Czy trzeba przekazać tożsamość odbiorców danych osobowych?

Na tytułowe pytanie ciekawe stanowisko zajął Trybunał Sprawiedliwości UE.

Sprawa rozpoczęła się od żądania dostępu do informacji o tożsamości odbiorców danych osobowych złożonego do głównego operatora pocztowego w Austrii przez osobę, której dane dotyczą. W odpowiedzi operator pocztowy przekazał żądającemu informacje o kategoriach odbiorców danych osobowych.

W ocenie żądającego operator nie zrealizował żądania i w związku z tym na tytułowe pytanie przyszło odpowiedzieć austriackim sądom. 

W toku postępowania operator przekazał żądającemu bardziej szczegółowe informacje, jednak nadal wskazując tylko kategorie odbiorców danych osobowych. 

Sądy dwóch instancji oddaliły pozew wskazując, że administrator danych osobowych ma możliwość wskazania (zgodnie z art. 15 ust. 1 lit. c) RODO jedynie kategorii odbiorców danych, bez konieczności wskazywania tożsamości odbiorców danych.

Sprawa trafiła ostatecznie do austriackiego Sądu Najwyższego, który zinterpretował, że osoba, której dane dotyczą może wybrać, czy potrzebuje tylko kategorii odbiorców danych, czy tożsamości konkretnych odbiorców danych, w związku z tym sąd postanowił zawiesić postępowanie i skierować pytanie prejudycjalne do Trybunału Sprawiedliwości Unii Europejskiej.

Trybunał w odpowiedzi stwierdził, że prawo dostępu do danych osobowych należy interpretować w ten sposób – w przypadku gdy dane te zostały lub zostaną ujawnione odbiorcom – że na administratorze danych ciąży obowiązek podania tej osobie dokładnej tożsamości tych odbiorców, chyba że nie jest możliwe zidentyfikowanie tych odbiorców lub tenże administrator danych wykaże, że wnioski o uzyskanie dostępu złożone przez osobę, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne w rozumieniu RODO (art. 12 ust. 5 RODO), w których to przypadkach administrator ten może wskazać tej osobie wyłącznie kategorie odnośnych odbiorców.

Źródło: wyrok TSUE z dnia 12 stycznia 2023 r. w sprawie C‑154/21.