Art. 15 rodo ustanawia tzw. prawo dostępu do danych, które polega na obowiązku potwierdzenia czy dane są przetwarzane, spełnienia przez administratora obowiązku informacyjnego na rzecz podmiotu danych na jego wniosek i dostarczenia mu kopii jego danych osobowych.
W związku ze stosowaniem tego przepisu austriacki sąd administracyjny powziął wątpliwość czy podmiot danych jest uprawniony do otrzymania kopii danych czy również kopii dokumentów. Z tego powodu skierował pytanie prejudycjalne do TSUE, który w wyroku z dnia 4 maja 2023 r. (sygn. C‑487/21) zauważył co następuje:
Fragment uzasadnienia
15 Dokładniej rzecz ujmując, sąd ten stawia pytanie, czy art. 15 ust. 3 zdanie pierwsze RODO ogranicza się do zdefiniowania formy, w jakiej należy zagwarantować prawo dostępu do informacji, do którego odnosi się art. 15 ust. 1 tego rozporządzenia, czy też art. 15 ust. 3 zdanie pierwsze RODO ustanawia autonomiczne prawo osoby, której dane dotyczą, do dostępu do informacji dotyczących kontekstu, w jakim przetwarzane są jej dane, w postaci kopii fragmentów dokumentów lub całych dokumentów lub wyciągów z baz danych, które zawierają między innymi te dane.
32 W konsekwencji art. 15 RODO nie może być interpretowany w ten sposób, że ustanawia w ust. 3 zdanie pierwsze prawo odrębne od prawa przewidziane w ust. 1 tego przepisu. Ponadto jak wskazała Komisja Europejska w uwagach na piśmie, pojęcie „kopii” nie odnosi się do dokumentu jako takiego, ale do danych osobowych, które zawiera i które powinny być kompletne. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu.
35 W szczególności owo prawo dostępu jest niezbędne, aby umożliwić osobie, której dane dotyczą, skorzystanie, w stosownych przypadkach, z prawa do sprostowania danych, prawa do usunięcia danych („prawa do bycia zapomnianym”), prawa do ograniczenia przetwarzania, które zostało jej przyznane, odpowiednio, w art. 16, 17 i 18 RODO, a także prawa do sprzeciwu wobec przetwarzania jej danych osobowych, przewidzianego w art. 21 RODO, oraz prawa do dochodzenia roszczeń w przypadku poniesionej szkody, przewidzianego w art. 79 i 82 RODO [zob. wyrok z 12 stycznia 2023 r., Österreichische Post (Informacje o odbiorcach danych osobowych), C‑154/21, EU:C:2023:3, pkt 38 i przytoczone tam orzecznictwo].
41 Aby bowiem zagwarantować, że przekazane w ten sposób informacje będą łatwe do zrozumienia, jak tego wymaga art. 12 ust. 1 RODO w związku z motywem 58 tego rozporządzenia, odtworzenie fragmentów dokumentów, a nawet całych dokumentów lub wyciągów z baz danych, które zawierają między innymi przetwarzane dane osobowe, może okazać się niezbędne, jak zauważył rzecznik generalny w pkt 57 i 58 opinii, w przypadku gdy kontekst przetwarzanych danych jest niezbędny do zapewnienia, by były zrozumiałe.
42 W szczególności gdy dane osobowe są generowane z innych danych lub gdy dane te wynikają z wolnych pól, a mianowicie z braku informacji ujawniających informację o osobie, której dane dotyczą, kontekst, w jakim dane te są przetwarzane, jest niezbędnym elementem umożliwiającym osobie, której dane dotyczą, uzyskanie przejrzystego dostępu i zrozumiałego przedstawienia tych danych.
44 W przypadku kolizji między z jednej strony wykonywaniem prawa do pełnego i całkowitego dostępu do danych osobowych a z drugiej strony prawami lub wolnościami innych osób konieczne będzie wyważenie praw. W miarę możliwości należy wybrać sposób przekazania danych osobowych, który nie narusza praw lub wolności innych osób, mając na uwadze, że – jak wynika z motywu 63 RODO – względy te nie powinny jednak „skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji”.
Kopia wobec oryginału – wierna i zrozumiała
45 W świetle powyższych rozważań na pytania od pierwszego do trzeciego należy odpowiedzieć, że art. 15 ust. 3 zdanie pierwsze RODO
należy interpretować w ten sposób, że:
prawo do uzyskania od administratora kopii danych osobowych podlegających przetwarzaniu oznacza przekazanie osobie, której dane dotyczą, wiernej i zrozumiałej kopii wszystkich oryginałów tych danych. Prawo to obejmuje prawo do uzyskania kopii fragmentów dokumentów lub całych dokumentów, lub też wyciągów z baz danych, które zawierają między innymi te dane, jeżeli dostarczenie takiej kopii jest niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie, przy czym wymaga podkreślenia, że należy w tym względzie uwzględnić prawa i wolności innych osób.
53 W świetle powyższych rozważań na czwarte pytanie prejudycjalne należy odpowiedzieć, że art. 15 ust. 3 zdanie trzecie RODO
należy interpretować w ten sposób, że:
pojęcie „informacji”, o którym mowa w tym przepisie, odnosi się wyłącznie do danych osobowych, których kopii administrator musi dostarczyć zgodnie ze zdaniem pierwszym tego ustępu.
Komentarz: prawo do kopii to prawo dostępu
Z powyższego wyroku wynika, że przepis art. 15 ust. 3 rodo nie ustanawia prawa do kopii danych jako prawa odrębnego od prawa dostępu, które mogłoby polegać np. na wglądzie do danych w siedzibie przedsiębiorcy (ado), tylko prawo do kopii jest sposobem w jaki podmiot danych może skorzystać z prawa dostępu. Zaś sama kopia dotyczy danych, przy czym może to wymagać ujawnienia również całych dokumentów lub ich fragmentów, jeśli jest to niezbędne do wykonywania praw podmiotu danych, przyznanych na podstawie rodo.
Osoba, której dokument dotyczy
Należy zauważyć, że zwykle dla podmiotu danych będzie miał znaczenie (będzie niezbędny) cały dokument lub jego istotny fragment, ponieważ jeśli dane np. kontaktowe czy identyfikacyjne podmiotu znalazły się dokumencie np. w umowie, to cała treść umowy stanowi dane osobowe podmiotu żądającego dostępu – dokument umowy zawiera jego uprawnienia i obowiązki, oznaczenie podmiotu wobec niego zobowiązanego i uprawnionego (drugą stronę) – czyli informacje, które go dotyczą, jako osobę zidentyfikowaną. Raczej w drodze wyjątku może się zdarzyć dokument, który będzie zawierał inną treść niż dane osobowe osoby, której dokument dotyczy, i w takich sytuacjach ado będzie uprawniony do zrobienia wyciągu z dokumentu, czyli sporządzenia kopii danych osobowych a nie kopii dokumentu.
Dane osobowe profesora danymi osobowymi studenta
Za kopią dokumentu jako zasadą (by default) przemawia również okoliczność, że podmiot danych nie powinien być narażony na wątpliwości, czy otrzymał całość danych, które go dotyczą, a ado musi spełniać wymogi rodo w sposób zgodny z zasadą rozliczalności, czyli dający się sprawdzić. Ponadto sam fakt istnienia dokumentu, jego wygląd, struktura i wszelkie informacje w nim zawarte dotyczą osoby zgłaszającej żądanie (art. 4 pkt 1 w zw. z motywem 26 rodo – dane osobowe objęte regulacją rodo stanowią wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej). Stąd choć prawo ochrony danych jako cała gałąź prawa reguluje przetwarzanie danych a nie dokumentów, to jednak zwykle jeśli dokument dotyczy zidentyfikowanej osoby, to stanowi jej dane osobowe. W wyroku sygn. C‑434/16 orzeczono (wytyczne EROD dotyczące prawa dostępu, uwaga 96), że komentarze (dane osobowe) profesora do odpowiedzi na pytania egzaminacyjne studenta, stanowią dane osobowe studenta. Stąd też treść i charakter dokumentu będzie przesądzał, czy ewentualne dane osobowe innej osoby, stanowią jednocześnie dane osobowe zgłaszającego żądanie.
W wyr. C-434/16 wskazano:
34 Użycie w zawartej w art. 2 lit. a) dyrektywy 95/46 definicji „danych osobowych” wyrażenia „wszelkie informacje” odzwierciedla bowiem przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu, nie ograniczając go do informacji wrażliwych czy też prywatnych, lecz rozszerzając go potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, które muszą one spełniać, jest to, aby „dotyczyły” danej osoby.
35 Warunek ten jest zaś spełniony, gdy ze względu na swą treść, cel czy skutek dana informacja jest powiązana z daną osobą.
Potencjalnie informacja o osobie X może być ze względu na treść, cel lub skutek powiązana z osobą Y, czyli stanowić jej dane osobowe:
44 To, że naniesione przez egzaminatora komentarze odnoszące się do odpowiedzi udzielonych na egzaminie przez osobę do niego przystępującą są również informacjami dotyczącymi egzaminatora, nie stoi na przeszkodzie temu, aby móc uznać, że te komentarze, ze względu na ich treść, cel czy skutek, są powiązane z egzaminowaną osobą.
45 Ta sama informacja może bowiem dotyczyć więcej niż jednej osoby fizycznej i stanowić w odniesieniu do tych osób dane osobowe w rozumieniu art. 2 lit. a) dyrektywy 95/46, pod warunkiem że osoby te zostały zidentyfikowane lub są możliwe do zidentyfikowania.
Na marginesie można dodać, co budzi zdziwienie, że w wyr. C-434/16 w uwadze 58 napisano: „Wreszcie, należy stwierdzić, po pierwsze, że przewidziane w art. 12 lit. a) i b) dyrektywy 95/46 prawa do dostępu i sprostowania nie obejmują pytań egzaminacyjnych, które nie stanowią jako takie danych osobowych egzaminowanego.”
Wtedy dyrektywa a obecnie rodo mówi o danych osobowych jako wszelkich informacjach o osobie. To jakie miała pytania stanowi informację o niej w takim samym stopniu i z takich samych powodów jak komentarze egzaminatora do jej odpowiedzi. Także uwagę 58 uważam za błędną. To tak jakby twierdzić, że z notatki „Nowak na egzaminie miał brązowe buty” dane osobowe stanowi informacja, że miał buty, bo dotyczą Nowaka, ale już nie że były brązowe, bo kolor nie dotyczy Nowaka, tylko butów. Pytania egzaminacyjne nie stanowiłyby danych osobowych Nowaka, tylko wtedy gdyby nie były do niego kierowane, gdyby na nie nie odpowiadał, bo nie przystępował do egzaminu.
Wydaje się, że w aktualnie omawianym wyroku ten błąd został naprawiony. Tu Trybunał mówi po prostu, że osoba ma otrzymać cały dokument jeśli jest jej niezbędny i jeśli ado nie ma przeszkody żeby go wydać. Choć i tu niestety pozostawia pewne niedopowiedzenie, bo kto ma badać i w jaki sposób czy osobie dokument jest niezbędny.
Kompletne dane, pełny i całkowity dostęp
Moim zdaniem jeśli do administratora wpływa żądanie udostępnienia kopii danych, które są zawarte w dokumencie, powinien (ma obowiązek) przekazać kopię dokumentu, ponieważ ta zapewnia kompletne dane czy też pełny i całkowity dostęp, chyba że na przeszkodzie stanie art. 15 ust. 4 rodo (kolizja z nadrzędnymi prawami i wolnościami innych osób) – decyzja ado nie może zależeć od kaprysu, przy tym obciąża go dowód, że przeszkody ma rzeczywiste. Co do zasady nadrzędne będą prawa innych osób jeśli ich dane zawarte w dokumencie nie będą dotyczyły osoby zgłaszającej żądanie.
Domniemanie niezbędności
Z tego względu ado nie ma obowiązku ani uprawnienia, żeby badać czy kompletne dane (dokument) są podmiotowi niezbędne (to należy przyjmować domyślnie, skoro tak jest sformułowane żądanie – domniemanie niezbędności), tylko czy nie ma przeszkód (art.15.4 rodo) żeby takie kompletne dane wydać. Poza tym gdyby ado miał oceniać czy dokument jest niezbędny, to musiałby zbierać kolejne dane – do czego osoba chce dokument wykorzystać, to by oznaczało, że osoba musi się tłumaczyć dlaczego chce skorzystać z prawa dostępu do danych, o którym mowa w art. 15 rodo – takiej interpretacji nie uzasadnia ani brzmienie przepisu ani cel aktu prawnego. Przeciwnie, to ado musi tłumaczyć dlaczego nie może wydać kopii dokumentu, i na pewno nie może ograniczyć się do stwierdzenia „bo rodo mówi o kopii danych, a nie o kopii dokumentu”. Rodo mówi o kopii danych, dlatego że jest to pojęcie szersze, dane osoby nie zawsze są przetwarzane w postaci dokumentu, więc hipoteza normy musi obejmować również takie przypadki, ale jeśli dane mają postać dokumentu, to osoba ma prawo uzyskać do nich pełny dostęp w postaci kopii dokumentu.
O prawie dostępu wypowiada się też motyw 63:
(63) Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem. Obejmuje to prawo dostępu osób, których dane dotyczą, do danych dotyczących ich zdrowia, na przykład do danych w dokumentacji medycznej zawierającej takie informacje, jak diagnoza, wyniki badań, oceny dokonywane przez lekarzy prowadzących, stosowane terapie czy przeprowadzone zabiegi. Dlatego też każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania. W miarę możliwości administrator powinien mieć możliwość udzielania zdalnego dostępu do bezpiecznego systemu, który zapewni osobie, której dane dotyczą, bezpośredni dostęp do jej danych osobowych. Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji. Jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, powinien on mieć możliwość zażądania, przed podaniem informacji, by osoba, której dane dotyczą, sprecyzowała informacje lub czynności przetwarzania, których dotyczy jej żądanie.