1.

Rozporządzenie (UE) 2016/679 ( 2 ) (zwane dalej „RODO”) ma na celu zapewnienie wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych. W tym celu nakłada ono na administratorów obowiązek przestrzegania szeregu zasad przy przetwarzaniu danych osobowych, w tym tak zwanej zasady „minimalizacji danych” i zasady zgodności przetwarzania z prawem.

2.

Te dwie zasady stanowią sedno niniejszej sprawy, która dotyczy sporu między stowarzyszeniem a krajowym organem nadzorczym w przedmiocie przetwarzania przez przedsiębiorstwo przewozowe danych w postaci wskazującego na płeć tytułu grzecznościowego jego klientów w celu ich wykorzystania w ich komunikacji handlowej, co daje tym samym Trybunałowi okazję do sprecyzowania zakresu odnośnych zasad.

3.

Motywy 4, 10, 39, 40, 44, 47, 69 i 75 RODO wskazują:

[…]

[…]

[…]

[…]

[…]

[…]

4.

Zgodnie z brzmieniem art. 2 ust. 1 RODO ma ono zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

5.

Artykuł 4 RODO, zatytułowany „Definicje”, stanowi:

„Na użytek niniejszego rozporządzenia:

[…]

[…]

[…]”.

6.

Artykuł 5 RODO, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, przewiduje:

„1.   Dane osobowe muszą być:

[…]

[…]”.

7.

Artykuł 6 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi w ust. 1:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

[…]”.

8.

Artykuł 13 RODO zatytułowany „Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą”, przewiduje:

„1.   Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

[…]

[…]”.

9.

Artykuł 21 RODO, zatytułowany „Prawo do sprzeciwu”, stanowi w ust. 1:

„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń”.

10.

Artykuł 25 RODO, zatytułowany „Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych”, przewiduje w ust. 2:

„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. […]”.

11.

Artykuł 8 loi no 78-17 relative à l’informatique, aux fichiers et aux libertés ( 3 ) (ustawy nr 78-17 o informatyce, danych i swobodach) z dnia 6 stycznia 1978 r. stanowi:

„Krajowa komisja ds. informatyki i swobód [(CNIL)] jest niezależnym organem administracji.

Jest ona krajowym organem nadzorczym w rozumieniu [RODO] i do celów jego stosowania. Wykonuje następujące zadania:

[…]

W tym zakresie:

[…]

12.

SNCF Connect jest spółką, która sprzedaje dokumenty na przejazd koleją, takie jak bilety kolejowe, abonamenty i karty zniżkowe, za pośrednictwem swojej strony internetowej i aplikacji. Przy zakupie dokumentów na przejazd klienci tej spółki są zobowiązani do podania swojego wskazującego na płeć tytułu grzecznościowego poprzez zaznaczenie pola „pan” lub „pani”.

13.

Uznając, że warunki, na jakich wskazujące na płeć tytuły grzecznościowe klientów były zbierane i utrwalane przy zakupie dokumentów na przejazd, nie były zgodne z wymogami RODO, skarżący w postępowaniu głównym, stowarzyszenie Mousse (zwane dalej „Mousse”), wniosło do CNIL skargę na spółkę SNCF Connect. Na poparcie tej skargi Mousse podniosło, że zbieranie odnośnych danych jest sprzeczne z zasadą zgodności przetwarzania z prawem ustanowioną w art. 5 ust. 1 lit. a) tego rozporządzenia, ponieważ nie opiera się ono na żadnej z podstaw przewidzianych w art. 6 ust. 1 wspomnianego rozporządzenia. Ponadto zbieranie danych w ten sposób narusza jego zdaniem zasadę minimalizacji danych i zasadę prawidłowości, które zostały określone odpowiednio w art. 5 ust. 1 lit. c) i d) tego rozporządzenia, a także obowiązki przejrzystości i informacji wynikające w szczególności z art. 13 tego rozporządzenia. W tym kontekście Mousse utrzymywało, że spółka SNCF Connect nie powinna zbierać tych danych lub że powinna przynajmniej zaoferować swoim klientom dodatkowe opcje, takie jak pole „neutralna” lub „inna”.

14.

Decyzją z dnia 23 marca 2021 r. CNIL zakończyło postępowanie w przedmiocie wniesionego do niego zażalenia, uznając, że czyny zarzucane spółce SNCF Connect nie stanowią naruszenia odnośnych przepisów RODO. CNIL stwierdziło, że przetwarzanie danych było zgodne z prawem na podstawie art. 6 ust. 1 lit. b) tego rozporządzenia ze względu na to, że było ono niezbędne do wykonania umowy o świadczenie usług przewozowych. Ponadto CNIL wskazało, że ze względu na swoje cele takie przetwarzanie jest zgodne z zasadą minimalizacji danych, ponieważ fakt zwracania się do klientów z wykorzystaniem ich wskazującego na płeć tytułu grzecznościowego odpowiada zwyczajom panującym w dziedzinie komunikacji prywatnej, handlowej i administracyjnej.

15.

W dniu 21 maja 2021 r. Mousse wniosło do Conseil d’État (rady stanu, Francja) skargę o stwierdzenie nieważności decyzji CNIL z dnia 23 marca 2021 r. W skardze Mousse podnosi w szczególności, że obowiązek wyboru pola „pan” lub „pani” przy zakupie online nie odpowiada zasadzie zgodności przetwarzania z prawem ani zasadzie minimalizacji danych, o których mowa odpowiednio w art. 5 ust. 1 lit. a) i c) RODO, ponieważ taka informacja nie jest niezbędna do wykonania umowy ani do celów związanych z prawnie uzasadnionymi interesami spółki SNCF Connect. Okoliczność, że wspomniane określenie jest używane w korespondencji handlowej, nie jest wystarczającym uzasadnieniem niezbędności zbierania tych danych. Wreszcie, taki obowiązek mógłby naruszać prawo do podróży bez podawania swojego wskazującego na płeć tytułu grzecznościowego, prawo do poszanowania życia prywatnego oraz swobodę ekspresji płciowej. Co się tyczy w szczególności obywateli państw, których akta stanu cywilnego dopuszczają „płeć neutralną”, określenie to nie odpowiada rzeczywistości i może zatem okazać się sprzeczne z zasadą prawidłowości wyrażoną w art. 5 ust. 1 lit. d) tego rozporządzenia, naruszając jednocześnie ich swobodę przemieszczania się zagwarantowaną przez prawo Unii.

16.

CNIL wnosi o oddalenie tej skargi i podnosi, że przetwarzanie danych dotyczących wskazującego na płeć tytułu grzecznościowego można również uznać za „niezbędne” do celów związanych z prawnie uzasadnionymi interesami realizowanymi przez spółkę SNCF Connect w rozumieniu art. 6 ust. 1 lit. f) RODO oraz że osoby, których dane dotyczą, mogą – ze względu na ich szczególną sytuację – powoływać się na prawo do sprzeciwu zagwarantowane w art. 21 tego rozporządzenia.

17.

Sąd odsyłający zastanawia się z jednej strony nad kwestią, czy przy ocenie adekwatności i stosowności zbierania danych oraz ograniczenia go do tego, co niezbędne, a także niezbędności ich przetwarzania, można wziąć pod uwagę powszechnie przyjęte zwyczaje w komunikacji prywatnej, handlowej i administracyjnej, w związku z czym zbieranie danych w postaci wskazującego na płeć tytułu grzecznościowego klientów w zakresie ograniczonym do określeń „pan” lub „pani” można uznać za „zgodne z prawem i zgodne” z zasadą minimalizacji danych. Sąd ten zastanawia się z drugiej strony nad kwestią, czy przy ocenie niezbędności obowiązkowego zbierania i przetwarzania następnie danych na w postaci wskazującego na płeć tytułu grzecznościowego klientów – zważywszy, że niektórzy z tych klientów uważają, iż żaden z tych dwóch tytułów grzecznościowych nie odpowiada ich płci – należy wziąć pod uwagę okoliczność, że owi klienci, przekazawszy te dane administratorowi w celu skorzystania z proponowanej usługi, mogą skorzystać z przysługującego im prawa do sprzeciwu wobec wykorzystywania takich danych, ze względu na swoją szczególną sytuację, na podstawie art. 21 RODO.

18.

W tych okolicznościach Conseil d’État (rada stanu) postanowiła zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

19.

Mousse, spółka SNCF Connect, rząd francuski i Komisja Europejska przedstawiły uwagi na piśmie. Ci sami uczestnicy wzięli udział w rozprawie, która odbyła się w dniu 29 kwietnia 2024 r.

20.

Poprzez pierwsze pytanie prejudycjalne sąd odsyłający dąży w istocie do ustalenia, czy art. 5 ust. 1 lit. c) i art. 6 ust. 1 lit. b) i f) RODO należy interpretować w ten sposób, że przetwarzanie danych osobowych w postaci wskazujących na płeć tytułów grzecznościowych klientów przedsiębiorstwa przewozowego należy uznać za niezbędne do wykonania umowy lub podjęcia działań przed zawarciem umowy lub niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, jeżeli przetwarzanie to ma na celu umożliwienie zindywidualizowanej komunikacji handlowej poprzez zapewnienie poszanowania powszechnie przyjętych zwyczajów w komunikacji handlowej.

21.

Na początku muszę poczynić w tym względzie dwie uwagi wstępne.

22.

Z jednej strony pragnę zauważyć, że strony są zgodne i że nie ulega wątpliwości, iż dane w postaci wskazujących na płeć tytułów grzecznościowych klientów przedsiębiorstwa przewozowego stanowią dane osobowe w rozumieniu art. 4 pkt 1 RODO, a ponadto ich zbieranie i utrwalanie przez spółkę SNCF Connect należy uznać za przetwarzanie w rozumieniu art. 4 pkt 2 tego rozporządzenia, w związku z czym należy je zbadać w świetle przepisów wspomnianego rozporządzenia.

23.

Z drugiej strony spółka SNCF Connect i rząd francuski bronią koncepcji, zgodnie z którą odpowiedź przecząca na pierwsze pytanie prejudycjalne prowadziłaby do zastosowania RODO w kontekście, który jest mu obcy, ponieważ przyjmując to rozporządzenie, prawodawca nie zamierzał regulować zwyczajów panujących w dziedzinie komunikacji lub zagadnienia dotyczącego płci. Chociaż przyznaję, podobnie jak rzecznik generalny M. Bobek, że przepisy dotyczące ochrony życia prywatnego mogą niekiedy odnosić się do „dość zaskakujących okoliczności i [być] na ich potrzeby stosowane” ( 4 ), to wydaje mi się jednak, że niniejsza sytuacja nie jest jedną z nich. Okoliczność, iż przedmiotem sporu są dane dotyczące tożsamości cywilnej i że tym samym znajdują się w centrum debat toczących się w krajowych systemach prawnych na temat binarności płci, nie może przesłaniać faktu, że w niniejszej sprawie chodzi o automatyczne przetwarzanie przez spółkę przewozową danych osobowych jej klientów, które nie tylko obiektywnie wchodzi w zakres stosowania RODO, ale stanowi również operację przetwarzania danych, którą prawodawca Unii zamierzał uregulować ( 5 ).

24.

Rozpocznę zatem moją analizę pierwszego pytania prejudycjalnego od ogólnych uwag dotyczących przesłanki zgodności przetwarzania danych z prawem, której podlegają zgodnie z RODO administratorzy danych, zanim ustalę, czy w świetle przedstawionych zasad przesłankę tę należy uznać za spełnioną w odniesieniu do przetwarzania danych w postaci wskazującego na płeć tytułu grzecznościowego klientów przedsiębiorstwa przewozowego w celu komunikowania się z tymi klientami przy wykorzystaniu powszechnie przyjętych zwyczajów w dziedzinie komunikacji handlowej.

25.

Artykuł 5 RODO określa szereg zasad dotyczących przetwarzania danych osobowych. W szczególności przepis ten przewiduje, że takie dane „muszą być […] przetwarzane zgodnie z prawem” ( 6 ) i „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane” ( 7 ). Innymi słowy, wszelkie przetwarzanie danych nie może być sprzeczne z zasadą zgodności przetwarzania z prawem i zasadą minimalizacji danych.

26.

W art. 6 RODO wyjaśniono znaczenie zasady zgodności przetwarzania danych z prawem. W zakresie, w jakim art. 6 ust. 1 tego rozporządzenia dopuszcza ograniczenie prawa do ochrony danych osobowych ( 8 ), spełnia on warunki określone w art. 52 ust. 1 Karty: rozpatrywane ograniczenie jest przewidziane ustawą i nie narusza istoty tego prawa. Ponadto ograniczenie to jest konieczne i odpowiada celowi interesu ogólnego uznawanemu przez Unię lub potrzebom ochrony praw i wolności innych osób ( 9 ).

27.

Prawodawca przewidział zatem sześć podstaw, na których przetwarzanie danych jest zgodne z prawem, doprecyzowując cele interesu ogólnego oraz prawa i wolności wymagające ochrony mogące uzasadniać ograniczenie prawa do ochrony danych osobowych. Artykuł 6 ust. 1 RODO przewiduje więc „wyczerpujący i zamknięty wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za zgodne z prawem” ( 10 ).

28.

Artykuł 6 ust. 1 RODO nie ustanawia ścisłej hierarchii podstaw ( 11 ), na których przetwarzanie danych należy uznać za zgodne z prawem. Trybunał określił w związku z tym w swoim orzecznictwie stosunki zachodzące między owymi podstawami.

29.

Po pierwsze, Trybunał przypomniał, że zgodnie z art. 6 ust. 1 lit. a) RODO „przetwarzanie danych osobowych jest zgodne z prawem, gdy – i w takim zakresie, w jakim – osoba, której dane dotyczą, wyraziła na to zgodę w określonym celu lub określonych celach”. Trybunał dodał, że „[w] braku takiej zgody […] takie przetwarzanie jest jednak uzasadnione, w sytuacji gdy spełnia ono jeden z wymogów dotyczących niezbędności, o których mowa w art. 6 ust. 1 […] lit. b)–f) tego rozporządzenia” ( 12 ). Ponadto orzekł on, że „[rozpatrywane] uzasadnienia […] ze względu na to, że pozwalają one na uznanie za zgodne z prawem przetwarzani[e] danych osobowych dokonywane […] w przypadku braku zgody osoby, której dane dotyczą, winny podlegać wykładni zawężającej” ( 13 ). Podstawy przetwarzania danych osobowych przewidziane w art. 6 ust. 1 tego rozporządzenia są wobec tego równoważne i żadnej z nich nie można uznać za pomocniczą w stosunku do drugiej.

30.

Po drugie, Trybunał zwrócił uwagę na niekumulatywny charakter uzasadnień przewidzianych w art. 6 ust. 1 RODO. Wskazał on zatem, że „jeżeli można stwierdzić, że przetwarzanie danych osobowych jest niezbędne w świetle jednego z przewidzianych w art. 6 ust. 1 […] lit. b)–f) RODO uzasadnień, nie ma potrzeby ustalania, czy przetwarzanie to wchodzi również w zakres innego z tych uzasadnień” ( 14 ). Innymi słowy, jak już wspomniałem przy innej okazji ( 15 ), przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest uzasadnione w oparciu o jedną podstawę, przy czym jednej podstawy nie można uznać za pomocniczą w stosunku do drugiej.

31.

Zasady zgodności przetwarzania z prawem określonej w art. 6 ust. 1 RODO nie można jednak analizować w oderwaniu od innych przepisów. Trybunał konsekwentnie orzeka, że warunek ten „należy badać łącznie z zasadą tzw. minimalizacji danych ustanowioną w art. 5 ust. 1 lit. c) [tego rozporządzenia]” ( 16 ). Zasada ta jest, zgodnie z orzecznictwem Trybunału i jak już podkreśliłem przy innej okazji ( 17 ), wyrazem zasady proporcjonalności ( 18 ), która wymaga, jak utrzymuje rząd francuski w swoich uwagach na piśmie, aby zastosowane środki były odpowiednie do realizacji zamierzonego celu i nie wykraczały poza to, co jest konieczne do jego osiągnięcia ( 19 ).

32.

Innymi słowy, zasada minimalizacji danych wymaga sprawdzenia, czy przetwarzane dane są odpowiednie do osiągnięcia celu, dla którego dane są przetwarzane – zgodnie z podstawami określonymi w art. 6 ust. 1 RODO – oraz czy dane są przetwarzane tylko wtedy, gdy celu przetwarzania nie można racjonalnie osiągnąć za pomocą innych środków. Zakres przetwarzanych w ten sposób danych, zarówno pod względem ilościowym, jak i merytorycznym, nie jest szerszy, niż jest to konieczne do osiągnięcia tego celu ( 20 ).

33.

Chciałbym poczynić dodatkową uwagę w tym względzie. Pragnę zauważyć, że Trybunał dokonał wykładni zasady minimalizacji danych w związku z zasadą zgodności przetwarzania z prawem jedynie w sytuacjach, w których rozpatrywane przetwarzanie opierało się na jednej z podstaw przewidzianych w art. 6 ust. 1 lit. b)–f) RODO. Innymi słowy, Trybunał nie wyjaśnił jasno, czy zasada minimalizacji danych ma zastosowanie również wtedy, gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Prawdą jest, że można by bronić poglądu, zgodnie z którym administrator może przetwarzać wszelkie dane, o ile dana osoba wyrazi na to zgodę, bez uszczerbku dla zasady minimalizacji.

34.

Jednakże taka wykładnia nie wydaje mi się zgodna ani z celem RODO, jakim jest zapewnienie wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych, ani z brzmieniem rozpatrywanych przepisów.

35.

Pragnę bowiem zauważyć, że art. 6 ust. 1 lit. a) RODO przewiduje zgodność przetwarzania z prawem, pod warunkiem że osoba, której dane dotyczą, „wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów” ( 21 ). W tym względzie chciałbym podkreślić, że zgoda oznacza „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli” ( 22 ). Innymi słowy, nie może tu chodzić o ogólną zgodę na przetwarzanie wszystkich danych. Ponadto osobę, której dane dotyczą, należy poinformować o celu, w jakim wyraża się zgodę na przetwarzanie danych. Artykuł 5 ust. 1 lit. c) tego rozporządzenia przewiduje natomiast, że przetwarzane dane są „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane” ( 23 ). W tych okolicznościach wydaje mi się, że zasada minimalizacji danych ma zastosowanie nawet w sytuacji, gdy przetwarzanie tych danych odbywa się za zgodą osoby, której dane dotyczą, i gdy prowadzi do sprawdzenia, czy rozpatrywane dane są rzeczywiście ograniczone do tego, co jest konieczne do realizacji konkretnego celu przetwarzania.

36.

To właśnie w kontekście tych rozważań należy zbadać dokonane przez spółkę SNCF Connect przetwarzanie danych w postaci wskazującego na płeć tytułu grzecznościowego jej klientów w świetle art. 6 ust. 1 lit. b) i f) RODO, przy czym należy doprecyzować, że sąd odsyłający odnosi się wyłącznie do tych dwóch celów przetwarzania.

37.

Artykuł 6 ust. 1 lit. b) RODO przewiduje, że przetwarzanie danych osobowych jest zgodne z prawem, jeżeli jest „niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”.

38.

W wyroku Meta Platforms i in. Trybunał wyjaśnił znaczenie tego przepisu. Orzekł on mianowicie, że „aby przetwarzanie danych osobowych zostało uznane za niezbędne do wykonania umowy w rozumieniu tego przepisu, musi być ono obiektywnie konieczne do osiągnięcia celu, który stanowi integralną część świadczenia umownego na rzecz osoby, której te dane dotyczą. Administrator musi zatem być w stanie wykazać, dlaczego główny cel umowy nie mógłby zostać osiągnięty bez rozpatrywanego przetwarzania” ( 24 ).

39.

Strony są zgodne co do tego, że główny cel umowy definiują jako dostarczenie dokumentu na przejazd, a ostatecznie przewóz klientów koleją. Należy zatem zweryfikować, po pierwsze, czy dane w postaci wskazującego na płeć tytułu grzecznościowego klienta są przetwarzane do osiągnięcia celu stanowiącego integralną część świadczenia usługi przewozu, a po drugie, czy przetwarzanie to jest obiektywnie niezbędne do osiągnięcia tego celu.

40.

Spółka SNCF Connect i rząd francuski podnoszą, że wykonanie umowy przewozu wymaga komunikowania się z klientem zarówno podczas dokonywania rezerwacji, jak i podczas przedmiotowej podróży oraz po jej zakończeniu, i wymaga znajomości wskazującego na płeć tytułu grzecznościowego tego klienta w celu komunikowania się z klientem w sposób zindywidualizowany i zgodnie z powszechnie przyjętymi zwyczajami w dziedzinie komunikacji handlowej.

41.

Spółka SNCF Connect dodaje, że przy wykonywaniu umowy przewozu ważne jest poznanie płci danej osoby, aby móc dostosować usługę w szczególnych przypadkach, takich jak pomoc dla osób o ograniczonej sprawności ruchowej lub dostęp do wagonów przeznaczonych dla kobiet w pociągach nocnych. W tym względzie pragnę zauważyć, że taki cel nie jest ściśle przedmiotem pierwszego pytania prejudycjalnego sformułowanego przez sąd odsyłający, które odnosi się wyraźnie do posługiwania się powszechnie przyjętymi zwyczajami w dziedzinie komunikacji handlowej. Jednakże z uwagi na to, że sąd odsyłający zwraca się do Trybunału w sposób bardziej ogólny z pytaniem dotyczącym zbierania danych w postaci wskazującego na płeć tytułu grzecznościowego w świetle zasad minimalizacji danych i zgodności przetwarzania z prawem, przystąpię do rozpatrzenia takiego argumentu.

42.

Jeśli chodzi o cel komunikowania się z klientem, jestem zdania, że należy go uznać za integralną część umowy przewozu. Taka umowa zakłada bowiem dostarczenie dokumentu na przejazd, a zatem skontaktowanie się z klientem w celu przekazania mu tego dokumentu. Wydaje mi się ponadto, że konieczność komunikowania się z klientem trwa nadal w trakcie realizacji przewozu, zwłaszcza w celu ostrzeżenia go o wszelkich zdarzeniach mających wpływ na jego podróż, oraz po dokonaniu przewozu, w szczególności w przypadku wymiany informacji z obsługą klienta na temat tej podróży.

43.

W tym względzie muszę wyjaśnić, że należy odrzucić wysunięty przez rząd francuski argument, zgodnie z którym celem przetwarzania danych jest nie tylko komunikowanie się z klientem, ale w szczególności komunikowanie się z klientem zgodnie ze zwyczajami panującymi w dziedzinie komunikacji handlowej. Po pierwsze, nie wydaje mi się, aby tak zdefiniowany cel stanowił integralną część świadczenia usługi przewozu: nic nie wskazuje na to, by nie można było dokonać jej realizacji przy braku komunikowania się zgodnie z powszechnie przyjętymi zwyczajami w dziedzinie komunikacji handlowej. Po drugie, argument ten opiera się na rozumowaniu cyrkularnym. Tak zdefiniowany cel przetwarzania danych – komunikowanie się zgodnie z powszechnie przyjętymi zwyczajami w dziedzinie komunikacji handlowej – miesza się bowiem ze środkami wykorzystywanymi do osiągnięcia tego celu – korzystaniem z powszechnie przyjętych zwyczajów w dziedzinie komunikacji handlowej.

44.

Jeśli chodzi o dostosowanie usługi przewozu do szczególnych przypadków wskazanych przez spółkę SNCF Connect, wydaje mi się również trudne do podważenia to, że stanowi ono integralną część tego świadczenia, ponieważ ma ono właśnie na celu zapewnienie jego realizacji.

45.

Jednakże nawet jeśli cele rozpatrywanego przetwarzania są moim zdaniem nierozłącznie związane ze świadczeniem usługi przewozu i mogą być dopuszczalne na podstawie art. 6 ust. 1 lit. b) RODO, przetwarzanie danych osobowych musi być jeszcze niezbędne do osiągnięcia przywołanego celu, tak aby głównego celu umowy nie można było osiągnąć bez tego przetwarzania i aby nie istniały inne praktyczne i mniej inwazyjne rozwiązania dla osiągnięcia tego samego celu.

46.

Tymczasem jestem zdania, że przetwarzanie danych w postaci wskazującego na płeć tytułu grzecznościowego wykracza poza to, co jest konieczne do prawidłowego wykonania umowy.

47.

W pierwszej kolejności, jeśli chodzi o cel komunikacji, prawidłowe wykonanie umowy przewozu nie może zależeć od wykorzystania wskazującego na płeć tytułu grzecznościowego w komunikacji spółki przewozowej ze swoimi klientami, nawet jeśli administrator zamierza komunikować się ze swoimi klientami w sposób zindywidualizowany. Spółka przewozowa może bowiem z łatwością komunikować się ze swoimi klientami, nie korzystając przy tym ze wskazującego na ich płeć tytułu grzecznościowego.

48.

Ponadto, chociaż spółka SNCF Connect podkreśliła na rozprawie konieczność ochrony wizerunku marki poprzez posługiwanie się powszechnie przyjętymi w komunikacji handlowej formułami, to jednak inne formuły świadczące o szacunku dla klienta niezależne od wskazującego na płeć tytułu grzecznościowego mogą równie dobrze pozwolić na osiągnięcie tego rezultatu.

49.

Jest tak tym bardziej, że – jak utrzymuje Mousse i z zastrzeżeniem dokonania weryfikacji przez sąd odsyłający – spółka SNCF Connect nie korzysta systematycznie w praktyce z powszechnie przyjętych zwyczajów w dziedzinie komunikacji handlowej, które wymagałyby poznania wskazującego na płeć tytułu grzecznościowego klientów, lecz używa innych, bardziej ogólnych formuł, takich jak „Dziękujemy, miłej podróży”, czy też „Dzień dobry”. Brak systematycznego posługiwania się wskazującym na płeć tytułem grzecznościowym klientów w komunikacji spółki SNCF Connect wydaje mi się wyraźnie wskazywać nie tylko na brak konieczności przetwarzania tych danych w celu wykonania rozpatrywanej umowy, ale również, w świetle zasady minimalizacji danych, na przetwarzanie danych w szerszym zakresie, niż jest to niezbędne.

50.

W tym samym duchu pragnę zauważyć, że zapytana o tę kwestię na rozprawie spółka SNCF Connect przyznała, iż rozmyślne podanie innego niż faktyczny wskazującego na płeć tytułu grzecznościowego danej osoby nie ma w rzeczywistości wpływu na świadczenie usługi przewozu. W tych okolicznościach należy uznać, że główny cel umowy można zawsze osiągnąć bez przetwarzania rozpatrywanych danych.

51.

W drugiej kolejności, co się tyczy celu dostosowania usługi przewozu, również w tym przypadku jestem zdania, że przetwarzanie danych w postaci wskazującego na płeć tytułu grzecznościowego wykracza poza to, co jest konieczne do jego realizacji. Po pierwsze, nie wydaje mi się, aby danymi osobowymi istotnymi dla umożliwienia takiego dostosowania były dane w postaci wskazującego na płeć tytułu grzecznościowego, które zdaniem rządu francuskiego nie stanowią elementu stanu cywilnego osób, lecz dane na temat płci klientów figurującej w akcie stanu cywilnego danej osoby. Po drugie, ten sam cel mógłby zostać osiągnięty poprzez zbieranie i przetwarzanie tych danych nie w odniesieniu do wszystkich zamówień dokumentów na przejazd, lecz jedynie w szczególnych przypadkach, które tego wymagają, takich jak zamawianie dokumentu na przejazd w celu odbycia podróży w wagonie przeznaczonym dla kobiet w pociągach nocnych lub prośba o pomoc dla osoby o ograniczonej sprawności ruchowej.

52.

W tych okolicznościach jestem zdania, że art. 6 ust. 1 lit. b) RODO i jego art. 5 ust. 1 lit. c) należy interpretować w ten sposób, że systematycznego przetwarzania danych w postaci wskazującego na płeć tytułu grzecznościowego nie można uznać za niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, jeżeli przetwarzanie to ma na celu umożliwienie zindywidualizowanej komunikacji handlowej poprzez zapewnienie poszanowania powszechnie przyjętych zwyczajów w komunikacji handlowej lub zapewnienie dostosowania usługi przewozu ze względu na płeć osoby, której dane dotyczą.

53.

Artykuł 6 ust. 1 lit. f) RODO stanowi, że przetwarzanie danych osobowych jest zgodne z prawem w zakresie, w jakim jest „niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem”.

54.

Zgodnie z utrwalonym orzecznictwem Trybunału z przepisu tego wynika, iż aby przetwarzanie danych osobowych, którego ten przepis dotyczy, było zgodne z prawem, muszą zostać spełnione łącznie trzy przesłanki. Po pierwsze, administrator lub osoba trzecia muszą realizować prawnie uzasadniony interes. Po drugie, przetwarzanie danych osobowych musi być niezbędne do realizacji prawnie uzasadnionego interesu. Po trzecie, interesy lub podstawowe prawa i wolności osoby, której ochrona danych dotyczy, nie mogą mieć pierwszeństwa przed prawnie uzasadnionym interesem administratora lub strony trzeciej ( 25 ).

55.

Co się tyczy pierwszej przesłanki dotyczącej realizacji prawnie uzasadnionego interesu, Trybunał podkreślił w wyroku Meta Platforms i in., że „zgodnie z art. 13 ust. 1 lit. d) RODO administrator podczas pozyskiwania danych osobowych od osoby, której dane dotyczą, winien poinformować ją, jeżeli to przetwarzanie odbywa się na podstawie art. 6 ust. 1 […] lit. f) tego rozporządzenia, o realizowanych prawnie uzasadnionych interesach” ( 26 ). Trybunał orzekł zatem w tym samym wyroku, że ten ostatni przepis należy interpretować w ten sposób, że przetwarzanie danych osobowych „może zostać uznane za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu jedynie pod warunkiem, że operator ten wskazał użytkownikom, od których dane zostały pozyskane, prawnie uzasadniony interes, do którego realizacji służy przetwarzanie tych danych” ( 27 ).

56.

Innymi słowy, niedopełnienie obowiązku informacyjnego przewidzianego w art. 13 ust. 1 lit. d) RODO powoduje, że przetwarzanie rozpatrywanych danych osobowych jest niezgodne z prawem.

57.

Tymczasem, jak podnosi Komisja i z zastrzeżeniem dokonania weryfikacji przez sąd odsyłający, wydaje mi się, że spółka SNCF Connect nie wywiązała się z tego obowiązku.

58.

Jak podkreśla Komisja, spółka SNCF Connect wymienia w swojej „polityce prywatności” dostępnej na jej stronie internetowej podstawę prawną przetwarzania danych w postaci wskazującego na płeć tytułu grzecznościowego jako „prawnie uzasadniony interes”. W tym względzie sformułuję dwie uwagi. Po pierwsze, sama wzmianka o prawnie uzasadnionym interesie, bez dokładnego określenia, na czym ten prawnie uzasadniony interes polega, nie może czynić zadość obowiązkowi informacyjnemu określonemu w art. 13 ust. 1 lit. d) RODO, który nakłada na administratora obowiązek wskazania realizowanego prawnie uzasadnionego interesu. Po drugie, w każdym razie, wzmianka o prawnie uzasadnionym interesie w sposób ogólny w „polityce prywatności”, która jest z pewnością dostępna na stronie internetowej administratora, ale którą klient musi dobrowolnie wyszukać, również nie jest zgodna z art. 13 ust. 1 lit. d) tego rozporządzenia. Przepis ten wymaga bowiem poinformowania osoby, której dane dotyczą, o prawnie uzasadnionym interesie realizowanym w momencie zbierania danych, co zakłada moim zdaniem, że taka informacja jest podawana bezpośrednio do wiadomości klienta, gdy ten przekazuje dotyczące go dane.

59.

Ponadto spółka SNCF Connect, zapytana o obowiązek informacyjny w trakcie rozprawy, nie była w stanie wskazać, że jej klienci są rzeczywiście informowani w momencie zbierania danych w postaci wskazującego na płeć tytułu grzecznościowego o realizowanym poprzez to przetwarzanie prawnie uzasadnionym interesie.

60.

W związku z tym pierwsza przesłanka z art. 6 ust. 1 lit. f) RODO, dotycząca istnienia prawnie uzasadnionego interesu, interpretowana w świetle obowiązku poinformowania o tym interesie, przewidzianym w art. 13 ust. 1 lit. d) tego rozporządzenia, nie została spełniona. Dlatego też przetwarzania w takiej sytuacji danych w postaci wskazującego na płeć tytułu grzecznościowego nie można uznać za zgodne z prawem w rozumieniu tego przepisu, bez potrzeby zbadania, czy spełnione są dwie pozostałe przesłanki przewidziane w art. 6 ust. 1 lit. f) wspomnianego rozporządzenia.

61.

Z powyższego wynika moim zdaniem, że art. 6 ust. 1 lit. f) RODO i jego art. 5 ust. 1 lit. c) należy interpretować w ten sposób, że przetwarzania danych w postaci wskazującego na płeć tytułu grzecznościowego klientów spółki przewozowej nie można uznać za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu, ponieważ spółka ta nie wskazała użytkownikom, od których dane zostały pozyskane, prawnie uzasadnionego interesu, którego realizacji służy przetwarzanie tych danych.

62.

Dla pełności wywodu i na wypadek, gdyby Trybunał doszedł do wniosku, że rozpatrywany prawnie uzasadniony interes został podany do wiadomości zgodnie z art. 13 ust. 1 lit. d) RODO, będę jednak kontynuował analizę przesłanek, jakie muszą zostać spełnione, aby przetwarzanie danych osobowych zostało uznane za zgodne z prawem na podstawie art. 6 ust. 1 lit. f) tego rozporządzenia.

63.

Co się tyczy w pierwszej kolejności przesłanki dotyczącej istnienia prawnie uzasadnionego interesu, spółka SNCF Connect i rząd francuski podnoszą, że realizowanym prawnie uzasadnionym interesem jest komunikacja z klientem.

64.

Pragnę zauważyć, że Trybunał orzekł w odniesieniu do pojęcia „prawnie uzasadnionego interesu”, iż „w braku definicji tego pojęcia w RODO należy podkreślić […], że za zgodny z prawem można co do zasady uznać szeroki wachlarz interesów” ( 28 ).

65.

W tym względzie przypominam, że spółka SNCF Connect jest przedsiębiorstwem oferującym sprzedaż online dokumentów na przejazd koleją. Jak już wspomniałem ( 29 ), usługa ta zakłada nawiązanie kontaktu z klientem, przynajmniej w celu przekazania mu dokumentu na przejazd. Wydaje mi się zatem, że cel komunikacji z klientem może stanowić prawnie uzasadniony interes tego przedsiębiorstwa w rozumieniu art. 6 ust. 1 lit. f) RODO, w związku z czym pierwszą przesłankę, dotyczącą istnienia takiego prawnie uzasadnionego interesu, należy moim zdaniem uznać za spełnioną.

66.

Co się tyczy w drugiej kolejności przesłanki odnoszącej się do niezbędności przetwarzania danych osobowych dla realizacji prawnie uzasadnionego interesu, to nie wydaje mi się ona spełniona. Jak wykazałem w ramach analizy art. 6 ust. 1 lit. b) RODO, przetwarzanie danych w postaci wskazującego na płeć tytułu grzecznościowego wykracza poza to, co jest konieczne do osiągnięcia celu komunikacji z klientem, ponieważ komunikacja ta może mieć miejsce bez wykorzystania tych danych ( 30 ).

67.

Jeżeli chodzi w trzeciej i ostatniej kolejności o przesłankę dotyczącą tego, aby interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie miały pierwszeństwa przed prawnie uzasadnionym interesem administratora danych lub osoby trzeciej, to pragnę podkreślić, że Trybunał orzekł, że „wiąże się ona z wyważeniem rozpatrywanych przeciwstawnych praw i interesów, co jest co do zasady uzależnione od konkretnych okoliczności danego przypadku, w związku z czym dokonanie tego wyważenia, z uwzględnieniem tych szczególnych okoliczności, należy do sądu odsyłającego ( 31 ). Przedstawię jednak kilka uwag, które pomogą sądowi odsyłającemu w dokonaniu tej oceny.

68.

Trybunał orzekł mianowicie, że „[w] kontekście tego wyważania wchodzących w grę i przeciwstawnych praw i interesów, a mianowicie praw i interesów administratora z jednej strony oraz praw i interesów osoby, której dane dotyczą, z drugiej strony, należy wziąć pod uwagę […] w szczególności racjonalne oczekiwania osoby, której dane dotyczą, oraz zakres przedmiotowej operacji przetwarzania i jej wpływ na tę osobę” ( 32 ).

69.

Ponadto z motywu 47 RODO wynika, że „[a]by stwierdzić istnienie prawnie uzasadnionego interesu, należałoby […] przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu”.

70.

W tym względzie nie dostrzegam, w jakim zakresie klient przedsiębiorstwa przewozowego mógł racjonalnie oczekiwać, że jego dane w postaci wskazującego na płeć tytułu grzecznościowego będą przez to przedsiębiorstwo przetwarzane w celu komunikowania się z nim w ramach usługi nabywania dokumentu na przejazd.

71.

W każdym razie nie sądzę, aby samo istnienie racjonalnych oczekiwań wystarczyło do zapewnienia, że prawnie uzasadniony interes administratora danych ma pierwszeństwo przed interesami lub wolnościami i podstawowymi prawami osoby, której dane dotyczą. Chociaż taki element jest z pewnością istotny w kontekście wyważenia, które należy przeprowadzić, nie może on natomiast systematycznie prowadzić do wniosku, że prawnie uzasadniony interes administratora danych ma pierwszeństwo, w szczególności gdy przetwarzanie przedmiotowych danych osobowych może naruszać zagwarantowane w Karcie podstawowe prawo lub wolność osoby, której dane dotyczą.

72.

Tymczasem, jak utrzymuje Mousse, wydaje mi się, że tak jest w tym przypadku. Stowarzyszenie to podnosi bowiem, że istnieje ryzyko dyskryminacji ze względu na płeć, z uwagi na przetwarzanie danych w postaci wskazującego na płeć tytułu grzecznościowego, w szczególności w odniesieniu do osób transpłciowych lub osób mających obywatelstwo państwa uznającego płeć neutralną.

73.

W tych okolicznościach, i z zastrzeżeniem dokonania weryfikacji przez sąd odsyłający, jestem zdania, że prawnie uzasadniony interes w komunikacji z klientem nie może mieć pierwszeństwa przed interesami lub wolnościami i podstawowymi prawami osoby, której dane dotyczą.

74.

Poprzez drugie pytanie prejudycjalne sąd odsyłający dąży w istocie do ustalenia, czy art. 6 ust. 1 lit. f) RODO należy interpretować w ten sposób, że do celów oceny niezbędności przetwarzania danych osobowych w rozumieniu tego przepisu należy uwzględnić ewentualne istnienie prawa do sprzeciwu przysługującego osobie, której dane dotyczą, na podstawie art. 21 ust. 1 tego rozporządzenia.

75.

Artykuł 21 ust. 1 RODO przewiduje, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

76.

Zgodnie z utrwalonym orzecznictwem przy dokonywaniu wykładni przepisu prawa Unii należy uwzględniać nie tylko jego brzmienie, lecz także jego kontekst oraz cele regulacji, której część on stanowi ( 33 ).

77.

W odniesieniu do brzmienia art. 21 ust. 1 RODO pragnę zauważyć, że prawodawca Unii podkreśla, iż prawo do sprzeciwu dotyczy przetwarzania danych osobowych opartego między innymi na art. 6 ust. 1 lit. f) tego rozporządzenia. Innymi słowy, jak podnoszą Mousse i Komisja, prawo do sprzeciwu zakłada istnienie zgodnego z prawem przetwarzania, opartego w szczególności na prawnie uzasadnionym interesie administratora. Z prawa tego można zatem skorzystać dopiero po zakończeniu zgodnego z prawem przetwarzania danych, aby doprowadzić do jego zaprzestania.

78.

Znajduje to moim zdaniem potwierdzenie w drugiej części art. 21 ust. 1 RODO, który przewiduje, że w przypadku wniesienia sprzeciwu na podstawie tego przepisu przez osobę, której dane dotyczą, administratorowi nie wolno już przetwarzać przedmiotowych danych ( 34 ). Moim zdaniem sformułowanie to wyraźnie sugeruje, że przetwarzanie przedmiotowych danych jest zgodne z prawem na warunkach określonych w art. 6 ust. 1 lit. f) tego rozporządzenia, lecz po wniesieniu sprzeciwu dane te nie mogą być już przedmiotem takiego przetwarzania.

79.

Innymi słowy, art. 21 ust. 1 RODO ma zastosowanie dopiero po ustaleniu zgodności przetwarzania z prawem.

80.

Z brzmienia art. 21 ust. 1 RODO wynika zatem, że istnienie prawa do sprzeciwu nie jest w żaden sposób istotne dla oceny niezbędności takiego przetwarzania na podstawie art. 6 ust. 1 lit. f) tego rozporządzenia, ponieważ wdrożenie art. 21 ust. 1 wspomnianego rozporządzenia zakłada, że przesłanki określone w art. 6 ust. 1 lit. f) tego rozporządzenia zostały już spełnione.

81.

Taka literalna wykładnia art. 21 ust. 1 RODO znajduje ponadto potwierdzenie w jego analizie w świetle kontekstu i celów tego rozporządzenia.

82.

Jeżeli chodzi o wykładnię kontekstualną tego przepisu, pragnę zauważyć, że podstawy, na których może opierać się przetwarzanie danych osobowych, zostały określone w art. 6 RODO, który odnosi się do zasady zgodności przetwarzania z prawem, w rozdziale II tego rozporządzenia, dotyczącym zasad regulujących przetwarzanie danych. Natomiast art. 21 wspomnianego rozporządzenia znajduje się w rozdziale III, dotyczącym praw osoby, której dane dotyczą. Ponadto, jak już podkreśliłem, podstawy określone w art. 6 tego rozporządzenia są, zgodnie z utrwalonym orzecznictwem, wyczerpujące ( 35 ). W tych okolicznościach oba przedmiotowe przepisy pełnią dwie różne funkcje i nie można uznać, że art. 21 dyrektywy w sprawie ochrony danych osobowych można brać pod uwagę przy badaniu zgodności przetwarzania z prawem, które jest regulowane wyłącznie przez art. 6 tego rozporządzenia.

83.

Co się tyczy wykładni celowościowej art. 6 ust. 1 lit. f) i art. 21 RODO, uwzględnienie istnienia prawa do sprzeciwu do celów oceny zgodności przetwarzania danych z prawem na podstawie art. 6 tego rozporządzenia sprowadzałoby się do uznania zgodności przetwarzania danych z prawem wyłącznie ze względu na możliwość późniejszego sprzeciwienia się temu przetwarzaniu przez osobę, której dane dotyczą. Prowadziłoby to zatem do rozszerzenia podstaw zgodnego z prawem przetwarzania poza jedyne przypadki przewidziane w art. 6 wspomnianego rozporządzenia oraz do uzależnienia poziomu ochrony osób, których dane dotyczą, od dołożenia przez nie staranności w wyrażaniu sprzeciwu wobec przetwarzania ich danych osobowych, bez którego przetwarzanie to mogłoby zostać uznane za zgodne z prawem. Dlatego taka wykładnia wydaje mi się naruszać cel polegający na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych.

84.

W związku z tym jestem zdania, że na drugie pytanie prejudycjalne należy odpowiedzieć, iż art. 6 ust. 1 lit. f) RODO należy interpretować w ten sposób, że stoi on na przeszkodzie temu, aby w celu dokonania oceny niezbędności przetwarzania danych osobowych w rozumieniu tego przepisu uwzględniać istnienie ewentualnego prawa do sprzeciwu przysługującego osobie, której dane dotyczą, na podstawie art. 21 ust. 1 tego rozporządzenia.

85.

W świetle całości powyższych rozważań proponuję Trybunałowi, by na pytania prejudycjalne przedstawione przez Conseil d’État (radę stanu, Francja) odpowiedział następująco:

Artykuł 6 ust. 1 lit. b) i art. 5 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

systematycznego przetwarzania danych w postaci wskazującego na płeć tytułu grzecznościowego nie można uznać za niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, jeżeli przetwarzanie to ma na celu umożliwienie zindywidualizowanej komunikacji handlowej poprzez zapewnienie poszanowania powszechnie przyjętych zwyczajów w komunikacji handlowej lub zapewnienie dostosowania usługi przewozu ze względu na płeć osoby, której dane dotyczą.

Artykuł 6 ust. 1 lit. f) i art. 5 ust. 1 lit. c) rozporządzenia 2016/679

należy interpretować w ten sposób, że:

przetwarzania danych w postaci wskazującego na płeć tytułu grzecznościowego klientów spółki przewozowej nie można uznać za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w rozumieniu tego przepisu, ponieważ spółka ta nie wskazała użytkownikom, od których dane zostały pozyskane, prawnie uzasadnionego interesu, do którego realizacji służy przetwarzanie tych danych.

Artykuł 6 ust. 1 lit. f) rozporządzenia 2016/679

należy interpretować w ten sposób, że:

stoi on na przeszkodzie temu, aby w celu dokonania oceny niezbędności przetwarzania danych osobowych w rozumieniu tego przepisu, uwzględniać istnienie ewentualnego prawa do sprzeciwu przysługującego osobie, której dane dotyczą, na podstawie art. 21 ust. 1 tego rozporządzenia.