Na początku września br. Richard de la Tour – rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej (TSUE) – wydał opinię w bardzo ciekawej sprawie toczącej się przed TSUE (Sprawa C-416/23, Österreichische Datenschutzbehörde). W ramach tego postępowania TSUE będzie musiał m.in. rozstrzygnąć, w jaki sposób należy rozumieć pojęcie „nadmiernych żądań”, o których mowa w art. 57 ust. 4 RODO. Co ciekawe sprawa nie dotyczy nadmiernych żądań kierowanych do administratora, tylko skarg wysłanych do organu nadzorczego. Wydaje się jednak, że rozstrzygnięcie TSUE może zawierać również cenne wskazówki dla administratorów, o czym piszemy dalej.
Zgodnie z art. 57 ust. 4 RODO – jeżeli żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swą powtarzalność, organ nadzorczy może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych lub może odmówić podjęcia żądanych działań. Obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, spoczywa na organie nadzorczym.
Wiele skarg do organu nadzorczego
W 2020 r. do austriackiego organu nadzorczego wpłynęła skarga dotycząca braku realizacji przez administratora prawa dostępu do danych osobowych (art. 15 RODO). Nie byłoby w tym nic nadzwyczajnego, gdy nie fakt, że organ nadzorczy stwierdził, że skarga jest nadmierna i odmówił jej rozpatrzenia na podstawie art. 57 ust. 4 RODO. Regulator wskazał, że skarżący w okresie około 20 miesięcy złożył 77 skarg dotyczących braku realizacji jego praw przez różnych administratorów, w tym m.in. prawa dostępu do danych i ich usunięcia. Dodatkowo, skarżący miał regularnie telefonicznie kontaktować się z organem nadzorczym, w tym w celu dostarczenia dodatkowych faktów.
Skarga do sądu
Jak nietrudno się domyślić, skarżący nie był zadowolony z rozstrzygnięcia organu nadzorczego i zaskarżył je do Federalnego Sądu Administracyjnego w Austrii (Bundesverwaltungsgericht). Sąd podzielił stanowisko skarżącego. Wyrokiem z 22 grudnia 2022 r. uwzględnił bowiem jego skargę i stwierdził nieważność decyzji regulatora. W uzasadnieniu wyroku, sąd wskazał, że termin „nadmierny” w rozumieniu art. 57 ust. 4 RODO oznacza nie tylko, że żądania składane są wielokrotnie i często, ale również że są one ewidentnie dokuczliwe lub stanowią naruszenie prawa. W ocenie sądu, działania skarżącego nie wskazywały na jakiekolwiek nadużycie z jego strony. Co więcej, zdaniem sądu, organ nadzorczy powinien uzasadnić czemu zdecydował się odmówić podjęcia działań, zamiast np. pobrać rozsądną opłatę za rozpatrzenie kolejnego żądania, czego w tej sprawie nie uczynił.
Wywiad z Prezesem Urzędu Ochrony Danych Osobowych Mirosławem Wróblewskim. Cz.I
Naczelny Sąd Administracyjny prosi TSUE o pomoc
W związku z odwołaniem od wyroku złożonym przez regulatora, sprawa trafiła do Naczelnego Sądu Administracyjnego (Verwaltungsgerichtshof), który postanowił skorzystać z pomocy TSUE w zakresie interpretacji przepisów RODO. Sąd skierował do TSUE trzy pytania prejudycjalne:
- czy pojęcie „żądanie” lub „żądane działania” zawarte w art. 57 ust. 4 RODO należy interpretować w ten sposób, że obejmuje ono również „skargi”, o których mowa w art. 77 ust. 1 RODO?
- czy art. 57 ust. 4 RODO należy interpretować w ten sposób, że dla zaistnienia „nadmiernego żądania” wystarczy, że osoba, której dane dotyczą, skierowała jedynie określoną liczbę żądań w określonym czasie do organu nadzorczego, niezależnie od tego, czy chodzi o różne okoliczności faktyczne lub żądania (skargi) dotyczą różnych administratorów, czy też konieczny jest, oprócz powtarzalności żądań (skarg), również zamiar nadużycia po stronie osoby, której dane dotyczą?
- czy art. 57 ust. 4 RODO należy interpretować w ten sposób, że organ nadzorczy ma swobodę wyboru w przypadku zaistnienia „ewidentnie nieuzasadnionego” lub „nadmiernego” żądania (skargi), czy pobierze opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych związanych z jego rozpatrzeniem lub odmówi a priori jego rozpatrzenia?
Opinia rzecznika TSUE
Odpowiadając na pierwsze pytanie prejudycjalne, rzecznik generalny TSUE wskazał w swojej opinii, że w jego ocenie pojęcie żądania, o którym mowa w art. 57 ust. 4 RODO obejmuje również skargi do organu nadzorczego, wskazane w art. 77 ust. 1 RODO. W ocenie rzecznika, wyłączenie skarg z zakresu zastosowania art. 57 ust. 4 RODO mogłoby utrudnić regulatorom prawidłową realizację ich zadań i negatywnie wpłynąć na ich funkcjonowanie, co w konsekwencji mogłoby zmierzać do obniżenia poziomu ochrony praw osób.
W odniesieniu do drugiego pytania prejudycjalnego, zdaniem rzecznika TSUE, w świetle art. 57 ust. 4 RODO, żądania osób nie mogą być uznane za nadmierne jedynie ze względu na ich dużą liczbę w określonym czasie. Dla zastosowania tego przepisu konieczne jest – w ocenie rzecznika – wykazanie przez organ nadzorczy, że żądania mają na celu nadużycie prawa. Zdaniem rzecznika, argumentacja regulatora nie była wystarczająca. Skarżący co prawda skierował do organu 77 skargi, jak również wielokrotnie kontaktował się telefonicznie z pracownikami urzędu, niemniej w ocenie rzecznika nic nie wskazuje na to, że działania te miały inny cel niż wyegzekwowanie realizacji praw jednostki, tj. np. celowe zakłócanie pracy organu nadzorczego.
TSUE: Organ nadzorczy może nakazać usunięcie danych osobowych – nawet bez wniosku!
Odpowiadając na trzecie pytanie prejudycjalne, rzecznik TSUE wskazał, że w jego ocenie brzmienie art. 57 ust. 4 RODO wskazuje, że po ustaleniu, że skierowane żądania mają charakter nadmierny, organ nadzorczy może według swojego wyboru – pobrać rozsądną opłatę za realizację żądania albo odmówić podjęcia działań. Nie oznacza to jednak, że regulator może podjąć decyzję w sposób uznaniowy, bez stosownego uzasadnienia. Powinien on zatem z należytą starannością przeanalizować wszystkie okoliczności sprawy, aby być w stanie określić, że wybrane rozwiązanie jest odpowiednie i proporcjonalne. Analiza ta powinna znaleźć swoje potwierdzenie w uzasadnieniu rozstrzygnięcia. Rzecznik TSUE zwrócił również uwagę, że żadna z ww. opcji (pobranie opłaty albo odmowa podjęcia działań) nie ma pierwszeństwa zastosowania.
Wyrok TSUE ważny też dla administratorów
Wyrok TSUE w tej sprawie może mieć duże znaczenie dla funkcjonowania organów nadzorczych, w tym Prezesa Urzędu Ochrony Danych Osobowych. Wydaje się bowiem, że wraz ze wzrostem ilości skarg kierowanych do regulatora może zmniejszać się jego wydajność, co z kolei może mieć oczywisty wpływ chociażby na terminy rozpatrywania spraw. Ważne jest jednak, aby organ nadzorczy nie stosował narzędzi przewidzianych w RODO jedynie w celu uchronienia się przed nadmiernym obciążeniem sprawami.
Wydaje się również, że wyrok TSUE może zawierać cenne wskazówki także dla administratorów. Przepisy RODO (art. 12 ust. 5), przewidują bowiem analogiczne uprawnienie administratora do pobrania opłaty albo odmowy realizacji żądania, w przypadku gdy jest ono ewidentnie nieuzasadnione lub nadmierne.
Wniosek prejudycjalny:
https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=OJ:C_202300012
Opinia rzecznika TSUE: