Ograniczenie zakresu obowiązków i praw przewidzianych w art. 5, art.12–22 i w art. 34 (art. 23 RODO)

Art. 23 RODO stanowi, że obowiązki i prawa przewidziane w art. 5, 12–22 i 34 RODO mogą zostać ograniczone w drodze aktu prawnego w celu zapewnienia między innymi bezpieczeństwa narodowego lub funkcji kontrolnych związanych ze sprawowaniem władzy publicznej, w szczególności w przypadkach dotyczących bezpieczeństwa narodowego.

Wymóg dotyczący ochrony bezpieczeństwa narodowego może zatem uzasadniać ograniczenia, ustanawiane w drodze aktów prawnych, obowiązków i praw wynikających z RODO, w szczególności w odniesieniu do gromadzenia danych osobowych, informowania osób, których dane dotyczą, i ich dostępu do tych danych, a także ich ujawniania bez zgody osób, których dane dotyczą, osobom innym niż administrator danych, pod warunkiem że takie ograniczenia nie naruszają istoty podstawowych praw i wolności osób, których dane dotyczą, i są w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym.

Parlamentarna komisja śledcza może w ramach swoich prac mieć dostęp do informacji, w szczególności do danych osobowych, które ze względów związanych z bezpieczeństwem narodowym powinny korzystać ze szczególnej ochrony, polegającej na przykład na ograniczeniu informacji, jakie należy przekazać osobom, których dane dotyczą, w odniesieniu do gromadzenia tych danych lub też ograniczeniu dostępu tych osób do wspomnianych danych. Sama okoliczność, że administrator danych jest organem publicznym, którego główna działalność polega na zapewnieniu ochrony bezpieczeństwa narodowego, nie wystarcza do wyłączenia z zakresu stosowania RODO przetwarzania danych osobowych dokonywanego przez ten organ w ramach innych prowadzonych przez niego czynności (art. 2 ust. 2 lit. a) RODO).

Wyrok TSUE z dnia 16 stycznia 2024 r., C-33/22

Standard: 84084 (pełna treść orzeczenia)

Rozdziały II i III rozporządzenia 2016/679 określają odpowiednio zasady dotyczące przetwarzania danych osobowych oraz prawa osoby, której dane dotyczą, jakie powinny być przestrzegane przy każdym przetwarzaniu danych osobowych. W szczególności każde przetwarzanie danych osobowych powinno być zgodne z zasadami dotyczącymi przetwarzania takich danych, określonymi w art. 5 wspomnianego rozporządzenia (zob. podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C-511/18, C-512/18 i C-520/18).

Artykuł 23 rozporządzenia 2016/679 upoważnia jednak Unię i państwa członkowskie do przyjmowania „aktów prawnych” ograniczających zakres obowiązków i praw przewidzianych w szczególności w art. 5 tego rozporządzenia – o ile przepisy takich aktów odpowiadają prawom i zobowiązaniom przewidzianym w art. 12–22 tego rozporządzenia – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym ważnym celom leżącym w ogólnym interesie publicznym Unii lub danego państwa członkowskiego, takim jak w szczególności ważny interes gospodarczy lub finansowy, między innymi w dziedzinach budżetowych i podatkowych.

W tym względzie z motywu 41 rozporządzenia 2016/679 wynika, że zawarte w tym rozporządzeniu odniesienie do „aktu prawnego” niekoniecznie oznacza, że wymagane jest przyjęcie aktu prawnego przez parlament. Niemniej jednak - jak stanowi motyw 4 rozporządzenia 2016/679 – rozporządzenie to nie narusza praw podstawowych, wolności i zasad uznanych w karcie oraz zapisanych w traktatach, do których należy w szczególności ochrona danych osobowych.

Zgodnie z art. 52 ust. 1 zdanie pierwsze karty wszelkie ograniczenia w korzystaniu z uznanych w tym akcie praw i wolności, do których należą między innymi prawo do poszanowania życia prywatnego, zagwarantowane w art. 7 karty, oraz prawo do ochrony danych osobowych, zapisane w art. 8 karty, muszą być przewidziane ustawą, co oznacza w szczególności, że podstawa prawna umożliwiająca ingerencję w te prawa powinna sama określać zakres ograniczenia wykonywania danego prawa (zob. podobnie wyrok z dnia 6 października 2020 r., Privacy International, C-623/17).

Uregulowanie zawierające środek umożliwiający taką ingerencję musi zawierać jasne i precyzyjne przepisy regulujące zakres i sposób stosowania takiego środka oraz ustanawiające minimalne wymogi służące temu, aby osoby, których dane osobowe zostały przekazane, miały wystarczające gwarancje pozwalające na skuteczną ochronę tych danych przed ryzykiem nadużyć (zob. podobnie wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C-746/18).

Wyrok TSUE z dnia 24 lutego 2022 r., C-175/20

Standard: 84241 (pełna treść orzeczenia)