Trybunał Sprawiedliwości Unii Europejskiej (TSUE) orzekł, że dane osób fizycznych reprezentujących osoby prawne (np. członków zarządów) to dane osobowe. W ocenie TSUE, bez znaczenia pozostaje fakt, że są one przetwarzane wyłącznie w celu identyfikacji danej osoby jako reprezentanta osoby prawnej. Wyrok został wydany 3 kwietnia br. w sprawie C – 710/23 (L.H. przeciwko Ministerstvo zdravotnictví).
Stan faktyczny
Sprawa miała swój początek, gdy pewna osoba (L.H.) złożyła wniosek o udzielenie informacji publicznej do czeskiego ministerstwa zdrowia. We wniosku zawarta była m.in. prośba o ujawnienie danych osobowych osób, które podpisały zawarte przez ministerstwo umowy dotyczące zakupu testów przesiewowych na Covid 19. Ministerstwo, powołując się na ochronę danych osobowych, odmówiło spełnienia tej prośby. Warto zaznaczyć, że ministerstwo udzieliło L.H. odpowiedzi na inne pytania objęte wnioskiem, np. co do certyfikatów posiadanych przez wspomniane testy.
Postępowanie przed sądem krajowym
Wnioskodawca zaskarżył decyzję do Sądu Miejskiego w Pradze. Wniósł on o stwierdzenie jej nieważności z powodu uchybień proceduralnych. Sąd przychylił się do tej skargi, stwierdzając, że w postępowaniu, którego przedmiotem jest ujawnienie danych osobowych wymaga się – zgodnie z czeskim orzecznictwem sądowym – nadania osobom, których dane dotyczą, statusu uczestników postępowania. Zgodnie z tymi zasadami, przed podjęciem decyzji o udostępnieniu bądź nieudostępnieniu danych osobowych, organ publiczny powinien zasięgnąć opinii osób, których dotyczą, czego w tym przypadku nie zrobiono.
Ministerstwo nie zgodziło się z decyzją sądu pierwszej instancji i zaskarżyło ją do Naczelnego Sądu Administracyjnego Republiki Czeskiej. Ministerstwo wskazało, że nie istniała możliwość skontaktowania się ze wskazanymi osobami. Co najbardziej istotne, w toku postępowania sąd nabrał wątpliwości, czy dane, których dotyczyło postępowanie są w ogóle danymi osobowymi w rozumieniu przepisów o ochronie danych osobowych. W związku z wątpliwościami, sąd zawiesił postępowanie i wystąpił z dwoma pytaniami prejudycjalnymi do TSUE.
Pytania prejudycjalne
Pierwsze pytanie dotyczyło kwestii uznania danych reprezentanta osoby prawnej (imię, nazwisko, podpis) za dane osobowe, w sytuacji, w której służą one jedynie do zidentyfikowania osoby występującej w imieniu osoby prawnej. TSUE zdecydowanie opowiedział się za szeroką interpretacją RODO w tym zakresie, wskazując, że dane pozwalające na identyfikację osób fizycznych są danymi osobowymi bez względu na cel przetwarzania. Tym samym podlegają one przepisom RODO.
Pytanie drugie dotyczyło natomiast dopuszczalności – wynikającej z orzecznictwa czeskich sądów – zasady, zgodnie z którą udostępniając dokumenty urzędowe należy informować osoby, których dane się w nich znajdują. TSUE stwierdził, że taka praktyka jest – co do zasady – dopuszczalna. Zdaniem TSUE należy jednak uważać, aby zasada ta nie stała się przeszkodą uniemożliwiającą bądź nadmiernie utrudniającą dostęp do informacji publicznej.
Źródło: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:62023CJ0710
