–

w imieniu RW – R. Haupt, Rechtsanwalt,

–

w imieniu Österreichische Post AG – R. Marko, Rechtsanwalt,

–

w imieniu rządu austriackiego – G. Kunnert, A. Posch i J. Schmoll, w charakterze pełnomocników,

–

w imieniu rządu czeskiego – M. Smolek i J. Vláčil, w charakterze pełnomocników,

–

w imieniu rządu włoskiego – G. Palmieri, w charakterze pełnomocnika, którą wspierała M. Russo, avvocato dello Stato,

–

w imieniu rządu łotewskiego – J. Davidoviča, I. Hūna i K. Pommere, w charakterze pełnomocników,

–

w imieniu rządu rumuńskiego – L.‑E. Baţagoi, E. Gane i A. Wellman, w charakterze pełnomocników,

–

w imieniu rządu szwedzkiego – H. Eklinder, J. Lundberg, C. Meyer‑Seitz, A.M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev i O. Simonsson, w charakterze pełnomocników,

–

w imieniu Komisji Europejskiej – F. Erlbacher i H. Kranenborg, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 15 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1) (zwanego dalej „RODO”).

2

Wniosek ten został złożony w ramach sporu pomiędzy RW a Österreichische Post AG (zwaną dalej „Österreichische Post”) w przedmiocie wniosku o udzielenie dostępu do danych osobowych na podstawie art. 15 ust. 1 lit. c) RODO.

3

Motywy 4, 9, 10, 39, 63 i 74 RODO mają następujące brzmienie:

[…]

[…]

[…]

[…]

4

Artykuł 1 RODO, zatytułowany „Przedmiot i cele”, w ust. 2 stanowi:

„Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”.

5

Artykuł 5 RODO, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, przewiduje:

„1.   Dane osobowe muszą być:

[…]

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

6

Artykuł 12 RODO, zatytułowany „Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą”, stanowi:

„1.   Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

2.   Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15–22. W przypadkach, o których mowa w art. 11 ust. 2, administrator nie odmawia podjęcia działań na żądanie osoby, której dane dotyczą, pragnącej wykonać prawa przysługujące jej na mocy art. 15–22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.

[…]

5.   Informacje podawane na mocy art. 13 i 14 oraz komunikacja i działania podejmowane na mocy art. 15–22 i 34 są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

[…]”.

7

Artykuł 13 RODO, zatytułowany „Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą”, przewiduje w ust. 1:

„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

[…]

[…]”.

8

Artykuł 14 RODO, zatytułowany „Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą”, stanowi w ust. 1:

„Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

[…]

[…]”.

9

Zgodnie z art. 15 RODO, zatytułowanym „Prawo dostępu przysługujące osobie, której dane dotyczą”:

„1.   Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

2.   Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46, związanych z przekazaniem.

3.   Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

4.   Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych”.

10

Artykuł 16 RODO, zatytułowany „Prawo do sprostowania danych”, stanowi:

„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia”.

11

Zgodnie z art. 17 RODO, zatytułowanym „Prawo do usunięcia danych (»prawo do bycia zapomnianym«)”:

„1.   Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

2.   Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

[…]”.

12

Artykuł 18 RODO, zatytułowany „Prawo do ograniczenia przetwarzania”, stanowi w ust. 1:

„Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

[…]”.

13

Artykuł 19 RODO ma następujące brzmienie:

„Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda”.

14

Zgodnie z art. 21 RODO, zatytułowanym „Prawo do sprzeciwu”:

„1.   Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

2.   Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

3.   Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.

4.   Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1 i 2, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.

5.   W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy [2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37)] osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

6.   Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym”.

15

Artykuł 79 RODO, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, stanowi w ust. 1:

„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia”.

16

Artykuł 82 RODO, zatytułowany „Prawo do odszkodowania i odpowiedzialności”, stanowi w ust. 1:

„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.

17

W dniu 15 stycznia 2019 r. RW zwrócił się do Österreichische Post w celu uzyskania, na podstawie art. 15 RODO, dostępu do dotyczących go danych osobowych przechowywanych przez Österreichische Post obecnie lub w przeszłości, a w przypadku ujawnienia tych danych osobom trzecim – tożsamości tych odbiorców.

18

W odpowiedzi na ten wniosek Österreichische Post ograniczyła się do wskazania, że wykorzystuje dane, w zakresie zgodnym z prawem, w ramach swej działalności wydawcy książek adresowych i że oferuje te dane osobowe partnerom handlowym do celów marketingowych. W pozostałym zakresie odesłała ona do strony internetowej w celu uzyskania bardziej szczegółowych informacji i w odniesieniu do dalszych celów przetwarzania danych. Nie podała ona RW do wiadomości tożsamości konkretnych odbiorców danych.

19

RW pozwał Österreichische Post przed sądami austriackimi, żądając nakazania tej ostatniej przekazania mu informacji dotyczących w szczególności tożsamości odbiorcy lub odbiorców dotyczących go danych osobowych ujawnionych w ten sposób.

20

W toku wszczętego w ten sposób postępowania sądowego Österreichische Post poinformowała RW, że jego dane osobowe były przetwarzane do celów marketingowych i przekazywane klientom, w tym reklamodawcom w sektorze sprzedaży wysyłkowej i handlu stacjonarnego, przedsiębiorstwom informatycznym, wydawcom książek adresowych i stowarzyszeniom takim jak organizacje charytatywne, organizacjom pozarządowym (NGO) lub partiom politycznym.

21

Sąd pierwszej instancji i sąd apelacyjny oddaliły pozew RW na tej podstawie, że art. 15 ust. 1 lit. c) RODO, w zakresie, w jakim odnosi się on do „odbiorców lub kategorii odbiorców”, przyznaje administratorowi możliwość wskazania osobie, której dane dotyczą, jedynie kategorii odbiorców, bez konieczności wskazywania z nazwy konkretnych odbiorców, którym dane osobowe są przekazywane.

22

RW wniósł skargę rewizyjną do Oberster Gerichtshof (sądu najwyższego, Austria), będącego sądem odsyłającym.

23

Sąd ten zastanawia się nad wykładnią art. 15 ust. 1 lit. c) RODO, ponieważ brzmienie tego przepisu nie pozwala jasno ustalić, czy przyznaje on osobie, której dane dotyczą, prawo dostępu do informacji dotyczących konkretnych odbiorców ujawnionych danych, czy też administrator danych dysponuje uznaniem co do sposobu, w jaki zamierza uwzględnić wniosek o udzielenie dostępu do informacji o odbiorcach.

24

Sąd ten zauważa jednak, że ratio legis tego przepisu przemawia raczej za wykładnią, zgodnie z którą to osoba, której dane dotyczą, może dokonać wyboru i żądać informacji dotyczących kategorii odbiorców lub konkretnych odbiorców jej danych osobowych. Zdaniem tego sądu każda odmienna wykładnia poważnie zagrażałaby skuteczności środków prawnych przysługujących osobie, której dane dotyczą, w celu ochrony jej danych. W przypadku bowiem gdyby administratorzy danych mieliby wybór i mogli przekazać osobom, których dane dotyczą, albo tożsamość konkretnych odbiorców, albo wyłącznie kategorie odbiorców, należałoby obawiać się, że w praktyce prawie żaden z nich nie dostarczy informacji dotyczących konkretnych odbiorców.

25

Ponadto w przeciwieństwie do art. 13 ust. 1 lit. e) i art. 14 ust. 1 lit. e) RODO, które przewidują obowiązek dostarczenia przez administratora danych informacji, o których mowa w tych artykułach, art. 15 ust. 1 tego rozporządzenia kładzie nacisk na zakres prawa dostępu przysługującego osobie, której dane dotyczą, co zdaniem sądu odsyłającego również wskazuje, że osoba, której dane dotyczą, ma prawo wyboru pomiędzy żądaniem informacji o konkretnych odbiorcach lub o kategoriach odbiorców.

26

Wreszcie sąd odsyłający dodaje, że prawo dostępu przewidziane w art. 15 ust. 1 RODO dotyczy nie tylko danych osobowych obecnie przetwarzanych, lecz również wszystkich danych przetwarzanych w przeszłości. W tym względzie uściśla on, że rozważania zawarte w wyroku z dnia 7 maja 2009 r., Rijkeboer (C‑553/07, EU:C:2009:293), oparte na celu prawa dostępu przewidzianego w dyrektywie 95/46, mogą zostać przeniesione na grunt prawa dostępu, o którym mowa w art. 15 RODO, tym bardziej że z motywów 9 i 10 tego rozporządzenia można wywieść, iż prawodawca Unii nie zamierzał obniżyć poziomu ochrony w porównaniu z tą dyrektywą.

27

W tych okolicznościach Oberster Gerichtshof (sąd najwyższy) postanowił zawiesić postępowanie i skierować do Trybunału następujące pytanie prejudycjalne:

„Czy wykładni art. 15 ust. 1 lit. c) [RODO] należy dokonywać w ten sposób, że prawo do informacji jest ograniczone do kategorii odbiorców, w sytuacji gdy nie są jeszcze znani konkretni odbiorcy planowanych ujawnień, jednakże gdy dane zostały już ujawnione, prawo to musi obejmować również odbiorców tych ujawnień danych?”.

28

Poprzez swoje pytanie prejudycjalne sąd odsyłający dąży w istocie do ustalenia, czy art. 15 ust. 1 lit. c) RODO należy interpretować w ten sposób, że przewidziane w tym przepisie prawo dostępu osoby, której dane dotyczą, do dotyczących jej danych osobowych, oznacza, w przypadku gdy dane te zostały lub zostaną ujawnione odbiorcom, że na administratorze danych ciąży obowiązek podania tej osobie konkretnej tożsamości tych odbiorców.

29

W tym względzie należy przypomnieć, iż z utrwalonego orzecznictwa wynika, że wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, ale także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią (wyrok z dnia 15 marca 2022 r., Autorité des marchés financiers, C‑302/20, EU:C:2022:190, pkt 63). Ponadto jeżeli dany przepis prawa Unii może być przedmiotem kilku wykładni, pierwszeństwo należy dać tej, która pozwoli na zapewnienie jego skuteczności (effet utile) (wyrok z dnia 7 marca 2018 r., Cristal Union, C‑31/17, EU:C:2018:168, pkt 41 i przytoczone tam orzecznictwo).

30

Co się tyczy przede wszystkim brzmienia art. 15 ust. 1 lit. c) RODO, należy przypomnieć, że przepis ten stanowi, iż osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe zostały lub zostaną ujawnione.

31

W tym względzie należy zauważyć, że pojęcia „odbiorcy” i „kategorie odbiorców” zawarte w tym przepisie są użyte jedno po drugim, bez możliwości wywnioskowania pierwszeństwa między nimi.

32

Należy zatem stwierdzić, że brzmienie art. 15 ust. 1 lit. c) RODO nie pozwala ustalić w sposób jednoznaczny, czy osoba, której dane dotyczą, ma prawo do uzyskania informacji, w przypadku gdy dotyczące jej dane osobowe zostały lub zostaną ujawnione, o konkretnej tożsamości ich odbiorców tych danych.

33

Następnie, co się tyczy kontekstu, w jaki wpisuje się art. 15 ust. 1 lit. c) RODO, należy przypomnieć w pierwszej kolejności, że motyw 63 tego rozporządzenia przewiduje, iż osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności dotyczących odbiorców tych danych osobowych, i nie precyzuje, że prawo to może być ograniczone wyłącznie do kategorii odbiorców, jak zauważył rzecznik generalny w pkt 23 opinii.

34

W drugiej kolejności należy również przypomnieć, że aby przestrzegane było prawo dostępu, każde przetwarzanie danych osobowych musi być zgodne z zasadami określonymi w art. 5 RODO (zob. podobnie wyrok z dnia 16 stycznia 2019 r., Deutsche Post, C‑496/17, EU:C:2019:26, pkt 57).

35

Wśród tych zasad znajduje się zasada przejrzystości, o której mowa w art. 5 ust. 1 lit. a) RODO, która oznacza, jak wynika z motywu 39 tego rozporządzenia, że osoba, której dane dotyczą, posiada informacje o sposobie przetwarzania jej danych osobowych, oraz wymaga, aby informacje te były łatwo dostępne i zrozumiałe.

36

W trzeciej kolejności należy zauważyć, jak podkreślił rzecznik generalny w pkt 21 opinii, że w przeciwieństwie do art. 13 i 14 RODO, które ustanawiają ciążący na administratorze danych obowiązek przekazania osobie, której dane dotyczą, informacji dotyczących kategorii odbiorców lub konkretnych odbiorców dotyczących jej danych osobowych, gdy dane te pozyskano od osoby, której dane dotyczą, względnie nie od tej osoby, art. 15 RODO przewiduje rzeczywiste prawo dostępu na rzecz osoby, której dane dotyczą, w taki sposób, aby miała ona możliwość wyboru i uzyskania albo informacji dotyczących konkretnych odbiorców, którym dane zostały lub zostaną ujawnione, jeżeli jest to możliwe, albo informacji dotyczących kategorii odbiorców.

37

W czwartej kolejności – Trybunał orzekł już, że korzystanie z tego prawa dostępu powinno pozwolić osobie, której dane dotyczą, na sprawdzenie nie tylko, czy dotyczące jej dane są prawidłowe, ale także czy są przetwarzane zgodnie z prawem (zob. analogicznie wyroki: z dnia 17 lipca 2014 r., YS i in., C‑141/12 i C‑372/12, EU:C:2014:2081, pkt 44; a także z dnia 20 grudnia 2017 r., Nowak, C‑434/16, EU:C:2017:994, pkt 57), a w szczególności czy zostały one ujawnione upoważnionym odbiorcom (zob. analogicznie wyrok z dnia 7 maja 2009 r., Rijkeboer, C‑553/07, EU:C:2009:293, pkt 49).

38

W szczególności to prawo dostępu jest niezbędne, aby umożliwić osobie, której dane dotyczą, skorzystanie w razie potrzeby z jej prawa do sprostowania, prawa do usunięcia danych („prawa do bycia zapomnianym”) lub prawa do ograniczenia przetwarzania, które zostały jej przyznane, odpowiednio, w art. 16, 17 i 18 RODO (zob. analogicznie wyroki: z dnia 17 lipca 2014 r., YS i in., C‑141/12 i C‑372/12, EU:C:2014:2081, pkt 44; a także z dnia 20 grudnia 2017 r., Nowak, C‑434/16, EU:C:2017:994, pkt 57), a także z przewidzianego w art. 21 RODO prawa sprzeciwu wobec przetwarzania jej danych osobowych oraz przewidzianego w art. 79 i 82 RODO prawa do korzystania ze środków prawych w razie poniesienia szkody (zob. analogicznie wyrok z dnia 7 maja 2009 r., Rijkeboer,C‑553/07, EU:C:2009:293, pkt 52).

39

Zatem w celu zagwarantowania skuteczności wszystkich wymienionych w poprzednim punkcie niniejszego wyroku praw osoby, której dane dotyczą, powinna ona posiadać w szczególności prawo do informacji o tożsamości konkretnych odbiorców, w przypadku gdy jej dane osobowe zostały już ujawnione.

40

W piątej i ostatniej kolejności – taką wykładnię potwierdza brzmienie art. 19 RODO, który przewiduje w zdaniu pierwszym, że administrator danych co do zasady informuje każdego odbiorcę, któremu dane osobowe zostały ujawnione, o każdym sprostowaniu lub usunięciu danych osobowych lub o jakimkolwiek ograniczeniu przetwarzania, a w zdaniu drugim – że administrator ten informuje osobę, której dane dotyczą, o tych odbiorcach, jeśli osoba ta tego zażąda.

41

Artykuł 19 zdanie drugie RODO wyraźnie przyznaje osobie, której dane dotyczą, prawo do bycia informowaną o konkretnych odbiorcach dotyczących jej danych przez administratora danych w ramach ciążącego na tym ostatnim obowiązku informowania wszystkich odbiorców o wykonywaniu praw przysługujących tej osobie na podstawie art. 16, art. 17 ust. 1 i art. 18 RODO.

42

Z powyższej analizy kontekstowej wynika, że art. 15 ust. 1 lit. c) RODO stanowi jeden z przepisów mających gwarantować przejrzystość sposobów przetwarzania danych osobowych względem osoby, której dane dotyczą, i umożliwia tej osobie, jak wskazał rzecznik generalny w pkt 33 opinii, wykonywanie uprawnień przewidzianych w szczególności w art. 16–19, 21, 79 i 82 RODO.

43

W związku z tym należy uznać, że informacje przekazane osobie, której dane dotyczą, na podstawie prawa dostępu przewidzianego w art. 15 ust. 1 lit. c) RODO powinny być możliwie najbardziej dokładne. W szczególności owo prawo dostępu oznacza, że osoba, której dane dotyczą, może uzyskać od administratora danych informacje o konkretnych odbiorcach, którym dane te zostały ujawnione, lub, alternatywnie, zdecydować się na ograniczenie się do zażądania informacji dotyczących kategorii odbiorców.

44

Wreszcie, co się tyczy celu, do którego dąży RODO, należy zauważyć, że rozporządzenie to dąży w szczególności, jak wynika z jego motywu 10, do zapewnienia wysokiego poziomu ochrony osób fizycznych w Unii (wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 207). W tym względzie, jak zauważył w istocie rzecznik generalny w pkt 14 opinii, ogólne ramy prawne stworzone przez RODO wprowadzają w życie wymogi wynikające z prawa podstawowego do ochrony danych osobowych chronionego przez art. 8 Karty praw podstawowych Unii Europejskiej, a w szczególności wymogi wyraźnie przewidziane w ust. 2 tego artykułu (zob. podobnie wyrok z dnia 9 marca 2017 r., Manni, C‑398/15, EU:C:2017:197, pkt 40).

45

Cel ten potwierdza wykładnię art. 15 ust. 1 RODO przedstawioną w pkt 43 niniejszego wyroku.

46

W związku z tym z celu, do którego dąży RODO, wynika również, że osoba, której dane dotyczą, ma prawo do uzyskania od administratora danych informacji o konkretnych odbiorcach, którym zostały lub zostaną ujawnione dotyczące jej dane osobowe.

47

Należy wreszcie przy tym podkreślić, że jak wynika z motywu 4 RODO, prawo do ochrony danych osobowych nie jest jednak prawem bezwzględnym. Prawo to należy bowiem postrzegać w świetle jego funkcji społecznej i wyważyć z innymi prawami podstawowymi, zgodnie z zasadą proporcjonalności, jak Trybunał zasadniczo potwierdził w pkt 172 wyroku z dnia 16 lipca 2020 r., Facebook Ireland i Schrems (C‑311/18, EU:C:2020:559).

48

W związku z tym można przyjąć, że w szczególnych okolicznościach nie jest możliwe dostarczenie informacji dotyczących konkretnych odbiorców. W związku z tym prawo dostępu może być ograniczone do informacji o kategoriach odbiorców, jeżeli nie jest możliwe podanie do wiadomości tożsamości konkretnych odbiorców, w szczególności gdy nie są oni jeszcze znane.

49

Ponadto należy przypomnieć, że zgodnie z art. 12 ust. 5 lit. b) RODO administrator danych może, zgodnie z zasadą odpowiedzialności określoną w art. 5 ust. 2 tego rozporządzenia oraz w jego motywie 74, odmówić uwzględnienia wniosków osoby, której dotyczą dane, jeżeli wnioski te są ewidentnie nieuzasadnione lub nadmierne, przy czym na tym samym administratorze danych spoczywa obowiązek wykazania, że rzeczone wnioski mają ewidentnie nieuzasadniony lub nadmierny charakter.

50

W niniejszej sprawie z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że Österreichische Post oddaliła złożony przez RW na podstawie art. 15 ust. 1 RODO wniosek, w którym zażądał on, aby Österreichische Post podała mu tożsamość odbiorców, którym ujawniła dotyczące go dane osobowe. Do sądu odsyłającego będzie należało zbadanie, czy, w okolicznościach rozpatrywanych w postępowaniu głównym, Österreichische Post wykazała, że wniosek ten miał ewidentnie nieuzasadniony lub nadmierny charakter.

51

Mając na względzie całość powyższych rozważań, na pytanie prejudycjalne należy odpowiedzieć następująco: art. 15 ust. 1 lit. c) RODO należy interpretować w ten sposób, że przewidziane w tym przepisie prawo dostępu osoby, której dane dotyczą, do dotyczących jej danych osobowych oznacza, w przypadku gdy dane te zostały lub zostaną ujawnione odbiorcom, że na administratorze danych ciąży obowiązek podania tej osobie dokładnej tożsamości tych odbiorców, chyba że nie jest możliwe zidentyfikowanie tych odbiorców lub tenże administrator danych wykaże, że wnioski o uzyskanie dostępu złożone przez osobę, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne w rozumieniu art. 12 ust. 5 RODO, w których to przypadkach administrator ten może wskazać tej osobie wyłącznie kategorie odnośnych odbiorców.

52

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje:

Artykuł 15 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

należy interpretować w ten sposób, że:

przewidziane w tym przepisie prawo dostępu osoby, której dane dotyczą, do dotyczących jej danych osobowych oznacza, w przypadku gdy dane te zostały lub zostaną ujawnione odbiorcom, że na administratorze danych ciąży obowiązek podania tej osobie dokładnej tożsamości tych odbiorców, chyba że nie jest możliwe zidentyfikowanie tych odbiorców lub tenże administrator danych wykaże, że wnioski o uzyskanie dostępu złożone przez osobę, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne w rozumieniu art. 12 ust. 5 rozporządzenia 2016/679, w których to przypadkach administrator ten może wskazać tej osobie wyłącznie kategorie odnośnych odbiorców.