>Orzecznictwo>ETS >

Należy stwierdzić, że rozpowszechniając wersję spornego dokumentu, z którego usunięto nazwiska pięciu uczestników spotkania z dnia 11 października 1996 r., Komisja nie naruszyła przepisów rozporządzenia nr 1049/2001 i wystarczająco zastosowała się do obowiązku przejrzystości. Skoro Bavarian Lager nie dostarczyła żadnego wyraźnego i prawnie usankcjonowanego uzasadnienia ani żadnego przekonywającego argumentu w celu wykazania konieczności przekazania tych danych osobowych, Komisja nie miała możliwości wyważenia różnych interesów zainteresowanych stron. Nie miała też możliwości sprawdzenia, czy istniał jakikolwiek powód, by zakładać, że uprawnione interesy podmiotów danych mogą zostać naruszone, co nakazuje druga część art. 8 lit. b) rozporządzenia nr 45/2001.

Zagwarantowanie niezależności krajowych organów nadzorczych ma na celu zapewnienie skuteczności i pewności kontroli przestrzegania przepisów w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i powinno być interpretowane w świetle tego celu. Niezależność została przyjęta nie celem przyznania tym organom i ich pracownikom szczególnego statusu, lecz celem wzmocnienia ochrony osób i instytucji, których dotyczą decyzje tych organów. Z tego wynika, że przy wykonywaniu swoich obowiązków organy nadzorcze powinny działać w sposób obiektywny i bezstronny. W tym zakresie powinny pozostawać poza jakimkolwiek wpływem z zewnątrz, w tym bezpośrednim czy pośrednim wpływem państwa czy krajów związkowych, a nie tylko poza wpływem organów kontrolujących.

Artykuł 12 dyrektywy 95/46, pomimo tego, że wymienia różne aspekty dotyczące prawa dostępu, skupia się na innych kwestiach związanych z przetwarzaniem danych, a nie na danych. Zastrzeżenie to jest użyteczne, aby stwierdzić, iż w odniesieniu do danych, dostęp do nich jest nieograniczony.

Do państw członkowskich należy również określenie okresu przechowywania informacji o odbiorcach lub kategoriach odbiorców danych podstawowych oraz treści przekazanych danych oraz przewidzenie dostępu do tej informacji, który stanowiłby rezultat właściwego wyważenia między, z jednej strony, interesem osoby, której dane dotyczą, w ochronie jej życia prywatnego, w szczególności za pośrednictwem praw do sprostowania, usunięcia lub zablokowania danych i w przypadku niezgodności ich przetwarzania z dyrektywą.

Kwestia dotycząca ochrony danych i prywatności nie jest podporządkowana celowi ułatwienia swobodnego przepływu danych; istnieje równolegle obok niego i stanowi podstawę każdego zgodnego z prawem przetwarzania danych. Innymi słowy, w kontekście dyrektywy 95/46/WE, ochrona danych nie jest jedynie kwestią uboczną działalności gospodarczej, która mogłaby być usprawniona dzięki przetwarzaniu danych; istnieje na równi z nią.

W związku z tym różnica w traktowaniu obywateli nie będących obywatelami Unii i obywateli Unii wynikająca z systematycznego przetwarzania danych osobowych dotyczących wyłącznie obywateli Unii niebędących obywatelami danego państwa członkowskiego służąca realizacji celu zwalczania przestępczości stanowi dyskryminację zakazaną przez art. 12 akapit pierwszy WE.  

Artykuł 6 ust. 1 lit. c) oraz art. 7 lit. c) i e) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych nie stoją na przeszkodzie regulacji krajowej takiej jak rozpatrywana w postępowaniach przed sądami krajowymi, jeżeli zostanie wykazane, że szerokie rozpowszechnienie informacji nie tylko o wysokości rocznych dochodów przekraczających pewien próg, pobieranych przez osoby zatrudnione przez podmioty podlegające kontroli Rechnungshof, ale także o nazwiskach beneficjentów tych dochodów jest zarazem konieczne i stosowne względem celu, jakim jest prawidłowe zarządzanie funduszami publicznymi, przy czym zbadanie tej kwestii należy do sądów krajowych.  

Warto zaznaczyć, że pojęcia przetwarzania i przekazywania danych osobowych w pewnym stopniu się pokrywają. Na przykład ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie takich danych moim zdaniem mogą stanowić równocześnie operację ich przetwarzania oraz przekazywania w rozumieniu omawianej dyrektywy. W niniejszej sprawie pojęcia przekazywania i przetwarzania pokrywają się w zakresie, w jakim ustanowiony system ma w szczególności na celu udostępnienie dla CBP danych PNR. Taki stan rzeczy można moim zdaniem wyjaśnić bardzo szeroką definicją przetwarzania, która obejmuje obszerną listę operacji. Ostatecznie, przy takim założeniu, przekazywanie danych do państwa trzeciego oznacza szczególną formę przetwarzania.

Rada utrzymuje, że dyrektywa, wydana zgodnie z prawem na podstawie art. 100 A traktatu, zawiera w art. 25 przepisy przewidujące możliwość przekazania danych osobowych do państwa trzeciego zapewniającego odpowiedni stopień ochrony, w tym możliwość podjęcia w razie potrzeby negocjacji w celu zawarcia przez Wspólnotę umowy z tym państwem. Porozumienie dotyczy jej zdaniem swobody przepływu danych PNR między Wspólnotą a Stanami Zjednoczonymi w warunkach zapewniających poszanowanie wolności i praw podstawowych, w szczególności ochrony prywatności. Zdaniem Trybunału artykuł 95 WE, w związku z art. 25 dyrektywy, nie może stanowić podstawy kompetencji Wspólnoty do zawarcia porozumienia. Porozumienie dotyczy bowiem tego samego przekazywania danych co decyzja o odpowiedniej ochronie, czyli przetwarzania danych wyłączonego, jak zostało to stwierdzone powyżej, z zakresu zastosowania dyrektywy. W związku z tym decyzja 2004/496 nie mogła zostać zgodnie z prawem wydana na podstawie art. 95 WE.  

Dyrektywy 2000/31, 2001/29, 2004/48 i 2002/58 nie zobowiązują państw członkowskich do ustanowienia obowiązku przekazania danych osobowych w celu zapewnienia skutecznej ochrony praw autorskich w ramach postępowania cywilnego. Prawo wspólnotowe wymaga jednak, by przy transpozycji tych dyrektyw oparły się one na takiej wykładni tych dyrektyw, która pozwoli na zapewnienie odpowiedniej równowagi między poszczególnymi prawami podstawowymi chronionymi przez wspólnotowy porządek prawny.

Dane osobowe zawarte w drukowanych lub elektronicznych spisach abonentów dostępnych publicznie lub za pośrednictwem usług informacji telefonicznej powinny być ograniczone do danych niezbędnych do identyfikacji konkretnego abonenta, chyba że abonent wyraził jednoznaczną zgodę na publikację dodatkowych informacji

Podmioty przydzielające numery telefonu mają obowiązek udostępniać osobom trzecim jedynie dane dotyczące abonentów, którzy nie sprzeciwili się umieszczeniu ich w spisie przeznaczonym do publikacji, wystarczające do zidentyfikowania przez użytkowników spisu poszukiwanych abonentów. Dane te to, co do zasady, nazwisko i adres z kodem pocztowym abonenta oraz numer lub numery przydzielone mu przez zobowiązany podmiot

Używając pojęcia „wyłącznie” art. 9 dyrektywy o ochronie danych osobowych przypomina o specyficznym celu przetwarzania danych, który został ogólnie określony w art. 6 lit. b) dyrektywy o ochronie danych osobowych. Stosownie do treści tego artykułu, dane osobowe zasadniczo nie mogą być poddawane dalszemu przetwarzaniu w sposób niezgodny z celem ich gromadzenia. W konsekwencji także wyjątek z art. 9 znajduje zastosowanie tylko do czynności przetwarzania, które służą wyłącznie celom dziennikarskim. W przypadku dążenia również do osiągnięcia innych celów, których nie można uznać za dziennikarskie, przywilej mediów nie znajduje zastosowania.

Działania polegające na przetwarzaniu danych osobowych dotyczące zbiorów władz publicznych obejmujących dane osobowe, które zawierają jedynie materiał informacyjny już upowszechniony przez media, należą do zakresu zastosowania dyrektywy 95/46.

Sąd popełnił błąd ograniczając wyjątek, o którym mowa w sposób wyłączający prawodawstwo wspólnotowe związane z ochroną danych osobowych z zakresu stosowania tego wyjątku w sytuacjach, w których zażądano dostępu do danych osobowych zawartych w dokumencie.

Dostęp do dokumentów zawierających dane osobowe wchodzi zatem w zakres stosowania rozporządzenia nr 1049/2001, zgodnie z którym, co do zasady, wszystkie dokumenty instytucji winny być publicznie dostępne. Stanowi ono także, że w niektórych wypadkach należy chronić interes prywatny i publiczny za pomocą systemu wyjątków. Rozporządzenie to przewiduje zaś przypomniany powyżej wyjątek dotyczący przypadku, w którym ujawnienie naruszyłoby prawo do ochrony prywatności i integralności osoby fizycznej, w szczególności ustanowione przez ustawodawstwo Wspólnoty związane z ochroną danych osobowych, takie jak rozporządzenie nr 45/2001. W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem analiza wymagana przy rozpatrywaniu wniosku o udzielenie dostępu do dokumentów musi mieć charakter konkretny. Po pierwsze bowiem, sama okoliczność, iż dany dokument dotyczy interesu chronionego przez jeden z wyjątków, nie jest wystarczająca do uzasadnienia stosowania tego wyjątku (zob. podobnie ww. wyrok w sprawie Denkavit Nederland przeciwko Komisji, pkt 45). Po drugie, ryzyko naruszenia chronionego interesu winno być racjonalnie możliwe do przewidzenia, a nie tylko czysto hipotetyczne. W konsekwencji badanie, jakie powinna przeprowadzić instytucja celem stosowania wyjątku, musi dotyczyć konkretnie danego dokumentu, co winno wynikać z uzasadnienia decyzji.