1.

Aký je obsah a rozsah práva priznaný dotknutej osoby, ktorá získa prístup k svojim osobným údajom, ktoré sa spracúvajú, získať kópiu týchto údajov, ako je stanovené v článku 15 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) ( 2 ) (ďalej len „GDPR“)? Aký je význam pojmu „kópia“ a aký je vzťah tohto práva získať kópiu osobných údajov, ktoré sa spracúvajú s právom na prístup podľa odseku 1 tohto článku?

2.

To sú v podstate hlavné otázky, ktoré vznikli vo veci, ktorá je predmetom týchto návrhov a ktorá sa týka návrhu na začatie prejudiciálneho konania podaného Bunsdesverwaltungsgericht (Spolkový správny súd, Rakúsko) v súvislosti s výkladom článku 15 ods. 3 GDPR.

3.

Tento návrh bol podaný v rámci sporu medzi pánom F.F. a Österreichische Datenschutzbehörde (Úrad pre ochranu osobných údajov, Rakúsko) o zákonnosť zamietnutia žiadosti F.F. týmto úradom na uloženie povinnosti obchodnej poradenskej agentúre, ktorá spracúvala jeho osobné údaje, poskytnúť dokumenty a výňatky z databázy obsahujúcej tieto osobné údaje.

4.

Táto vec poskytuje Súdnemu dvoru príležitosť prvýkrát vyložiť ustanovenie článku 15 ods. 3 GDPR a vysvetliť spôsoby uplatnenia práva na prístup k vlastným osobným údajom, ktoré sa spracúvajú, ako je stanovené v článku 15 GDPR.

5.

V odôvodnení 63 GDPR sa uvádza:

„Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré boli o nej získané, a uvedené právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. K tomu patrí aj právo dotknutých osôb na prístup k údajom týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania osobných údajov, podľa možnosti o dobe spracúvania osobných údajov, o príjemcoch osobných údajov, o postupe v každom automatickom spracúvaní osobných údajov a aspoň v prípadoch, v ktorých sa spracúvanie opiera o profilovanie, o následkoch takéhoto spracúvania. Ak je to možné, prevádzkovateľ by mal môcť poskytnúť prístup na diaľku k bezpečnému systému, ktorý by dotknutej osobe zabezpečil priamy prístup k jej osobným údajom. Uvedené právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru. Výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe…“

6.

V článku 4 bodoch 1 a 2 GDPR sa stanovuje:

„Na účely tohoto nariadenia:

7.

V článku 12 ods. 1 GDPR s názvom „Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby“ sa stanovuje:

„Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Na požiadanie dotknutej osoby sa informácie môžu poskytnúť ústne za predpokladu, že sa totožnosť dotknutej osoby preukáže iným spôsobom.“

8.

V článku 15 GDPR s názvom „Právo dotknutej osoby na prístup k údajom“ sa stanovuje:

„1.   „Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

…

3.   Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4.   Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a slobody iných.“

9.

CRIF GmbH je obchodná poradenská agentúra, ktorá na žiadosť svojich klientov poskytuje informácie o platobnej schopnosti tretích osôb. Na tento účel spracovala osobné údaje navrhovateľa v konaní vo veci samej pred vnútroštátnym súdom.

10.

Navrhovateľ sa 20. decembra 2018 obrátil na uvedenú agentúru, aby okrem iného získal informácie o svojich osobných údajoch, ktoré sa spracúvajú podľa článku 15 GDPR, pričom žiadal najmä o poskytnutie kópie týchto údajov v bežnom technickom formáte.

11.

V nadväznosti na túto žiadosť agentúra poskytla časť vyžiadaných informácií v súhrnnej podobe, pričom údaje uložené k osobe navrhovateľa v konaní vo veci samej podala na jednej strane v tabuľke rozdelenej podľa mena, dátumu narodenia, ulice, smerovacieho čísla a mesta a na druhej strane v prehľade týkajúcom sa podnikateľských pozícií a oprávnení na zastupovanie. Ďalšie dokumenty ako emaily alebo výňatky z databázy neposkytla.

12.

Dňa16. januára 2019 navrhovateľ v konaní vo veci samej podal sťažnosť na Österreichische Datenschutzbehörde (Úrad pre ochranu osobných údajov), v ktorej tvrdil, že odpoveď na jeho žiadosť bola neúplná, a najmä, že prevádzkovateľ mu mal zaslať kópiu všetkých dokumentov vrátane e‑mailov a výňatkov z databáz obsahujúcich jeho osobné údaje.

13.

Rozhodnutím z 11. septembra 2019 vyššie uvedený orgán sťažnosť zamietol, pričom sa domnieval, že prevádzkovateľ sa nedopustil žiadneho porušenia jeho práva na prístup k osobným údajom.

14.

Vnútroštátny súd, ktorý rozhoduje o opravnom prostriedku proti tomuto rozhodnutiu, má pochybnosti o rozsahu práva dotknutej osoby získať kópiu spracúvaných osobných údajov zaručeného v článku 15 ods. 3 prvej vete GDPR.

15.

Vnútroštátny súd musí rozhodnúť, či poskytnutie osobných údajov navrhovateľa v konaní vo veci samej vo forme tabuľky a prehľadu v odpovedi agentúry na žiadosť o prístup bolo v súlade s požiadavkami článku 15 ods. 3 GDPR, alebo či podľa tohto ustanovenia má navrhovateľ právo získať kópiu svojich osobných údajov, ktoré sa spracúvajú, nie v dekontextualizovanej podobe, ale vo forme kópií alebo výňatkov z prípadnej korešpondencie či obsahu databáz a podobnej dokumentácie.

16.

V tejto súvislosti vnútroštátny súd po prvé žiada o objasnenie presného významu pojmu „kópia“ osobných údajov, ktoré sa spracúvajú, uvedeného v článku 15 ods. 3 prvej vete GDPR.

17.

Po druhé sa vnútroštátny súd pýta, či ustanovenie článku 15 ods. 3 GDPR predstavuje spresnenie všeobecného práva na prístup podľa odseku 1 tohto článku, ktorý stanovuje spôsob, akým musí dotknutá osoba získať prístup k svojim osobným údajom, ktoré sa spracúvajú, alebo či toto ustanovenie nad rámec uvedeného práva na prístup podľa odseku 1 stanovuje vlastný, samostatný právny nárok na fotokópiu, faksimile, výtlačok alebo elektronický výňatok z databázy, respektíve kópiu všetkých dokumentov a podkladov, v ktorých sa nachádzajú osobné údaje dotknutej osoby.

18.

Po tretie v prípade reštriktívneho výkladu článku 15 ods. 3 prvej vety GDPR v tom zmysle, že pojem „kópia“ nestanovuje existenciu práva na poskytnutie fotokópií, dokumentov alebo výňatkov z databázy, si vnútroštátny súd kladie otázku, či napriek tomu vzhľadom na možné rôzne druhy údajov, ktoré sa môžu spracovať, a na zásadu transparentnosti stanovenú v článku 12 ods. 1 GDPR nie je možné, aby v niektorých prípadoch v závislosti od druhu spracúvaných údajov existovala povinnosť prevádzkovateľa v každom prípade poskytnúť časti textu alebo kópie dokumentov.

19.

Po štvrté a nakoniec sa vnútroštátny súd pýta, či pojem „informácie“ uvedený v článku 15 ods. 3 tretej vete GDPR, sa týka len „osobných údajov, ktoré sa spracúvajú“ a ktoré sú uvedené v prvej vete tohto ustanovenia, alebo ide nad ich rámec a zahŕňa aj informácie podľa článku 15 ods. 1 písm. a) až h) GDPR, alebo ešte ďalej, či teda zahŕňa napríklad tiež metaúdaje týkajúce sa údajov.

20.

Za týchto okolností Bundesverwaltungsgericht (Spolkový správny súd, Rakúsko) rozhodol konanie prerušiť a Súdnemu dvoru položiť tieto prejudiciálne otázky:

21.

Svojimi prvými tromi prejudiciálnymi otázkami, ktoré by sa podľa môjho názoru mali posudzovať spoločne, vnútroštátny súd kladie Súdnemu dvoru tri otázky na určenie rozsahu pôsobnosti ustanovenia článku 15 ods. 3 prvej vety GDPR, podľa ktorého „prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú“.

22.

Cieľom prvej otázky je určiť presný zmysel pojmu „kópia“ uvedeného v tomto ustanovení. Cieľom druhej otázky je objasniť rozsah práva, ktoré sa dotknutej osobe týmto ustanovením priznáva. Vnútroštátny súd si kladie najmä otázku, či toto ustanovenie priznáva aj právo získať kópiu dokumentov – alebo výňatkov z databázy –, v ktorých sú spracúvané osobné údaje alebo sa obmedzuje iba na priznanie práva získať vernú reprodukciu originálu osobných údajov, ktoré sa spracúvajú. V tomto poslednom prípade je cieľom tretej otázky zistiť, či v závislosti od druhu spracúvaných údajov a na základe zásady transparentnosti môže byť v niektorých prípadoch napriek tomu potrebné poskytnúť aj časti textu alebo celé dokumenty.

23.

Z návrhu na začatie prejudiciálneho konania vyplýva, že rozsah pôsobnosti ustanovenia článku 15 ods. 3 prvej vety GDPR je sporný tak v doktríne, ako aj v judikatúre vnútroštátnych súdov, prinajmenšom v Rakúsku a Nemecku. ( 4 ) Z tohto návrhu vyplýva, že v tejto súvislosti existujú dve protichodné teórie: na jednej strane reštriktívne chápanie sporného ustanovenia, podľa ktorého toto ustanovenie len spresňuje spôsoby práva na prístup a neznamená žiadne samostatné právo na získanie dokumentov, alebo podobne a na druhej strane široké chápanie, podľa ktorého toto ustanovenie naopak priznáva právo získať kópiu dokumentov alebo iných nosičov, na ktorých sa osobné údaje spracúvajú. V druhom prípade by právo získať kópiu dokumentov predstavovalo samostatné právo vo vzťahu k právu na prístup, ktorý je zaručený v článku 15 ods. 1 GDPR. Spornú povahu rozsahu pôsobnosti dotknutého ustanovenia potvrdzuje skutočnosť, že aj účastníci konania, ktorí predložili svoje vyjadrenia pred Súdnym dvorom, zaujali k nemu rozdielne názory. ( 5 )

24.

Za týchto okolností, aby bolo možné poskytnúť odpoveď na prvé tri prejudiciálne otázky položené vnútroštátnym súdom, treba pristúpiť k výkladu ustanovenia článku 15 ods. 3 prvej vety GDPR.

25.

V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry Súdneho dvora treba na účely výkladu ustanovenia práva Únie zohľadniť nielen jeho znenie, ale aj jeho kontext a ciele sledované právnou úpravou, ktorej je súčasťou. ( 6 )

26.

Okrem toho, keďže ustanovenia nariadenia GDPR upravujú spracúvanie osobných údajov, ktoré môže viesť k porušeniu základných slobôd a predovšetkým práva na rešpektovanie súkromného života, sa musia nevyhnutne vykladať s prihliadnutím na základné práva zaručené Chartou. ( 7 )

27.

Pokiaľ ide predovšetkým o znenie ustanovenia článku 15 ods. 3 prvej vety GDPR, treba poznamenať, že ustanovenie priznáva dotknutej osobe právo získať od prevádzkovateľa „kópiu osobných údajov, ktoré sa spracúvajú“. Z gramatického hľadiska sa toto znenie vzťahuje na tri rôzne pojmy, a to: pojem „kópia“, pojem „osobné údaje“ a pojem „ktoré sa spracúvajú“.

28.

Pokiaľ ide po prvé o pojem „kópia“, ktorého rozsah je konkrétne predmetom prvej prejudiciálnej otázky, treba uviesť, že ako uviedli viacerí účastníci konania, ktorí predložili pred Súdnym dvorom vyjadrenia, GDPR neobsahuje žiadnu osobitnú definíciu tohto pojmu.

29.

V tejto súvislosti z ustálenej judikatúry vyplýva, že určenie významu a rozsahu pojmov, ktoré nie sú v práve Únie definované, sa musí vykonať podľa ich obvyklého významu v bežnom jazyku, pričom sa zároveň zohľadnia súvislosti, v ktorých sa používajú, ako aj účel sledovaný právnou úpravou, v ktorej sa nachádzajú. ( 8 )

30.

Z čisto terminologického hľadiska v bežnom jazyku pojem „kópia“ označuje verné rozmnožovanie alebo prepísanie originálu. ( 9 ) Analýza rôznych jazykových verzií GDPR navyše ukazuje, že vo väčšine ostatných úradných jazykov Únie sa používa výraz zodpovedajúci talianskemu pojmu „copia“, ako napríklad „copy“ v angličtine, „Kopie“ v nemčine, „copie“ vo francúzštine alebo „copia“ v španielčine. ( 10 )

31.

V predmetnom ustanovení sa navyše výslovne uvádza, že kópia, ktorú je prevádzkovateľ povinný poskytnúť dotknutej osobe, je kópia „osobných údajov“, ktoré sa spracúvajú.

32.

V tejto súvislosti a po druhé treba uviesť, že na rozdiel od pojmu „kópia“ GDPR obsahuje výslovnú definíciu pojmu „osobné údaje“ v článku 4 bode 1 tohto nariadenia, podľa ktorého sú osobnými údajmi „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby“.

33.

Rozsah pojmu „osobné údaje“ vyplývajúci z tejto definície je veľmi široký. Ako totiž vyplýva z judikatúry Súdneho dvora, použitie výrazu „akákoľvek informácia“ v rámci tejto definície odzrkadľuje cieľ normotvorcu Únie priznať tomuto pojmu široký význam. ( 11 )

34.

Z judikatúry tiež vyplýva, že pojem osobné údaje sa neobmedzuje len na informácie, ktoré sú citlivé alebo patria do súkromnej sféry, ale potenciálne zahŕňa všetky druhy informácií, a to tak objektívne, ako aj subjektívne vo forme názoru alebo hodnotení pod podmienkou, že sa „týkajú“ dotknutej osoby. Pokiaľ ide o túto poslednú podmienku, je splnená v prípade, že táto informácia z dôvodu svojho obsahu, účelu alebo účinku súvisí s určitou osobou. ( 12 )

35.

Široký význam pojmu „osobné údaje“ je okrem toho potrebný vzhľadom na rozmanitosť druhov a foriem, ktoré môžu mať informácie týkajúce sa osoby a ktoré môžu byť hodné ochrany, ako aj vzhľadom na rozmanitosť nosičov, na ktorých môžu byť tieto informácie obsiahnuté.

36.

Analýza judikatúry ukazuje, že Súdny dvor považoval rôzne druhy informácií týkajúcich sa identifikovanej alebo identifikovateľnej fyzickej osoby za informácie spadajúce pod pojem „osobné údaje“ podľa článku 4 ods. 1 GDPR. Okrem tých, ktoré Komisia vo svojom vyjadrení definovala ako „bežné údaje“, t. j. údaje týkajúce sa totožnosti osôb ako meno a priezvisko, ( 13 ) dátum narodenia, štátna príslušnosť, pohlavie, etnická príslušnosť, vierovyznanie a jazyk, ktorým hovorí osoba identifikovateľná podľa svojho mena, ( 14 ) Súdny dvor stanovil, že pod pojem osobné údaje spadajú aj ďalšie druhy informácií, ako napríklad informácie týkajúce sa motorového vozidla ponúkaného na predaj a telefónne číslo predajcu tohto vozidla ( 15 ) alebo údaje nachádzajúce sa v záznamoch o pracovnom čase, v ktorých sa pri jednotlivých pracovníkoch uvádzajú denné pracovné doby, ako aj doby odpočinku, ( 16 ) obraz osoby zaznamenaný prostredníctvom kamery, keďže umožňuje identifikovať dotknutú osobu, ( 17 ) písomné odpovede uchádzača na odbornej skúške a prípadné poznámky skúšajúceho ( 18 ) či informácie týkajúce sa pokutových bodov, ktoré sa vzťahujú na identifikovanú fyzickú osobu ( 19 ).

37.

Široký význam pojmu osobné údaje vyplývajúci z definície v článku 4 bode 1 GDPR, uznaný judikatúrou a spojený s cieľom sledovaným GDPR, ktorým je zabezpečiť vysokú úroveň ochrany fyzických osôb pri spracúvaní osobných údajov, ( 20 ) znamená, že sa tento pojem a teda právo na prístup k týmto údajom a na získanie ich kópie neobmedzuje výlučne na údaje, ktoré mohol prevádzkovateľ získať, uchovávať a spracovávať, ale musí zahŕňať aj všetky ďalšie údaje, ktoré mohol prevádzkovateľ v dôsledku spracúvania vytvoriť, ak sú tiež spracúvané.

38.

Ak teda v dôsledku spracúvania radu osobných údajov vzniknú nové informácie vyplývajúce z tohto spracúvania, ktoré sa týkajú identifikovanej alebo identifikovateľnej osoby a ktoré možno považovať za osobné údaje v zmysle článku 4 bodu 1 GDPR, musí sa podľa môjho názoru právo na prístup k osobným údajom a na získanie ich kópie stanovené v článku 15 ods. 1 a v článku 15 ods. 3 prvej vete GDPR vzťahovať aj na takto vzniknuté údaje, pokiaľ sa tieto údaje samy spracúvajú. Právo na prístup k údajom a na získanie ich kópie totiž zahŕňa všetky osobné údaje dotknutej osoby, ktoré sa spracúvajú.

39.

Tieto úvahy sú relevantné v takej veci, akou je vec prejednávaná vnútroštátnym súdom, v ktorej sa zdá, že obchodná poradenská agentúra vypracovala na základe údajov zhromaždených z rôznych zdrojov odporúčanie s ohľadom na platobnú schopnosť a spôsobilosť dotknutej osoby platiť, a to podľa štatistickej pravdepodobnosti spojenej s radom parametrov. Takéto odporúčanie podľa môjho názoru predstavuje informácie týkajúce sa identifikovanej osoby, ktoré teda spadajú pod široký význam pojmu „osobné údaje“ podľa článku 4 bodu 1 GDPR, a teda aj pod rozsah práva na prístup podľa článku 15 ods. 1 a ods. 3 prvej vety GDPR. ( 21 )

40.

Po tretie, pokiaľ ide o výraz „ktoré sa spracúvajú“ uvedený v článku 15 ods. 3 prvej vete GDPR, treba poznamenať, že aj pojem „spracúvanie“ je výslovne definovaný v článku 4 bode 2 GDPR.

41.

Podľa tohto ustanovenia získavanie, prehliadanie, poskytovanie prenosom, ako aj poskytovanie iným spôsobom osobných údajov predstavujú „spracúvanie“ v zmysle uvedeného nariadenia. Podľa judikatúry zo znenia tohto ustanovenia, a najmä z výrazu „[každá] operácia“ vyplýva, že normotvorca Únie zamýšľal priznať pojmu „spracúvanie“ široký rozsah. Tento výklad potvrdzuje demonštratívna povaha operácií uvedených v danom ustanovení, ktorá je vyjadrená slovným spojením „napríklad“. ( 22 )

42.

V tejto súvislosti zo širokého rozsahu pojmu spracúvanie vyplýva, že článok 15 ods. 3 prvá veta priznáva dotknutej osobe právo získať kópiu svojich osobných údajov, ktoré sú predmetom akejkoľvek operácie, ktorú možno považovať za „spracúvanie“. Ako bude podrobnejšie spresnené v bode 52 nižšie, toto ustanovenie však samo osebe nepriznáva právo získať osobitné informácie týkajúce sa samotného spracúvania osobných údajov, ktoré sa líšia od informácií uvedených v článku 15 ods. 1 nariadenia GDPR.

43.

Záverom z gramatickej analýzy článku 15 ods. 3 prvej vety GDPR vyplýva, že toto ustanovenie priznáva dotknutej osobe právo získať kópiu svojich osobných údajov chápaných v širšom zmysle, ktoré sú predmetom operácií, ktoré prevádzkovateľ môže kvalifikovať ako spracúvanie.

44.

Z tejto gramatickej analýzy je možné zistiť, že „kópia osobných údajov“ musí byť ich verná reprodukcia. Rôznorodosť druhov údajov, ktoré sa môžu spracúvať, však znamená, že v závislosti od druhu spracúvaných údajov a druhu spracovania môže mať kópia takýchto údajov rôznu podobu, ako je papierová podoba, zvukový alebo obrazový záznam, elektronická podoba alebo iná podoba. Dôležité je, aby kópia takýchto údajov bola verná a umožňovala dotknutej osobe získať úplné informácie o všetkých spracúvaných údajoch. Akýkoľvek súhrn osobných údajov, ktoré sa spracúvajú, musí verne a zrozumiteľne prebrať tieto údaje a nesmie žiadnym spôsobom ovplyvniť obsah údajov, ktoré sa majú poskytnúť. Rozhodnutie prevádzkovateľa poskytnúť, pokiaľ je to možné, súhrn osobných údajov, ktoré sa spracúvajú, teda nemôže odôvodniť, že niektoré údaje sú vynechané, neúplné alebo neodrážajú skutočný stav spracúvania.

45.

Predmetné ustanovenie navyše zaručuje dotknutej osobe právo získať kópiu všetkých svojich osobných údajov, ktoré sa spracúvajú, teda nielen získaných údajov, ale aj všetkých osobných údajov prípadne vytvorených prevádzkovateľom, ktoré sa spracúvajú. Avšak v rozsahu, v akom sa toto ustanovenie vzťahuje výlučne na kópiu osobných údajov, na jednej strane nemôže byť základom pre právo na prístup k informáciám, ktoré nie sú ako také kvalifikované, a na druhej strane – nevyhnutne – nepriznáva právo na získanie kópie dokumentov alebo iných nosičov obsahujúcich osobné údaje.

46.

Tieto úvahy však musia byť doplnené analýzou kontextu, do ktorého patrí toto ustanovenie, ako aj cieľov, ktoré sleduje právo na prístup zaručené článkom 15 GDPR.

47.

Pokiaľ ide o kontext, do ktorého patrí toto ustanovenie, treba najprv uviesť, že je obsiahnuté v článku 15 GDPR, ktorý upravuje právo dotknutej osoby voči prevádzkovateľovi na prístup k osobným údajom, ktoré sa jej týkajú a ktoré sa spracúvajú. Tento článok konkretizuje a spresňuje právo každého na prístup k osobným údajom, ktoré je zakotvené v druhej vete článku 8 ods. 2 Charty základných práv Európskej únie. ( 23 )

48.

Pokiaľ ide o štruktúru článku 15 GDPR, v jeho odseku 1 sa stanovuje právo dotknutej osoby získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a informáciám uvedeným v písmenách a) až h). Toto ustanovenie teda konkretizuje právo na prístup k osobným údajom a súvisiacim informáciám, pričom presne vymedzuje predmet práva na prístup a jeho rozsah.

49.

Článok 15 ods. 3 GDPR naopak spresňuje spôsoby výkonu tohto práva a najmä stanovuje podobu, v ktorej musí prevádzkovateľ poskytnúť osobné údaje dotknutej osobe, t. j. v podobe kópie, teda vernej reprodukcie údajov.

50.

Z práve načrtnutej štruktúry článku 15 GDPR, ako aj z požiadavky vykladať ustanovenia odsekov 1 a 3 tohto článku súdržne vyplýva, že odsek 3 nedefinuje – a teda ani nemôže meniť alebo rozširovať – predmet a rozsah práva na prístup konkretizovaného v ustanovení odseku 1. Vyššie uvedený odsek 3 preto nemôže rozšíriť rozsah povinnosti prevádzkovateľa poskytnúť prístup k informáciám. Štruktúra predmetného článku preto potvrdzuje, že ustanovenie odseku 3 nemôže byť základom pre prípadné samostatné právo dotknutej osoby na získanie informácií nad rámec informácií uvedených v odseku 1 tohto ustanovenia.

51.

V tejto súvislosti súhlasím s rakúskym Úradom pre ochranu osobných údajov, ktorý tvrdí, že výklad článku 15 ods. 3 prvej vety GDPR v tom zmysle, že toto ustanovenie umožňuje rozšíriť rozsah informácií, ku ktorým má dotknutá osoba prístup nad rámec informácií týkajúcich sa jej osobných údajov, je v rozpore s článkom 8 ods. 2 Charty.

52.

Predchádzajúca analýza na jednej strane potvrdzuje úvahu uvedenú v bode 44 vyššie, podľa ktorej ustanovenie článku 15 ods. 3 prvej vety GDPR nepriznáva samostatné právo na získanie kópie dokumentov alebo iných nosičov obsahujúcich osobné údaje. Na druhej strane potvrdzuje tiež analýzu vykonanú v bode 42 vyššie, podľa ktorej toto ustanovenie nepriznáva dotknutej osobe právo získať iné informácie než tie, ktoré sú stanovené v článku 15 ods. 1 GDPR, ( 24 ) pokiaľ ide o samotné spracúvanie osobných údajov, ako sú napríklad informácie týkajúce sa kritérií, vzorov, pravidiel alebo vnútorných postupov (výpočtu alebo nie) používaných na spracúvanie osobných údajov. Na takéto informácie sa navyše často vzťahujú práva duševného vlastníctva, ktoré musia byť v tejto súvislosti chránené, ako sa výslovne uvádza v piatej vete odôvodnenia 63. To však nemení nič na skutočnosti, že ako vyplýva z odôvodnenia 60 GDPR, prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú. Okrem toho treba tiež pripomenúť, že existujú osobitné pravidlá týkajúce sa prípadov automatizovaného rozhodovania vrátane profilovania. ( 25 )

53.

Opäť z kontextuálneho hľadiska sa má ustanovenie článku 15 ods. 3 prvej vety GDPR vykladať vzhľadom na ostatné príslušné ustanovenia GDPR. Okrem definícií v článku 4 bodoch 1 a 2 GDPR analyzovaných v bodoch 32 až 41 vyššie je významný najmä článok 12 ods. 1 GDPR, na ktorý vnútroštátny súd odkazuje vo svojej tretej prejudiciálnej otázke.

54.

Z uvedeného ustanovenia vyplýva, že prevádzkovateľ je povinný prijať vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené okrem iného v článku 15 v stručnej, transparentnej, zrozumiteľnej a ľahko prístupnej forme, formulované jasne a jednoducho a že informácie sa musia poskytnúť písomne alebo inými prostriedkami vrátane v prípade potreby elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiada o ich poskytnutie ústne.

55.

Cieľom tohto ustanovenia, ktoré je vyjadrením zásady transparentnosti, ( 26 ) je zaručiť, aby dotknutá osoba mohla plne porozumieť informáciám, ktoré sú jej zaslané. Úplná zrozumiteľnosť týchto informácií je totiž jednak nevyhnutná na účinný výkon práva na prístup zaručeného článkom 15 GDPR a jednak je predpokladom pre úplný výkon ostatných práv zaručených dotknutej osobe nariadením GDPR, ktoré sú uvedené v bodoch 64 a 65 nižšie a ktoré nadväzujú na výkon práva na prístup. ( 27 ) Z odôvodnenia 63 GDPR ďalej vyplýva, že dotknutá osoba musí mať právo na jednoduchý a bezproblémový výkon práva na prístup k svojim osobným údajom.

56.

Potrebu zrozumiteľnosti pri oznamovaní údajov, ktorá umožní dotknutej osobe plne sa oboznámiť s údajmi a overiť si, že tieto údaje sú správne a spracúvané v súlade s právom Únie, aby mohla uplatniť svoje práva priznané týmto právom, Súdny dvor navyše už zdôraznil vo svojej judikatúre týkajúcej sa smernice 95/46. ( 28 )

57.

Z vyššie uvedenej požiadavky na zrozumiteľnosť údajov a informácií uvedených v článku 15 ods. 1 písm. a) až h) GDPR vyplýva, že v niektorých prípadoch nemožno vylúčiť, že na zabezpečenie úplnej zrozumiteľnosti informácií zasielaných dotknutej osobe bude potrebné jej poskytnúť časti dokumentov alebo dokonca celé dokumenty alebo výňatky z databázy. Analýza toho, či je potrebné poskytnúť dokumenty alebo výňatky, aby sa zabezpečila zrozumiteľnosť zasielaných informácií, sa však musí nevyhnutne vykonať od prípadu k prípadu v závislosti od druhu požadovaných údajov a samotnej žiadosti.

58.

V tejto súvislosti však treba zdôrazniť, že prípadné poskytnutie dokumentov alebo ich výňatkov nepredstavuje výkon samostatného práva zaručeného v článku 15 ods. 3 prvej vete GDPR vo vzťahu k právu na prístup, ale len spôsob zasielania kópie osobných údajov, ktorého cieľom je zaručiť úplnú zrozumiteľnosť týchto údajov. V tejto súvislosti poznamenávam, že ako uviedli niektorí účastníci, ktorí predložili Súdnemu dvoru svoje vyjadrenia, v niektorých prípadoch je na úplné pochopenie predmetných osobných údajov potrebné poznať kontext, v ktorom sa tieto údaje spracúvajú. Táto úvaha však neznamená to, že sa dotknutej osobe na základe predmetného ustanovenia priznáva všeobecné právo na prístup ku kópiám dokumentov alebo výňatkov z databázy.

59.

Právo na získanie kópie osobných údajov je navyše obmedzené požiadavkou, ktorá je výslovne stanovená v článku 15 ods. 4 GDPR, že „nesmie mať nepriaznivé dôsledky na práva a slobody iných“. Z tohto ustanovenia vyplýva, že požiadavka zabezpečiť dotknutej osobe úplný a celkový prístup k jej osobným údajom tým, že sa jej poskytne ich kópia, nesmie ísť tak ďaleko, aby sa umožnilo porušenie práv a slobôd iných osôb.

60.

V tejto súvislosti poznamenávam, že znenie vyššie uvedeného odseku 4 je veľmi všeobecné a ponecháva otvorený zoznam práv a slobôd „iných osôb“, ktoré môžu vyvážiť výkon práva na plný prístup získaním kópie osobných údajov. Treba však vychádzať z toho, že tieto práva celkom isto zahŕňajú, ako sa výslovne uvádza v odôvodnení 63 GDPR, „obchodné tajomstvo alebo právo duševného vlastníctva a najmä autorské práva týkajúce sa softvéru“, ako aj právo na ochranu osobných údajov tretích strán, napríklad v prípade, keď nosič obsahujúci osobné údaje dotknutej osoby obsahuje aj osobné údaje tretích strán.

61.

V prípade rozporu medzi výkonom práva na úplný a celkový prístup k osobným údajom na jednej strane a právami alebo slobodami iných osôb na druhej strane bude potrebné vykonať vyváženie predmetných práv. Pokiaľ je to možné, je potrebné zvoliť spôsoby oznámenia osobných údajov, ktorými sa neporušia práva alebo slobody iných osôb, pričom treba mať na pamäti, že ako vyplýva z odôvodnenia 63 GDPR, výsledkom zohľadnenia týchto prvkov by však „nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe“.

62.

Opäť z kontextuálneho hľadiska treba tiež poznamenať, že výklad článku 15 ods. 3 prvej vety GDPR, podľa ktorého toto ustanovenie nepriznáva všeobecné právo na prístup ku kópiám dokumentov alebo výňatkom z databázy, pokiaľ to nie je potrebné na zabezpečenie zrozumiteľnosti poskytnutých údajov a informácií, potvrdzuje aj skutočnosť, že právo na prístup k dokumentom, najmä správnym dokumentom, je výslovne upravené v iných únijných ( 29 ) alebo vnútroštátnych aktoch, ktoré sledujú iné ciele než tie, ktoré zaručujú ochranu osobných údajov. ( 30 )

63.

Výklad článku 15 ods. 3 prvej vety GDPR uvedený v predchádzajúcom bode je potom potvrdený analýzou účelu tohto ustanovenia v rámci práva dotknutej osoby na prístup zaručeného článkom 15 GDPR.

64.

Ako vyplýva z odôvodnenia 63 GDPR, najmä z jeho prvej vety, cieľom práva na prístup k vlastným osobným údajom a k ďalším informáciám uvedeným v článku 15 ods. 1 písm. a) až h) GDPR je predovšetkým umožniť, aby si bola dotknutá osoba vedomá spracúvania svojich osobných údajov a mohla si overiť jeho zákonnosť. ( 31 )

65.

Ako už Súdny dvor uviedol, toto právo na prístup je potrebné, aby dotknutá osoba mohla uplatniť radu ďalších práv, ktoré jej priznáva GDPR, vrátane práva na opravu, práva na vymazanie („právo na zabudnutie“) a práva na obmedzenie spracúvania, ktoré sú jej priznané článkami 16, 17 a 18 GDPR. ( 32 ) Súdny dvor taktiež objasnil, že právo na prístup je rovnako nevyhnutné na to, aby sa dotknutej osobe umožnilo uplatniť podľa článku 21 GDPR právo namietať proti spracovaniu jej osobných údajov alebo podľa jeho článkov 79 a 82 právo na účinný súdny prostriedok nápravy v prípade spôsobenej ujmy a právo na náhradu škody. ( 33 )

66.

Práve v kontexte cieľov práva na prístup k vlastným osobným údajom a ďalším informáciám treba chápať zmysel, z ktorého vychádza pravidlo zakladajúce právo získať kópiu osobných údajov. Jeho cieľom je výslovne stanoviť podobu, ktorou sa dotknutej osobe zaručí účinný výkon tohto práva, aby sa mohla presvedčiť o správnom a zákonnom spracúvaní údajov na účely prípadného výkonu ďalších práv uvedených v bode 65 vyššie. Cieľom je dosiahnuť, aby sa osobné údaje poskytli dotknutej osobe v čo najpresnejšej a najzrozumiteľnejšej podobe, ktorá jej umožní vykonať tieto práva, t. j. v podobe kópie, teda vernej reprodukcie údajov.

67.

Z tohto hľadiska sa nezdá, že vydanie kópie dokumentu obsahujúceho takéto údaje alebo výňatku z databázy je vždy a v každom prípade nevyhnutné na dosiahnutie cieľa sledovaného zákonodarcom.

68.

Iba v prípadoch, keď je vydanie takejto kópie nevyhnutné na zabezpečenie úplnej zrozumiteľnosti osobných údajov, ktoré sa spracúvajú, môže dotknutá osoba v medziach uvedených v bodoch 58 až 61 vyššie získať časti dokumentov, prípadne celé dokumenty alebo výňatky z databázy.

69.

V tejto súvislosti tiež poznamenávam, že GDPR tým, že na rozdiel od právnej úpravy obsiahnutej v smernici 95/46 stanovilo skutočné právo na získanie kópie údajov, bolo jeho úmyslom posilniť postavenie dotknutej osoby. ( 34 ) To je totiž významný rozdiel oproti predchádzajúcej právnej úprave, ktorá v článku 12 písm. a) druhej zarážke vyššie uvedenej smernice stanovila len „možnosť komunikovania pre neho [ňu – neoficiálny preklad] v zrozumiteľnej forme o údajoch, ktoré sa spracovávajú“, čím členským štátom ponechala možnosť stanoviť konkrétnu materiálnu formu tohto oznámenia pod podmienkou, že je zrozumiteľné. ( 35 ) Uložením prevádzkovateľovi povinnosť poskytnúť „kópiu“ údajov, teraz upravenú v článku 15 ods. 3 prvej vete GDPR, sa naopak kogentne určuje podoba, ktorú takéto oznámenie musí mať, a to podoba „kópie“ údajov.

70.

Vzhľadom na všetky vyššie uvedené úvahy sa domnievam, že na prvé tri prejudiciálne otázky vnútroštátneho súdu je potrebné odpovedať tak, že článok 15 ods. 3 prvá veta GDPR sa má vykladať v tom zmysle, že:

71.

Svojou štvrtou prejudiciálnou otázkou sa vnútroštátny súd pýta Súdneho dvora, či pojem „informácie“ uvedený v článku 15 ods. 3 tretej vete GDPR sa vzťahuje len na „osobné údaje, ktoré sa spracúvajú“ uvedené v prvej vete tohto odseku, alebo či okrem nich zahŕňa aj informácie uvedené v článku 15 ods. 1 písm. a) až h) [štvrtá otázka písm. a)] alebo aj iné informácie, ako sú napríklad metadáta týkajúce sa údajov [štvrtá otázka písm. b)].

72.

Na zodpovedanie tejto otázky treba vyložiť pojem „informácie“ obsiahnutý v tretej vete článku 15 ods. 3 GDPR pri použití metodiky vyplývajúcej z judikatúry uvedenej v bode 25 vyššie.

73.

V tejto perspektíve sa z gramatického hľadiska pojem „informácie“ javí ako príliš všeobecný na to, aby mohol objasniť, či sa vzťahuje výlučne na osobné údaje uvedené v prvej vete článku 15 ods. 3 GDPR alebo či zahŕňa aj iné druhy informácií.

74.

Z kontextuálneho hľadiska však treba poznamenať, že vyššie uvedená tretia veta je vložená do článku 15 ods. 3 GDPR, ktorý sa týka povinnosti prevádzkovateľa poskytnúť na žiadosť dotknutej osoby „kópiu osobných údajov, ktoré sa spracúvajú“. Štruktúra odseku 3 teda vedie k záveru, že pojem „informácie“ sa vzťahuje na informácie, ktoré sú predmetom žiadosti, ktorá má byť vybavená v zmysle prvej vety tohto odseku, a teda na žiadosť o poskytnutie kópie osobných údajov, ktoré sa spracúvajú.

75.

Zdá sa, že tento výklad je tiež v súlade s cieľom samotného odseku 3, ktorým je, ako vyplýva z bodu 61 a nasl., a najmä z bodu 69 vyššie, určiť podobu, ktorú musí mať oznámenie osobných údajov, ktoré sa spracúvajú, a to podobu „kópie“ údajov. Z tohto hľadiska je tretia veta tohto odseku určená na úpravu osobitného prípadu, keď je žiadosť o získanie kópie takýchto údajov predložená elektronickými prostriedkami.

76.

Vzhľadom na to je podľa môjho názoru potrebné taktiež poznamenať, že povinnosť transparentnosti vyplývajúca z článku 12 ods. 1 GDPR uvedená v bodoch 54 a 55 vyššie, ktorej účelom je zaručiť, aby dotknutá osoba bola schopná plne porozumieť informáciám, ktoré sú jej zaslané, okrem iného podľa 15 článku GDPR, posudzovaného ako celok, vyžaduje v prípade, že je žiadosť o prístup podľa článku 15 ods. 1 GDPR podaná elektronickými prostriedkami, aby takisto informácie uvedené v písmenách a) až h) boli poskytnuté v elektronickej podobe, ktorá sa bežne používa a ktorá umožní dotknutej osobe úplne, jednoducho a bez ťažkostí sa s nimi oboznámiť. V prípade, že elektronická podoba obsahujúca takéto informácie sa bežne nepoužíva, v skutočnosti to môže veľmi sťažiť alebo skomplikovať oboznámenie sa s týmito informáciami, čo je v rozpore s vyššie uvedenou povinnosťou transparentnosti.

77.

Napokon, pokiaľ ide konkrétne o štvrtú otázku písm. b), z okolnosti, že článok 15 ods. 3 tretia veta nariadenia GDPR odkazuje na „žiadosť“ dotknutej osoby, vyplýva, že pojem „informácie“ uvedený v tomto ustanovení nemôže ísť nad rámec toho, čo je práve predmetom tejto žiadosti, t. j. kópie osobných údajov, ktoré sa spracúvajú. Z toho vyplýva, že pojem „informácie“, ktorý sa v ňom používa, sa vzťahuje výlučne na takéto údaje a nemôže zahŕňať žiadne iné informácie než tieto informácie, a už vôbec nie ďalšie informácie vo vzťahu k informáciám uvedeným v článku 15 ods. 1 písm. a) až h) GDPR. V opačnom prípade by sa rozšíril rozsah práva na prístup, čo – ako už bolo uvedené v bodoch 48 až 51 vyššie – nemá oporu v GDPR.

78.

Zo všetkých uvedených skutočností vyplýva, že podľa môjho názoru treba na štvrtú prejudiciálnu otázku vnútroštátneho súdu odpovedať tak, že pojem „informácie“ uvedený v článku 15 ods. 3 tretej vete GDPR sa má vykladať v tom zmysle, že sa vzťahuje výlučne na „kópiu osobných údajov, ktoré sa spracúvajú“ uvedenú v prvej vete tohto odseku.

79.

Vzhľadom na všetky vyššie uvedené úvahy navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré položil Bundesverwaltungsgericht (Spolkový správny súd, Rakúsko), takto:

Článok 15 ods. 3 prvá veta nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),

sa má vykladať v tom zmysle, že:

pojem „kópia“ uvedený v tomto ustanovení sa má chápať ako verná reprodukcia osobných údajov požadovaných dotknutou osobou v zrozumiteľnej podobe a v materializovanom a trvalom formáte, ktorý dotknutej osobe umožní účinne vykonávať právo na prístup k svojim osobným údajom, mať úplnú vedomosť o všetkých svojich osobných údajoch, ktoré sa spracúvajú, vrátane akýchkoľvek ďalších údajov, ktoré mohli vzniknúť v dôsledku spracúvania, ak sa tiež spracúvajú, aby mohla overiť ich presnosť a uistiť sa, že spracúvanie je správne a zákonné, a mohla tak prípadne uplatniť ďalšie práva, ktoré jej GDPR priznáva; presná podoba kópie sa určí podľa osobitostí každého prípadu, najmä podľa druhu osobných údajov, ku ktorým sa požaduje prístup, a podľa potrieb dotknutej osoby,

toto ustanovenie nepriznáva dotknutej osobe všeobecné právo získať kópiu časti alebo celého dokumentu obsahujúceho osobné údaje dotknutej osoby alebo výňatok z tejto databázy, ak sa osobné údaje spracúvajú v databáze,

toto ustanovenie však nevylučuje, že časti dokumentov alebo celé dokumenty či výňatky z databázy sa musia poskytnúť dotknutej osobe, ak je to potrebné na zabezpečenie úplnej zrozumiteľnosti osobných údajov, ktoré sa spracúvajú a ku ktorým sa žiada prístup.

Pojem „informácie“ uvedený v článku 15 ods. 3 tretej vete nariadenia 2016/679

sa má vykladať v tom zmysle, že:

odkazuje výlučne na „kópiu osobných údajov, ktoré sa spracúvajú“ uvedenú v prvej vete tohto odseku“.