Ochrona danych osobowych przed komisją śledczą

Art. 16 ust. 2 zdanie pierwsze TFUE i art. 2 ust. 2 lit. a) RODO należy interpretować w ten sposób, że nie można uznać, że dana działalność sytuuje się poza zakresem stosowania prawa Unii, a zatem nie ma do niej zastosowania to rozporządzenie, z tego tylko powodu, że działalność ta jest wykonywana przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej.

Art. 2 ust. 2 lit. a) RODO, rozpatrywany w związku z motywem 16 tego rozporządzenia, należy interpretować w ten sposób, że działalności komisji śledczej powołanej przez parlament państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej, której przedmiotem jest przeprowadzenie dochodzenia w sprawie działań policyjnego organu ochrony państwa ze względu na podejrzenie wywierania nacisków politycznych na ten organ, nie można jako takiej uznać za działalność dotyczącą bezpieczeństwa narodowego, która sytuuje się poza zakresem stosowania prawa Unii w rozumieniu tego przepisu.

Art. 77 ust. 1 i art. 55 ust. 1 RODO należy interpretować w ten sposób, że w przypadku gdy państwo członkowskie zdecydowało się, na podstawie art. 51 ust. 1 tego rozporządzenia, ustanowić jeden organ nadzorczy, nie przyznając mu jednak kompetencji do nadzorowania stosowania tego rozporządzenia przez komisję śledczą powołaną przez parlament tego państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej, wspomniane przepisy bezpośrednio przyznają temu organowi właściwość do rozpoznawania skarg dotyczących przetwarzania danych osobowych przez wspomnianą komisję śledczą.

Ograniczenie zakresu stosowania RODO przewidziane w art. 2 ust. 2 lit. a) tego rozporządzenia odnosi się wyłącznie do kategorii działań, które ze względu na swój charakter nie są objęte zakresem stosowania prawa Unii, a nie do kategorii osób w zależności od ich prywatnego lub publicznego charakteru ani – w sytuacji gdy administratorem danych jest organ publiczny – do okoliczności, że zadania i funkcje tego organu są bezpośrednio i wyłącznie związane z daną prerogatywą władzy publicznej, przy czym prerogatywa ta nie jest związana z działalnością sytuującą się w każdym wypadku poza zakresem stosowania prawa Unii. W związku z tym sama okoliczność, że przetwarzanie danych osobowych jest dokonywane przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania przez niego uprawnień z zakresu kontroli władzy wykonawczej, nie pozwala na ustalenie, że przetwarzanie to jest dokonywane w ramach działalności nieobjętej zakresem prawa Unii w rozumieniu art. 2 ust. 2 lit. a) RODO.

Jedynym celem art. 2 ust. 2 lit. a) RODO, rozpatrywanego w związku z motywem 16 tego rozporządzenia, jest wyłączenie z zakresu stosowania tego rozporządzenia przetwarzania danych osobowych dokonywanego przez organy państwowe w ramach działalności mającej na celu ochronę bezpieczeństwa narodowego lub działalności, która może zostać zaliczona do tej kategorii, wobec czego sam fakt, iż dana działalność jest właściwa państwu lub organowi publicznemu, nie wystarcza, aby wyjątek ten mógł być automatycznie stosowany do takiej działalności [wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima, C‑439/19; z dnia 20 października 2022 r., Koalitsia „Demokratichna Bulgaria – Obedinenie”, C-306/21).

Działalność, której celem jest ochrona bezpieczeństwa narodowego w rozumieniu art. 2 ust. 2 lit. a) RODO, obejmuje w szczególności działalność mającą na celu ochronę podstawowych funkcji państwa i podstawowych interesów społeczeństwa [wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima, C-439/19; z dnia 20 października 2022 r., Koalitsia „Demokratichna Bulgaria – Obedinenie”, C-306/21).

Zgodnie z art. 4 ust. 2 TUE działania takie pozostają w zakresie wyłącznej odpowiedzialności państw członkowskich (zob. podobnie wyrok z dnia 15 lipca 2021 r., Ministrstvo za obrambo, C‑742/19).

Chociaż zgodnie z art. 4 ust. 2 TUE to do państw członkowskich należy określenie ich podstawowych interesów bezpieczeństwa i podjęcie środków zmierzających do zagwarantowania bezpieczeństwa zewnętrznego i wewnętrznego, sama okoliczność, że środek krajowy został podjęty w celu ochrony bezpieczeństwa narodowego, nie powoduje, że prawo Unii nie znajduje zastosowania i nie zwalnia państw członkowskich z konieczności przestrzegania tego prawa (zob. podobnie wyrok z dnia 15 lipca 2021 r., Ministrstvo za obrambo, C-742/19).

Wyjątek przewidziany w art. 2 ust. 2 lit. a) RODO odnosi się wyłącznie do kategorii działań, które ze względu na swój charakter nie są objęte zakresem stosowania prawa Unii, a nie do kategorii osób, w zależności od ich prywatnego lub publicznego charakteru, ani – w sytuacji gdy administratorem danych jest organ publiczny – do okoliczności, że zadania i funkcje tego organu są bezpośrednio i wyłącznie związane z daną prerogatywą władzy publicznej, przy czym prerogatywa ta nie jest związana z działalnością sytuującą się w każdym wypadku poza zakresem stosowania prawa Unii. W tym względzie sama okoliczność, że administrator danych jest organem publicznym, którego główna działalność polega na zapewnieniu ochrony bezpieczeństwa narodowego, nie wystarcza do wyłączenia z zakresu stosowania RODO przetwarzania danych osobowych dokonywanego przez ten organ w ramach innych prowadzonych przez niego czynności.

Parlamentarna komisja śledcza może w ramach swoich prac mieć dostęp do informacji, w szczególności do danych osobowych, które ze względów związanych z bezpieczeństwem narodowym powinny korzystać ze szczególnej ochrony, polegającej na przykład na ograniczeniu informacji, jakie należy przekazać osobom, których dane dotyczą, w odniesieniu do gromadzenia tych danych lub też ograniczeniu dostępu tych osób do wspomnianych danych.

W tym względzie art. 23 RODO stanowi, że obowiązki i prawa przewidziane w art. 5, 12–22 i 34 RODO mogą zostać ograniczone w drodze aktu prawnego w celu zapewnienia między innymi bezpieczeństwa narodowego lub funkcji kontrolnych związanych ze sprawowaniem władzy publicznej, w szczególności w przypadkach dotyczących bezpieczeństwa narodowego.

Wymóg dotyczący ochrony bezpieczeństwa narodowego może zatem uzasadniać ograniczenia, ustanawiane w drodze aktów prawnych, obowiązków i praw wynikających z RODO, w szczególności w odniesieniu do gromadzenia danych osobowych, informowania osób, których dane dotyczą, i ich dostępu do tych danych, a także ich ujawniania bez zgody osób, których dane dotyczą, osobom innym niż administrator danych, pod warunkiem że takie ograniczenia nie naruszają istoty podstawowych praw i wolności osób, których dane dotyczą, i są w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym.

Wyrok TSUE z dnia 16 stycznia 2024 r., C-33/22

Standard: 84086 (pełna treść orzeczenia)