—

w imieniu Rīgas pašvaldības SIA „Rīgas satiksme” przez L. Bemhensa, działającego w charakterze pełnomocnika,

—

w imieniu rządu łotewskiego przez I. Kalniņša oraz przez A. Bogdanovą, działających w charakterze pełnomocników,

—

w imieniu rządu czeskiego przez J. Vláčila oraz M. Smolka, działających w charakterze pełnomocników,

—

w imieniu rządu hiszpańskiego przez M.J. Garcíę-Valdecasas Dorrego, działającą w charakterze pełnomocnika,

—

w imieniu rządu austriackiego przez G. Eberharda, działającego w charakterze pełnomocnika,

—

w imieniu rządu portugalskiego przez L. Ineza Fernandesa, M. Figueireda oraz C. Vieirę Guerrę, działających w charakterze pełnomocników,

—

w imieniu Komisji Europejskiej przez D. Nardiego, H. Kranenborga oraz I. Rubene, działających w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 7 lit. f) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31 – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355).

2

Wniosek ten został przedstawiony w ramach sporu między Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde (biurem do spraw wykroczeń administracyjnych w ruchu drogowym wydziału policji porządkowej wydziału policji krajowej regionu Ryga, Łotwa, zwanej dalej „policją krajową”) a Rīgas pašvaldības SIA „Rīgas satiksme” (przedsiębiorstwem trolejbusowym miasta Ryga, zwanym dalej „Rīgas satiksme”) dotyczącego wniosku o przekazanie danych umożliwiających zidentyfikowanie sprawcy wypadku.

3

Artykuł 1 dyrektywy 95/46, zatytułowany „Cel dyrektywy”, stanowi:

„1.   Zgodnie z przepisami niniejszej dyrektywy państwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych.

2.   Państwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1”.

4

Artykuł 2 tej dyrektywy stanowi:

„Do celów niniejszej dyrektywy:

[…]

[…]”.

5

Artykuł 5 dyrektywy 95/46 stanowi:

„Państwa członkowskie określą, w granicach przepisów zawartych w niniejszym rozdziale, bardziej szczegółowe warunki ustalania legalności przetwarzania danych osobowych”.

6

Zawarty w rozdziale II sekcji II dyrektywy 95/46 art. 7, zatytułowany „Kryteria legalności przetwarzania danych”, stanowi:

„Państwa członkowskie zapewniają, że dane osobowe mogą [aby dane osobowe mogły] być przetwarzane tylko wówczas, gdy:

7

Artykuł 8 ust. 2 lit. e) dyrektywy 95/46 stanowi, że zakaz przetwarzania niektórych rodzajów danych osobowych, takich jak ujawniające pochodzenie rasowe lub opinie polityczne, nie ma zastosowania, gdy przetwarzanie dotyczy danych, które są podawane do wiadomości publicznej przez osobę, której dane dotyczą, lub jest konieczne do ustalenia, wykonania lub ochrony roszczeń prawnych.

8

Artykuł 6 Fizisko personu datu aizsardzības likums (ustawy o ochronie danych osobowych osób fizycznych) z dnia 23 marca 2000 r. (Latvijas Vēstnesis, 2000, nr 123/124) stanowi:

„Każda osoba fizyczna ma prawo do ochrony danych osobowych, które jej dotyczą”.

9

Artykuł 7 tej ustawy, mający na celu transpozycję art. 7 dyrektywy 95/46, stanowi, że przetwarzanie danych osobowych jest dozwolone jedynie wtedy, gdy wspomniana ustawa nie stanowi inaczej i gdy jest spełniona przynajmniej jedna z następujących przesłanek:

10

Artykuł 12 tej ustawy stanowi, że dane osobowe dotyczące przestępstw, wyroków skazujących za przestępstwa i wykroczenia administracyjne, orzeczeń sądów lub akt spraw sądowych mogą być przetwarzane jedynie przez osoby wskazane w ustawie i w wypadkach określonych w tej ustawie.

11

Zgodnie z art. 261 Latvijas Administratīvo pārkāpumu kodekss (łotewskiego kodeksu wykroczeń administracyjnych) w postępowaniach w sprawach o wykroczenie administracyjne osoba poszkodowana wykroczeniem na swój wyraźny wniosek może zostać uznana za pokrzywdzonego przez instytucję lub urzędnika uprawnionych do rozpatrzenia sprawy. W przepisie tym przewidziano prawa osób pokrzywdzonych, w tym prawo do zapoznania się z aktami sprawy i skorzystania z uprawnień proceduralnych w celu uzyskania odszkodowania.

12

W grudniu 2012 r. w Rydze miał miejsce wypadek drogowy. Kierowca taksówki zatrzymał swój pojazd na poboczu jezdni. W chwili gdy trolejbus należący do Rīgas satiksme przejeżdżał obok taksówki, pasażer zajmujący tylne miejsce w taksówce otworzył drzwi, które otarły i uszkodziły karoserię trolejbusu. Wypadek ten spowodował wszczęcie postępowania w sprawie o wykroczenie administracyjne i sporządzenie protokołu wykroczenia administracyjnego.

13

Początkowo, wychodząc z założenia, że to kierowcę taksówki należy uznać za odpowiedzialnego za wspomniany wypadek, Rīgas satiksme zażądało odszkodowania od towarzystwa, w którym wykupiono ubezpieczenie od odpowiedzialności cywilnej właściciela lub uprawnionego użytkownika taksówki. Jednakże wspomniane towarzystwo ubezpieczeniowe powiadomiło je, że nie wypłaci żadnego odszkodowania z uwagi na to, iż do wypadku doszło z winy pasażera, a nie kierowcy taksówki, i uściśliło, że Rīgas satiksme może dochodzić roszczenia przeciwko wspomnianemu pasażerowi na drodze cywilnej.

14

Rīgas satiksme zwróciło się wówczas do policji krajowej, żądając przekazania informacji dotyczących osoby, której wymierzono sankcję administracyjną w następstwie wypadku, przesłania kopii oświadczeń kierowcy taksówki i pasażera w przedmiocie okoliczności wypadku, a także przekazania imienia i nazwiska pasażera taksówki, numeru jego dokumentu tożsamości i adresu. Rīgas satiksme wskazało policji, że informacje, o których udzielenie wniosło, zostaną użyte wyłącznie w celu wytoczenia powództwa cywilnego.

15

Policja krajowa udzieliła odpowiedzi, przychylając się częściowo do wniosku przedstawionego przez Rīgas satiksme, a mianowicie podała imię i nazwisko pasażera taksówki, ale odmówiła podania numeru dokumentu tożsamości i adresu tego pasażera. Nie przekazała również kopii oświadczeń osób uczestniczących w wypadku.

16

Decyzja policji krajowej jest oparta na fakcie, że jedynie strony sprawy dotyczącej wykroczenia administracyjnego mogą uzyskać informacje odnoszące się do tej sprawy. Rīgas satiksme nie jest zaś stroną rozpatrywanej sprawy. Zgodnie bowiem z łotewskim kodeksem wykroczeń administracyjnych w postępowaniach w sprawach o wykroczenia dana osoba zostaje uznana za pokrzywdzonego na swój wyraźny wniosek przez organ lub urzędnika właściwych do rozpatrzenia sprawy. W niniejszym wypadku Rīgas satiksme nie skorzystało z tego uprawnienia.

17

Rīgas satiksme zaskarżyło przed administratīvā rajona tiesa (rejonowym sądem administracyjnym, Łotwa) decyzję policji krajowej w zakresie, w jakim odmówiono w niej ujawnienia numeru dokumentu tożsamości i adresu pasażera uczestniczącego w wypadku. Decyzją z dnia 16 maja 2014 r. sąd ten uwzględnił skargę Rīgas satiksme i nakazał policji krajowej przekazanie informacji dotyczących numeru dokumentu tożsamości i miejsca zamieszkania tego pasażera.

18

Policja krajowa wniosła skargę kasacyjną do sądu odsyłającego. Sąd odsyłający zwrócił się o wydanie opinii przez Datu valsts inspekcija (krajowy organ ochrony danych, Łotwa), który w odpowiedzi z dnia 13 października 2015 r. stwierdził, że w sprawie rozpatrywanej w postępowaniu głównym przekazanie danych osobowych nie może nastąpić na podstawie art. 7 pkt 6 ustawy o ochronie danych osobowych osób fizycznych z uwagi na to, że łotewski kodeks wykroczeń administracyjnych przewiduje, komu policja może przekazywać informacje dotyczące danej sprawy. I tak zdaniem krajowego organu ochrony danych przekazanie danych osobowych dotyczących postępowania w sprawie o wykroczenie administracyjne może nastąpić wyłącznie zgodnie z art. 6 pkt 3 i 5 wspomnianej ustawy w przypadkach w niej przewidzianych. W art. 7 wspomnianej ustawy nie nałożono obowiązku, lecz ustanowiono uprawnienie administratora danych – w niniejszym wypadku policji krajowej – do przetwarzania danych.

19

Krajowy organ ochrony danych wskazał, że Rīgas satiksme dysponuje dwoma możliwościami uzyskania tych informacji. Może ono zwrócić się z uzasadnionym wnioskiem do ewidencji ludności albo wnieść powództwo na podstawie art. 98–100 ustawy dotyczącej postępowania cywilnego w celu uzyskania dowodów, wnosząc do sądu o nakazanie policji krajowej przekazania danych osobowych koniecznych do wniesienia przez Rīgas satiksme powództwa przeciwko danej osobie.

20

Sąd odsyłający powziął wątpliwości w przedmiocie skuteczności środków prawnych wskazanych przez krajowy organ ochrony danych w celu uzyskania danych osobowych. W tym względzie uściślił on, po pierwsze, że jeśli we wniosku skierowanym do ewidencji ludności nie wskazano nazwiska pasażera taksówki, jest możliwe, iż ten pasażer nie będzie mógł zostać zindywidualizowany bez numeru dokumentu tożsamości, ponieważ takie same imiona i nazwiska może nosić wiele osób. Po drugie, sąd odsyłający jest zdania, że – mając na względzie krajowe przepisy dotyczące gromadzenia dowodów – aby wnieść powództwo cywilne, powód musi przynajmniej znać miejsce zamieszkania pozwanego.

21

W tym względzie sąd odsyłający jest zdania, że istnieją wątpliwości co do wykładni pojęcia „konieczności” wskazanego w art. 7 lit. f) tej dyrektywy.

22

W tych okolicznościach Augstākās tiesas, Administratīvo lietu departaments (sąd najwyższy, wydział spraw administracyjnych, Łotwa) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

23

Poprzez zadane pytania, które należy rozpatrzyć łącznie, sąd odsyłający dąży do ustalenia, czy art. 7 lit. f) dyrektywy 95/46 należy interpretować w ten sposób, że nakłada on obowiązek przekazania danych osobowych osobie trzeciej, aby umożliwić jej dochodzenie odszkodowania przed sądem cywilnym za szkodę wyrządzoną przez osobę objętą ochroną tych danych, oraz czy fakt, że osoba ta jest małoletnia, może mieć wpływ na wykładnię tego przepisu.

24

W sprawie rozpatrywanej w postępowaniu głównym jest bezsporne, że numer dokumentu tożsamości i adres pasażera taksówki, o których przekazanie wniosło Rīgas satiksme, stanowią informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej i w konsekwencji stanowią „dane osobowe” w rozumieniu art. 2 lit. a) dyrektywy 95/46. Jest także bezsporne, że policja krajowa, do której zwrócono się z tym wnioskiem, jest administratorem tych danych w rozumieniu art. 2 lit. d) tej dyrektywy, w szczególności jest właściwa do ich ewentualnego przekazania.

25

Zgodnie z art. 5 dyrektywy 95/46 państwa członkowskie określają, w granicach przepisów zawartych w tej dyrektywie, bardziej szczegółowe warunki ustalania legalności przetwarzania danych osobowych. Artykuł 7 wspomnianej dyrektywy, w którym określono kryteria legalności takiego przetwarzania, stanowi w tym względzie, że „[p]aństwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas, gdy” zaistniała jedna z sytuacji wskazanych w sposób wyczerpujący w tym przepisie. Zgodnie z tym art. 7 lit. f) takie przetwarzanie danych może mieć miejsce, jeżeli jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osób trzecich, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom lub podstawowym prawom i wolnościom osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1 dyrektywy 95/46.

26

A zatem z systematyki dyrektywy 95/46 i z brzmienia jej art. 7 wynika, że w art. 7 lit. f) tej dyrektywy nie określono obowiązku jako takiego, lecz wskazano możliwość przetwarzania danych, takiego jak przekazanie osobie trzeciej danych koniecznych dla potrzeb wynikających z uzasadnionych interesów tej osoby trzeciej. Jak podkreślił rzecznik generalny w pkt 43–46 opinii, taki sposób wykładni można także wywieść z innych instrumentów prawa Unii związanych z danymi osobowymi (zob. podobnie, w odniesieniu do przetwarzania danych osobowych w branży łączności elektronicznej, wyrok z dnia 29 stycznia 2008 r., Promusicae, C‑275/06, EU:C:2008:54, pkt 54, 55).

27

Jednakże należy wskazać, że art. 7 lit. f) dyrektywy 95/46 nie stałby na przeszkodzie takiemu przekazaniu, w sytuacji gdyby miało ono miejsce na podstawie prawa krajowego, przy poszanowaniu określonych w tym przepisie przesłanek.

28

W tym względzie w art. 7 lit. f) dyrektywy 95/46 określono trzy kumulatywne przesłanki legalności przetwarzania danych osobowych, a mianowicie, po pierwsze, realizację uzasadnionych interesów przez administratora danych lub osobę trzecią lub osoby trzecie, którym dane są ujawniane, po drugie, konieczność przetwarzania danych osobowych dla potrzeb wynikających z uzasadnionych interesów, oraz po trzecie, przesłankę, aby nie miały pierwszeństwa prawa i wolności osoby objętej ochroną danych.

29

Co się tyczy przesłanki związanej z realizacją uzasadnionych interesów, jak wskazał rzecznik generalny w pkt 65, 79 i 80 opinii, nie ulega wątpliwości, że interes osoby trzeciej w uzyskaniu informacji o charakterze osobistym dotyczącej osoby, która naruszyła jej prawo własności, w celu wniesienia powództwa o odszkodowanie stanowi uzasadniony interes (zob. podobnie wyrok z dnia 29 stycznia 2008 r., Promusicae, C‑275/06, EU:C:2008:54, pkt 53). Taka analiza znajduje potwierdzenie w art. 8 ust. 2 lit. e) dyrektywy 95/46, który stanowi, że zakaz przetwarzania niektórych rodzajów danych osobowych – takich jak ujawniające pochodzenie rasowe lub opinie polityczne – nie ma zastosowania w szczególności, gdy przetwarzanie jest konieczne do ustalenia, wykonania lub ochrony roszczeń prawnych.

30

Jeśli chodzi o przesłankę dotyczącą konieczności przetwarzania danych, należy przypomnieć, że odstępstwa od zasady ochrony danych osobowych i jej ograniczenia powinny być stosowane jedynie wtedy, gdy jest to absolutnie konieczne (wyroki: z dnia 9 listopada 2010 r., Volker und Markus Schecke i Eifert, C‑92/09 i C‑93/09, EU:C:2010:662, pkt 86; z dnia 7 listopada 2013 r., IPI, C‑473/12, EU:C:2013:715, pkt 39; a także z dnia 11 grudnia 2014 r., Ryneš, C‑212/13, EU:C:2014:2428, pkt 28). W tym względzie należy stwierdzić, że zgodnie ze wskazaniami przedstawionymi przez sąd odsyłający przekazanie jedynie imienia i nazwiska sprawcy szkody nie pozwala zidentyfikować go z dostateczną dokładnością umożliwiającą pozwanie go przed sądem. A zatem wydaje się konieczne uzyskanie w tym celu także adresu lub numeru dokumentu tożsamości tej osoby.

31

Wreszcie, co się tyczy przesłanki związanej z wyważeniem rozpatrywanych przeciwstawnych praw i interesów, dotyczy ona co do zasady szczególnych okoliczności danej sprawy (zob. podobnie wyroki: z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 40; z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 62).

32

W tym względzie Trybunał orzekł, że możliwe jest uwzględnienie faktu, że waga naruszenia praw podstawowych osoby, której przetwarzanie dotyczy, może różnić się w zależności od tego, czy sporne dane figurują już w powszechnie dostępnych źródłach (zob. podobnie wyrok z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 44).

33

Co się tyczy części drugiej pytania prejudycjalnego, przeformułowanej w pkt 23 niniejszego wyroku, należy wskazać, że wiek danej osoby może stanowić jedną z okoliczności, jaką należy uwzględnić w ramach wspomnianego wyważenia. Należy jednak stwierdzić, że – jak wskazał rzecznik generalny w pkt 82–84 opinii i z zastrzeżeniem ustaleń, jakich dokona w tym względzie sąd odsyłający – w okolicznościach takich jak rozpatrywane w postępowaniu głównym nie wydaje się uzasadnione odmówienie pokrzywdzonemu przekazania danych osobowych koniecznych do wniesienia powództwa o odszkodowanie przeciwko sprawcy szkody lub, w danym wypadku, przeciwko osobom wykonującym władzę rodzicielską ze względu na to, że sprawca ten jest małoletni.

34

Z wszystkich powyższych rozważań wynika, że art. 7 lit. f) dyrektywy 95/46 należy interpretować w ten sposób, że nie nakłada on obowiązku przekazania danych osobowych osobie trzeciej, aby umożliwić jej dochodzenie odszkodowania przed sądem cywilnym za szkodę wyrządzoną przez osobę objętą ochroną tych danych. Jednakże art. 7 lit. f) tej dyrektywy nie stoi na przeszkodzie takiemu przekazaniu na podstawie prawa krajowego.

35

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (druga izba) orzeka, co następuje:

Artykuł 7 lit. f) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że nie nakłada on obowiązku przekazania danych osobowych osobie trzeciej, aby umożliwić jej dochodzenie odszkodowania przed sądem cywilnym za szkodę wyrządzoną przez osobę objętą ochroną tych danych. Jednakże art. 7 lit. f) tej dyrektywy nie stoi na przeszkodzie takiemu przekazaniu na podstawie prawa krajowego.