Do austriackiej poczty, będącej głównym operatorem usług pocztowych i logistycznych w Austrii, wpłynął wniosek obywatela o przekazanie mu informacji dotyczących tożsamości odbiorców, którym Österreichische Post przekazała dotyczące go dane osobowe.
Poczta przekazała dane w celach marketingowych
Podstawą tego wniosku było ogólne rozporządzenie o ochronie danych osobowych (RODO). Rozporządzenie to przewiduje, że osoba, której dane dotyczą jest uprawniona do uzyskania informacji dotyczących odbiorców lub kategorii odbiorców, którym jej dane osobowe zostały lub zostaną przekazane.
PROCEDURA w LEX: Realizacja wniosku osoby, której dane dotyczą, o udzielenie informacji (prawo dostępu do danych osobowych) - postępowanie krok po kroku >>>
W odpowiedzi na wniosek obywatela, Österreichische Post ograniczyła się do poinformowania, że wykorzystuje dane osobowe w zakresie zgodnym z prawem w ramach swej działalności wydawcy książek adresowych, i że oferuje te dane swym partnerom handlowym do celów marketingowych. Obywatel ten pozwał Österreichische Post przed sądami austriackimi.
W toku postępowania sądowego Österreichische Post poinformowała również tego obywatela, że dotyczące go dane osobowe były przekazywane klientom, w tym reklamodawcom w sektorze sprzedaży wysyłkowej i handlu stacjonarnego, przedsiębiorstwom informatycznym, wydawcom książek adresowych i stowarzyszeniom takim jak organizacje charytatywne, organizacjom pozarządowym (NGO) lub partiom politycznym.
Oberster Gerichtshof (sąd najwyższy, Austria), rozstrzygający spór w ostatniej instancji, pragnie ustalić, czy RODO pozostawia administratorowi danych wybór czy ujawni konkretną tożsamość odbiorców danych, czy też wyłącznie kategorie odbiorców oraz czy RODO przyznaje osobie, której dane dotyczą prawo poznania konkretnej tożsamości tych odbiorców.
Czytaj w LEX: Analiza decyzji administracyjnych Prezesa UODO z lat 2018-2021 >>>
Czytaj w LEX: Udostępnianie kopii danych – problemy i rozwiązania >>>
Administrator ma podać, komu przekazał dane
W wydanym 12 stycznia br. wyroku Trybunał odpowiedział, że jeżeli dane osobowe zostały lub zostaną ujawnione odbiorcom, administrator danych jest zobowiązany wskazać osobie, której dane dotyczą, na jej wniosek, dokładną tożsamość tych odbiorców. Jedynie jeżeli nie jest (jeszcze) możliwe zidentyfikowanie tych odbiorców, administrator może ograniczyć się do wskazania wyłącznie kategorii odnośnych odbiorców. Jest tak również wówczas, gdy administrator danych wykaże, że wniosek jest ewidentnie nieuzasadniony lub nadmierny.
Trybunał podkreślił, że prawo dostępu osoby, której dane dotyczą jest niezbędne, aby umożliwić jej skorzystanie z innych praw przyznanych jej na podstawie RODO, to znaczy prawa do sprostowania, prawa do usunięcia danych („prawa do bycia zapomnianym”), prawa do ograniczenia przetwarzania, prawa sprzeciwu wobec przetwarzania czy też prawa do korzystania ze środków prawnych w razie poniesienia szkody.
Czytaj: Zanonimizowanym sprawom prejudycjalnym TSUE nada fikcyjne nazwy>>