłoby bardzo niekorzystne, gdyby ochrona danych osobowych została zredukowana do przeszkody w postaci danych osobowych.

V. Wnioski

100.

W świetle powyższych rozważań proponuję Trybunałowi, by na pytania przedstawione przez Augstākā tiesa, Administratīvo lietu departaments (sąd najwyższy, izba ds. administracyjnych, Łotwa) odpowiedział następująco:

Artykułu 7 lit. f) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych nie należy interpretować w ten sposób, że ustanawia on obowiązek po stronie administratora danych osobowych ujawnienia danych żądanych przez osobę trzecią w celu wytoczenia powództwa cywilnego.

Artykuł 7 lit. f) dyrektywy nie sprzeciwia się jednak takiemu ujawnieniu, pod warunkiem że prawo krajowe przewiduje ujawnienie danych osobowych w sytuacjach takich jak sytuacja rozpatrywana w postępowaniu głównym. Okoliczność, że osoba, której dane dotyczą, była małoletnia w chwili kolizji, nie ma w tym względzie znaczenia.


( 1 ) Język oryginału: angielski.

( 2 ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31 – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355).

( 3 ) Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1).

( 4 ) Zobacz np. wyroki: z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, pkt 25); z dnia 13 maja 2014 r., Google Spain i Google (C‑131/12, EU:C:2014:317, pkt 66).

( 5 ) Wyróżnienie moje.

( 6 ) Na przykład w wersji francuskiej: „[…] le traitement de données à caractère personnel ne peut être effectué que si […]”, niemieckiej: „[…] die Verarbeitung personenbezogener Daten lediglich erfolgen darf […]”, włoskiej: „[…] il trattamento dei dati personali può essere effettuato soltanto quando […]”, hiszpańskiej: „[…] el tratamiento de datos personales sólo pueda efectuarse si […]”, czeskiej: „[…] zpracování osobních údajů může být provedeno pouze pokud […]”.

( 7 ) Zobacz w odniesieniu do art. 7 lit. f): wyrok z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, pkt 52), w odniesieniu do art. 7 lit. c) i art. 7 lit. e): wyrok z dnia 20 maja 2003 r., Österreichischer Rundfunk i in. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 99101).

( 8 ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz.U. 2002, L 201, s. 37 – wyd. spec. w jęz. polskim, rozdz. 13, t. 29, s. 514).

( 9 ) Zobacz wyrok z dnia 29 stycznia 2008 r. (C‑275/06, EU:C:2008:54, pkt 5455).

( 10 ) Zobacz dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (Dz.U. 2000, L 178, s. 1 – wyd. spec. w jęz. polskim, rozdz. 13, t. 25, s. 399); dyrektywa 2001/29/WE Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym (Dz.U. 2001, L 167, s. 10 – wyd. spec. w jęz. polskim, rozdz. 17, t. 1, s. 230); dyrektywa 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej (Dz.U. 2004, L 157, s. 45 – wyd. spec. w jęz. polskim, rozdz. 17, t. 2, s. 32).

( 11 ) W szczególności Trybunał położył nacisk na to, że ochrona własności przemysłowej, jaką zapewniają te dyrektywy, nie może mieć wpływu na wymóg ochrony danych osobowych oraz na konieczność pogodzenia wymogów związanych z ochroną poszczególnych praw podstawowych; zob. wyrok z dnia 29 stycznia 2008 r., Promusicae (C‑275/06, EU:C:2008:54, pkt 57, 65).

( 12 ) Zobacz wyrok z dnia 29 stycznia 2008 r., Promusicae (C‑275/06, EU:C:2008:54, pkt 70).

( 13 ) Rozporządzenie 2016/679 jest pod tym względem nawet bardziej jednoznaczne: art. 6 ust. 1, który zastąpił art. 7 dyrektywy, stanowi, że „przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków […]” (wyróżnienie moje).

( 14 ) Zobacz wyrok z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, pkt 38).

( 15 ) Zobacz opinia 06/2014 grupy ds. ochrony danych w przedmiocie „Pojęcia uzadanionych interesów administratora danych w rozumieniu art. 7 dyrektywy 95/46/WE” (844/14/EN WP 217).

( 16 ) Zobacz wyrok z dnia 9 listopada 2010 r., Volker und Markus Schecke i Eifert (C‑92/09 i C‑93/09, EU:C:2010:662, pkt 77).

( 17 ) Wyrok z dnia 11 grudnia 2014 r., Ryneš (C‑212/13, EU:C:2014:2428, pkt 34).

( 18 ) Kilka przepisów dyrektywy ma na celu ochronę osoby, której dane dotyczą, czy to w aspekcie informacji, jakie należy jej przekazać (art. 10 i art. 11), czy też w aspekcie dostępu do własnych danych (art. 12). Artykuł 14 wyraźnie przewiduje prawo osoby, której dane dotyczą, do „przynajmniej w przypadkach wymienionych w art. 7 lit. e) i f), w dowolnym czasie z ważnych i uzasadnionych przyczyn wynikających z jego konkretnej sytuacji, sprzeciwu co do przetwarzania dotyczących jej danych”.

( 19 ) Wniosek Komisji dotyczący dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych COM(90) 314 wersja ostateczna.

( 20 ) Zmieniony wniosek dotyczący dyrektywy Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych COM(92) 422 wersja ostateczna.

( 21 ) Wyroki: z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, pkt 38, 40); z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 74).

( 22 ) Wyrok z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, pkt 40).

( 23 ) Wyroki: z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, pkt 47); z dnia 19 października 2016 r.Breyer (C‑582/14, EU:C:2016:779, pkt 62).

( 24 ) Wyrok z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, pkt 44).

( 25 ) Wyroki z dnia 9 listopada 2010 r.Volker und Markus Schecke i Eifert (C‑92/09 i C‑93/09, EU:C:2010:662, pkt 86); z dnia 11 grudnia 2014 r., Ryneš (C‑212/13, EU:C:2014:2428, pkt 28).

( 26 ) Logicznie rzecz biorąc, te dwie możliwości istnieją również w przypadku przetwarzania danych na każdej innej podstawie określonej w art. 7.

( 27 ) Trybunał stwierdził, że art. 6 ust. 1 lit. c) jest bezpośrednio skuteczny (wyrok z dnia 20 maja 2003 r., Österreichischer Rundfunk i in. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 99101).

( 28 ) Zobacz pkt 46 niniejszej opinii oraz przypisy 10–12.

( 29 ) Wyroki: z dnia 14 września 2000 r., Fisher (C‑369/98, EU:C:2000:443, pkt 38); z dnia 16 grudnia 2008 r., Huber (C‑524/06, EU:C:2008:724, pkt 67).

( 30 ) Jeśli chodzi o nowsze orzecznictwo Trybunału, zob. np. wyrok z dnia 11 grudnia 2014 r., Ryneš (C‑212/13, EU:C:2014:2428). Zobacz także postanowienie z dnia 11 stycznia 2017 r.Boudjellal (C‑508/16, EU:C:2017:6), chociaż jej głównym przedmiotem są inne przepisy prawa Unii.

( 31 ) Zobacz w szczególności wyroki: z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in. (C‑293/12 i C‑594/12, EU:C:2014:238); z dnia 13 maja 2014 r., Google Spain i Google (C‑131/12, EU:C:2014:317); z dnia 6 października 2015 r., Schrems (C‑362/14, EU:C:2015:650).

( 32 ) Wyrok z dnia 29 stycznia 2008 r., Promusicae (C‑275/06, EU:C:2008:54, pkt 68).

Top