Gromadzenie danych osobowych przez członków wspólnoty religijnej

A A A

Fińska komisja ds. ochrony danych (dalej jako: Komisja) wydała na wniosek krajowego inspektora ochrony danych decyzję zakazującą wspólnocie religijnej świadków Jehowy (dalej jako: Wspólnota) gromadzenia i przetwarzania danych osobowych pozyskanych w ramach działalności kaznodziejskiej realizowanej przez jej członków poprzez odwiedzanie kolejnych gospodarstw domowych, o ile nie będą przestrzegane warunki prawne przetwarzania takich danych, przewidziane w ustawie o danych osobowych (dalej jako: ustawa Nr 523/1999). W ustawie Nr 523/1999 implementowano do prawa fińskiego przepisy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (uchylona przez rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych obowiązujące od 25.5.2018 r.). Ponadto, Komisja zobowiązała Wspólnotę do zaprzestania w terminie 6 miesięcy gromadzenia jakichkolwiek danych osobowych dla jej celów, o ile nie będą przestrzegane te warunki. W uzasadnieniu Komisja uznała, że gromadzenie danych przez członków Wspólnoty stanowi przetwarzanie danych osobowych w rozumieniu ustawy Nr 523/1999 oraz że ta Wspólnota i jej członkowie są łącznie administratorami danych. Wspólnota wniosła do sądu skargę na tę decyzję.

Poprzez pierwsze pytanie prejudycjalne sąd odsyłający dążył do ustalenia, czy art. 3 ust. 2 dyrektywy 95/46 w świetle art. 10 ust. 1 Karty praw podstawowych Unii Europejskiej (dalej jako: Karta) należy interpretować w ten sposób, że gromadzenie danych osobowych przez członków wspólnoty religijnej w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych i późniejsze przetwarzanie tych danych, stanowi przetwarzanie danych osobowych w rozumieniu art. 3 ust. 2 tej dyrektywy?

Z art. 1 ust. 1 i z motywu 10 dyrektywy 95/46 wynika, że jej celem jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a szczególnie prawa do prywatności w zakresie przetwarzania danych osobowych (wyroki: Google Spain i Google, C-131/12, pkt 66; Wirtschaftsakademie Schleswig-Holstein, C-210/16, pkt 26). W art. 3 ust. 1 dyrektywy 95/46 określono, że stosuje się ona do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz do innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych. Jednakże w ust. 2 tego artykułu przewidziano dwa wyjątki od zakresu stosowania dyrektywy 95/46, które muszą podlegać ścisłej wykładni (wyroki: Ryneš, C-212/13, pkt 29; Puškár, C-73/16, EU:C:2017:725, pkt 38). Ponadto, dyrektywa 95/46 nie przewiduje żadnego dodatkowego ograniczenia jej zakresu stosowania (wyrok Satakunnan Markkinapörssi i Satamedia, C-73/07, pkt 46).

Z orzecznictwa TS wynika, że rodzaje aktywności, które zostały wymienione w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46, tytułem przykładu, stanowią w każdym przypadku działalność właściwą władzom państwowym, odmienną od prowadzonej przez podmioty indywidualne. Te rodzaje działalności mają na celu określenie zakresu wyeliminowania przewidzianego w tym przepisie w taki sposób, że to wyłączenie ma zastosowanie wyłącznie do takich aktywności, które zostały w nim wyraźnie wymienione lub które mogą być zaliczone do tej samej kategorii (wyroki: Lindqvist, C-101/01, pkt 43, 44; Satakunnan Markkinapörssi i Satamedia, pkt 41; Puškár, pkt 36, 37). W niniejszej sprawie gromadzenie danych osobowych przez członków Wspólnoty w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych stanowi wyłącznie aktywność religijną jednostek. W ocenie TS taka działalność nie stanowi działalności właściwej władzom państwowym i w konsekwencji nie może zostać utożsamiona z rodzajami działalności określonymi w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46.

Przepis art. 3 ust. 2 tiret drugie dyrektywy 95/46 wyłącza z jej zakresu stosowania przetwarzanie danych wykonywane w trakcie czynności o „czysto” osobistym lub domowym charakterze (wyrok Ryneš, pkt 30). Określenie „o osobistym lub domowym charakterze” w rozumieniu tego przepisu odnosi się do działalności osoby, która przetwarza dane osobowe, a nie osoby, której dane są przetwarzane (wyrok Ryneš, pkt 31, 33). Z orzecznictwa TS wynika, że art. 3 ust. 2 tiret drugie dyrektywy 95/46 należy interpretować jako obejmujący jedynie działania wchodzące w zakres życia prywatnego lub rodzinnego podmiotów indywidualnych. W tym względzie danej czynności nie można uznać za czynność o czysto osobistym lub domowym charakterze w rozumieniu tego przepisu, gdy jej celem jest udostępnienie danych osobowych nieokreślonej liczbie osób lub też gdy ta czynność rozciąga się choćby częściowo na przestrzeń publiczną i tym samym jest skierowana poza sferę prywatną osoby dokonującej przetwarzania danych (wyroki: Lindqvist, pkt 47; Satakunnan Markkinapörssi i Satamedia, pkt 44). Z postanowienia odsyłającego wynika, że działalność kaznodziejska realizowana poprzez odwiedzanie kolejnych gospodarstw domowych, w ramach której członkowie Wspólnoty gromadzą dane osobowe, ma z samej swojej natury na celu propagowanie wiary Wspólnoty wśród osób, które nie należą do gospodarstwa domowego członków. Działalność ta jest więc skierowana poza ich sferę prywatną. Ponadto, gromadzone przez nich niektóre dane są przekazywane zborom tej Wspólnoty, które prowadzą na podstawie tych danych listy osób nieżyczących już sobie kolejnych takich wizyt. Tym samym w ramach swojej działalności kaznodziejskiej udostępniają przynajmniej niektóre ze zgromadzonych danych potencjalnie nieograniczonej liczbie osób.

Trybunał przypomniał, że prawo do wolności sumienia i religii, sformułowane w art. 10 ust. 1 Karty, oznacza w szczególności wolność każdego do uzewnętrzniania swej religii lub przekonań, indywidualnie lub wspólnie z innymi, publicznie lub prywatnie, poprzez uprawianie kultu, nauczanie, praktykowanie i uczestniczenie w obrzędach. W Karcie przyjęto szerokie znaczenie zawartego w tym postanowieniu pojęcia „religia”, które może obejmować zarówno forum internum, czyli fakt posiadania przekonań, jak i forum externum, czyli publiczne uzewnętrznianie wyznawanej wiary (wyrok Liga van Moskeeën en Islamitische Organisaties Provincie Antwerpen i in., C-426/16, pkt 44). Ponadto, jako że wolność uzewnętrzniania swej religii, indywidualnie lub wspólnie z innymi, publicznie lub prywatnie, może przybierać różne formy, takie jak: nauczanie, praktykowanie i uczestniczenie w obrzędach, obejmuje ona również prawo do starania się o przekonanie innych osób, np. za pośrednictwem kaznodziejstwa (wyroki ETPCz w sprawach: Kokkinakis przeciwko Grecji, § 31; Perry przeciwko Łotwie, § 52). Działalność kaznodziejska realizowana poprzez odwiedzanie kolejnych gospodarstw domowych przez członków wspólnoty religijnej jest chroniona przez art. 10 ust. 1 Karty jako wyraz wiary głosiciela lub głosicieli. Jednakże TS podkreślił, że ta okoliczność nie spowoduje uznania, że jest to działalność o czysto osobistym lub domowym charakterze w rozumieniu art. 3 ust. 2 tiret drugie dyrektywy 95/46. Działalność kaznodziejska wykracza bowiem poza sferę prywatną członka głosiciela danej wspólnoty religijnej.

Trybunał orzekł, że art. 3 ust. 2 dyrektywy 95/46 w świetle art. 10 ust. 1 Karty należy interpretować w ten sposób, że gromadzenie danych osobowych przez członków wspólnoty religijnej w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych i późniejsze przetwarzanie tych danych nie stanowi ani przetwarzania danych osobowych w ramach działalności, o której mowa w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46, ani przetwarzania danych osobowych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu art. 3 ust. 2 tiret drugie tej dyrektywy.

Poprzez drugie pytanie prejudycjalne sąd odsyłający dążył do ustalenia, czy art. 2 lit. c) dyrektywy 95/46 należy interpretować w ten sposób, że pojęcie „zbiór”, o którym mowa w tym przepisie, obejmuje zestaw danych osobowych gromadzonych w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych, zawierających nazwiska i adresy oraz inne informacje dotyczące odwiedzonych osób, o ile te dane mogą być w praktyce łatwo odnalezione dla celów ich późniejszego wykorzystania, lub czy też ten zestaw, aby był objęty tym pojęciem, musi zawierać kartoteki, szczególne rejestry lub inne systemy służące wyszukiwaniu?

Z art. 3 ust. 1 i z motywów 15 i 27 dyrektywy 95/46 wynika, że dotyczy ona zarówno zautomatyzowanego przetwarzania danych osobowych, jak i ręcznego ich przetwarzania. Tym samym nie uzależnia ochrony przyznawanej osobom, których dane są przetwarzane, od zastosowanych technik, aby uniknąć ryzyka obchodzenia tej ochrony. Jednak przepisy dyrektywy 95/46 stosuje się do ręcznego przetwarzania danych osobowych tylko w przypadku, gdy stanowią one część zbioru danych lub mają stanowić część zbioru danych. Z art. 2 lit. c) dyrektywy 95/46 wynika, że pojęcie „zbiór” obejmuje „każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie”. Trybunał wskazał, że w tym przepisie zdefiniowano w szeroki sposób to pojęcie, w szczególności odnosząc się do każdego uporządkowanego zestawu danych osobowych. Z motywów 15 i 27 dyrektywy 95/46 wynika, że zawartość zbiorów musi być zorganizowana w celu zapewnienia łatwego dostępu do danych osobowych i powinny „dotyczyć osób fizycznych”. W ocenie TS wymóg, zgodnie z którym zestaw danych osobowych musi mieć charakter „zorganizowany według określonych kryteriów”, ma jedynie na celu umożliwienie, aby dane dotyczące osoby mogły zostać łatwo odnalezione. Poza tym wymogiem art. 2 lit. c) dyrektywy 95/46 nie przewiduje ani szczegółowych zasad, zgodnie z którymi zbiór musi być zorganizowany, ani postaci, jaką musi on przyjąć.

W niniejszej sprawie dane zbierane w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych są gromadzone jako zapiski po to, aby ułatwić organizowanie późniejszych wizyt składanych u osób, które zostały już odwiedzone. Dane zawierają nie tylko informacje dotyczące treści rozmów dotyczących przekonań odwiedzonej osoby, ale również jej nazwisko i adres. Ponadto te informacje, a przynajmniej niektóre z nich, są wykorzystywane do sporządzania prowadzonych przez zbory Wspólnoty list osób nieżyczących już sobie kolejnych wizyt. W ocenie TS dane gromadzone w ramach rozpatrywanej działalności kaznodziejskiej są zorganizowane według kryteriów przyjętych w zależności od celu, któremu ma służyć to gromadzenie, a którym jest przygotowanie późniejszych wizyt i prowadzenie list osób nieżyczących już sobie odwiedzin. Kryteria te, wśród których znajdują się w szczególności nazwiska i adresy odwiedzonych osób, ich przekonania, a nawet wzmianka, że nie życzą już sobie wizyt, zostały wybrane tak, aby umożliwić łatwe odnalezienie danych dotyczących określonych osób. Trybunał stwierdził, że kwestia, według jakiego konkretnego kryterium i w jakiej dokładnie postaci zestaw danych osobowych gromadzonych przez każdego z głosicieli jest faktycznie zorganizowany, jest pozbawiona znaczenia, o ile ten zestaw pozwala na łatwe odnalezienie danych dotyczących określonej odwiedzonej osoby, czego sprawdzenie należy jednak do sądu odsyłającego w świetle wszystkich okoliczności rozpatrywanej sprawy.

Trybunał orzekł, że art. 2 lit. c) dyrektywy 95/46 należy interpretować w ten sposób, że pojęcie „zbiór”, o którym mowa w tym przepisie, obejmuje zestaw danych osobowych gromadzonych w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych, zawierających nazwiska i adresy oraz inne informacje dotyczące odwiedzonych osób, o ile dane te są zorganizowane według określonych kryteriów umożliwiających w praktyce ich łatwe odnalezienie dla celów ich późniejszego wykorzystania. Aby zestaw taki był objęty tym pojęciem, nie jest konieczne, aby zawierał kartoteki, szczególne rejestry lub inne systemy służące wyszukiwaniu.

Poprzez kolejne pytania prejudycjalne sąd odsyłający dążył do ustalenia, czy art. 2 lit. d) dyrektywy 95/46 w świetle art. 10 ust. 1 Karty należy interpretować w ten sposób, że pozwala on uznać wspólnotę religijną wspólnie z jej członkami głosicielami za administratora danych osobowych w odniesieniu do przetwarzania dokonywanego przez tych członków w ramach zorganizowanej, koordynowanej i wspieranej przez wspólnotę działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych?

Na wstępie TS zaznaczył, że kwestionowana jest jedynie odpowiedzialność tej Wspólnoty, a odpowiedzialność członków-głosicieli nie wydaje się być podważona.

W art. 2 lit. d) dyrektywy 95/46 przewidziano, że pojęcie „administrator danych” oznacza osobę fizyczną lub prawną, która „samodzielnie lub wspólnie z innymi podmiotami” określa cele i sposoby przetwarzania danych. Termin ten nie odnosi się do pojedynczej osoby fizycznej lub prawnej, ale może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy czym każdy z nich musi podlegać wówczas przepisom obowiązującym w dziedzinie ochrony danych (wyrok Wirtschaftsakademie Schleswig-Holstein, pkt 29). Celem tego przepisu jest zapewnienie, poprzez przyjęcie szerokiej definicji pojęcia „administrator”, skutecznej i pełnej ochrony osobom, których dane dotyczą. Przy czym istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów w odniesieniu do tego samego przetwarzania danych osobowych. Wręcz przeciwnie, te podmioty mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy (wyrok Wirtschaftsakademie Schleswig-Holstein, pkt 28, 43, 44). Trybunał wskazał, że żaden przepis dyrektywy 95/46 nie pozwala na uznanie, że określenie celów i sposobów przetwarzania musi odbywać się za pomocą pisemnych wytycznych lub instrukcji ze strony administratora danych. Natomiast osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, może być uznana za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Ponadto, wspólna odpowiedzialność kilku podmiotów w zakresie tego samego przetwarzania na mocy tego przepisu nie zakłada, aby każdy z nich miał dostęp do odnośnych danych osobowych (wyrok Wirtschaftsakademie Schleswig-Holstein, pkt 38).

W rozpatrywanej sprawie TS stwierdził, że gromadzenie danych osobowych dotyczących odwiedzonych osób i ich późniejsze przetwarzanie służą realizacji celu Wspólnoty zakładającego propagowanie jej wiary i w związku z tym są dokonywane przez członków-głosicieli dla celów własnych tej Wspólnoty. Ponadto Wspólnota nie tylko wie, że takie przetwarzanie odbywa się dla celów propagowania jej wiary, lecz także organizuje i koordynuje działalność kaznodziejską swoich członków, w szczególności poprzez podział obszarów aktywności pomiędzy poszczególnych głosicieli. Takie okoliczności pozwalają uznać, zdaniem TS, że Wspólnota zachęca swoich członków do dokonywania w ramach ich działalności kaznodziejskiej przetwarzania danych osobowych. Trybunał uznał, że Wspólnota organizując, koordynując i wspierając działalność kaznodziejską członków w celu propagowania swojej wiary, uczestniczy wspólnie z członkami-głosicielami w określaniu celów i sposobów przetwarzania danych osobowych odwiedzonych osób, czego sprawdzenie należy jednak do sądu odsyłającego w świetle wszystkich okoliczności niniejszej sprawy. Trybunał podkreślił, że tego stwierdzenia nie może podważyć zasada autonomii organizacyjnej wspólnot religijnych, która wynika z art. 17 TFUE. Z orzecznictwa TS wynika, że spoczywający na wszystkich osobach obowiązek dostosowania się do unijnego prawa ochrony danych osobowych nie można bowiem uznać za ingerencję w autonomię organizacyjną tych wspólnot (wyrok Egenberger, C-414/16, pkt 58).

Trybunał orzekł, że art. 2 lit. d) dyrektywy 95/46 w świetle art. 10 ust. 1 Karty należy interpretować w ten sposób, że pozwala on uznać wspólnotę religijną wspólnie z jej członkami głosicielami za administratora danych osobowych w odniesieniu do przetwarzania dokonywanego przez tych członków głosicieli w ramach zorganizowanej, koordynowanej i wspieranej przez wspólnotę działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych. Przy czym nie jest konieczne, aby ta Wspólnota miała dostęp do danych, ani nie musi zostać ustalone, że udzielała ona swoim członkom pisemnych wytycznych lub instrukcji dotyczących tego przetwarzania.

Wyrok TS z 10.7.2018 r., Jehovan todistajat, C-25/17




 

Źódło: www.curia.eu

opracowała: dr Ewa Skibińska - WPiA UKSW w Warszawie, eskibinska@wp.pl

Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Gromadzenie danych osobowych przez członków wspólnoty religijnej
Ewa Skibińska (oprac.)
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny