1. L.H. złożył do ministerstwa zdrowia wniosek o udzielenie informacji dotyczących identyfikacji osób, które podpisały zawarte przez to ministerstwo umowy zakupu testów przesiewowych na COVID-19, a także dotyczące tych testów certyfikaty świadczące o dopuszczalności ich wykorzystania na terytorium Unii Europejskiej.
2. Ministerstwo to częściowo uwzględniło wniosek L.H. i przekazało mu certyfikaty dotyczące tych testów, nie ujawniło przy tym informacji dotyczących osób fizycznych, które podpisały te certyfikaty w imieniu zainteresowanych osób prawnych, w tym imion, nazwisk, podpisów i funkcji zajmowanych przez te osoby fizyczne, a także, w niektórych przypadkach, adresów poczty elektronicznej, numerów telefonu i stron internetowych tych osób prawnych. Nieujawnienie tych informacji zostało uzasadnione ochroną, zgodnie z wymogami określonymi w RODO, danych osobowych osób fizycznych, o których mowa w tych certyfikatach.
3. Tak więc informacje dotyczące tożsamości zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych, które, działając jako organ przewidziany w prawie lub członkowie takiego organu, są upoważnione do zaciągania zobowiązań w imieniu spółki wobec osób trzecich, stanowią „dane osobowe” w rozumieniu art. 4 pkt 1 RODO. To, że informacje te wpisują się w ramy działalności zawodowej, nie może odebrać im miana danych osobowych (zob. analogicznie wyrok z dnia 9 marca 2017 r., Manni, C‑398/15, EU:C:2017:197, pkt 32, 34 i przytoczone tam orzecznictwo).
4. Tak więc z użytego wyrażenia „operacja” wynika, że prawodawca zamierzał nadać temu pojęciu szeroki zakres, za czym przemawia niewyczerpujący charakter, wynikający ze sformułowania „taką jak”, czynności wymienionych w tym przepisie, które obejmują ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, niezależnie od tego, czy operacje te są zautomatyzowane (zob. podobnie wyrok z dnia 7 marca 2024 r., Endemol Shine Finland, C‑740/22,, EU:C:2024:216, pkt 29, 30 i przytoczone tam orzecznictwo).
5. Artykuł 6 ust. 3 RODO przewiduje, że podstawę przetwarzania, o którym mowa w jego art. 6 ust. 1 lit. c) i e), stanowi, w zależności od przypadku, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. Ta odpowiednia podstawa prawna musi odpowiadać celowi leżącemu w interesie publicznym i być proporcjonalna do zamierzonego prawnie uzasadnionego celu. Ta podstawa prawna może również zawierać szczegółowe przepisy, aby dostosować stosowanie przepisów RODO takich jak, w szczególności, ogólne warunki regulujące zgodność z prawem przetwarzania przez administratora czy też czynności i procedur przetwarzania; w tym środki mające na celu zapewnienie zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX RODO.
6. W konsekwencji art. 6 ust. 1 lit. c) i e) RODO co do zasady nie stoi na przeszkodzie orzecznictwu krajowemu, które przewiduje obowiązek poinformowania, przed ujawnieniem danych osobowych, osoby, której te dane dotyczą i skonsultowania się z nią. Taki obowiązek może bowiem zagwarantować zgodność z prawem, rzetelność i przejrzystość przetwarzania wobec tej osoby w rozumieniu art. 5 ust. 1 lit. a) RODO, umożliwiając jej wyrażenie opinii na temat zamierzonego ujawnienia jej danych. Obowiązek ten przyczynia się zatem do realizacji celu przypomnianego w pkt 29 niniejszego wyroku, umożliwiając jednocześnie organowi publicznemu dokonanie z pełną znajomością rzeczy wymaganego przez art. 86 RODO pogodzenia wchodzących w grę interesów.
7. Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje 1) Artykuł 4 pkt 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że: udostępnienie imienia, nazwiska, podpisu i danych kontaktowych osoby fizycznej reprezentującej osobę prawną stanowi przetwarzanie danych osobowych. Bez znaczenia w tym względzie jest okoliczność, że udostępnienia tego dokonano wyłącznie w celu umożliwienia zidentyfikowania osoby fizycznej upoważnionej do działania w imieniu tej osoby prawnej.
8. Artykuł 6 ust. 1 lit. c) i e) rozporządzenia 2016/679 w związku z art. 86 tego rozporządzenia należy interpretować w ten sposób, że nie stoi on na przeszkodzie orzecznictwu sądów krajowych nakładającemu na administratora, który jest organem publicznym odpowiedzialnym za pogodzenie prawa publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych, poinformowania danej osoby fizycznej i skonsultowania się z nią przed przekazaniem dokumentów urzędowych zawierających takie dane, o ile taki obowiązek nie jest niemożliwy do wykonania ani nie wymaga niewspółmiernie dużego wysiłku, a tym samym nie pociąga za sobą nieproporcjonalnego ograniczenia prawa publicznego dostępu do tych dokumentów.

WYROK TRYBUNAŁU (pierwsza izba)

z dnia 3 kwietnia 2025 r. (*)

Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 4 – Definicje – Artykuł 6 – Zgodność przetwarzania z prawem – Artykuł 86 – Publiczny dostęp do dokumentów urzędowych – Dane dotyczące przedstawiciela osoby prawnej – Orzecznictwo sądu krajowego nakładające obowiązek poinformowania, przed przekazaniem dokumentów urzędowych zawierających dane osobowe, osoby, której te dane dotyczą i skonsultowania się z nią

W sprawie C‑710/23

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Nejvyšší správní soud (naczelny sąd administracyjny, Republika Czeska) postanowieniem z dnia 1 listopada 2023 r., które wpłynęło do Trybunału w dniu 22 listopada 2023 r.:

L.H.

przeciwko

Ministerstvo zdravotnictví,

TRYBUNAŁ (pierwsza izba),

w składzie: F. Biltgen, prezes izby, T. von Danwitz (sprawozdawca), wiceprezes Trybunału, A. Kumin, I. Ziemele i S. Gervasoni, sędziowie,

rzecznik generalny: J. Richard de la Tour,

sekretarz: A. Calot Escobar,

uwzględniając pisemny etap postępowania,

rozważywszy uwagi, które przedstawili:

– w imieniu rządu czeskiego – L. Březinová, M. Smolek oraz J. Vláčil, w charakterze pełnomocników,

– w imieniu Komisji Europejskiej – A. Bouchagiar oraz P. Ondrůšek, w charakterze pełnomocników,

podjąwszy, po wysłuchaniu rzecznika generalnego, decyzję o rozstrzygnięciu sprawy bez opinii,

wydaje następujący

Wyrok

1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 4 pkt 1 oraz art. 6 ust. 1 lit. c) i e) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

2 Wniosek ten został złożony w ramach sporu, jaki powstał pomiędzy L.H. a Ministerstvo zdravotnictví (ministerstwem zdrowia, Republika Czeska) w przedmiocie wydanej przez to ministerstwo decyzji o nieujawnieniu L.H. określonych informacji dotyczących przedstawicieli osób prawnych wymienionych w umowach w przedmiocie zakupu testów przesiewowych na COVID-19, a także w certyfikatach dotyczących tych testów.

Ramy prawne

Prawo Unii

3 Motywy 1, 4, 10, 14 i 154 RODO stanowią:

„(1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art[ykuł] 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej »Kartą«) oraz art. 16 ust. 1 [TFUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

[…]

(4) Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w karcie praw podstawowych – zapisanych w traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego, domu oraz komunikowania się, ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz różnorodności kulturowej, religijnej i językowej.

[…]

(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. Jeżeli chodzi o przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego, w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, państwa członkowskie powinny móc zachować lub wprowadzić krajowe przepisy doprecyzowujące stosowanie przepisów niniejszego rozporządzenia. […] W tym względzie niniejsze rozporządzenie nie wyklucza możliwości określenia w prawie państwa członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności przetwarzania z prawem.

[…]

(14) Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

[…]

(154) Niniejsze rozporządzenie pozwala uwzględnić przy stosowaniu jego przepisów zasadę publicznego dostępu do dokumentów urzędowych. Publiczny dostęp do dokumentów urzędowych można uznać za interes publiczny. Organ publiczny lub podmiot publiczny powinny móc publicznie ujawniać dane osobowe z dokumentów przez siebie przechowywanych, jeżeli takie ujawnienie jest przewidziane przepisami prawa Unii lub prawa państwa członkowskiego, któremu organ ten lub podmiot podlegają. Przepisy takie powinny godzić publiczny dostęp do dokumentów urzędowych i ponowne wykorzystywanie informacji sektora publicznego z prawem do ochrony danych osobowych i dlatego mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych na podstawie niniejszego rozporządzenia. Wzmianka o organach i podmiotach publicznych powinna w tym kontekście dotyczyć wszystkich organów lub innych podmiotów objętych prawem państwa członkowskiego dotyczącym publicznego dostępu do dokumentów. […]”.

4 Artykuł 1 RODO, zatytułowany „Przedmiot i cele”, stanowi w ust. 2:

„Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”.

5 Zgodnie z art. 4 RODO, zatytułowanym „Definicje”:

„Na użytek niniejszego rozporządzenia:

1) »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]”.

6 Artykuł 5 RODO, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1. Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

[…]”.

7 Artykuł 6 RODO, zatytułowany „Zgodność przetwarzania z prawem”, stanowi:

„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

[…]

2. Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.

3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

a) w prawie Unii; lub

b) w prawie państwa członkowskiego, któremu podlega administrator.

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

[…]”.

8 Artykuł 86 RODO, zatytułowany „Przetwarzanie a publiczny dostęp do dokumentów urzędowych”, znajduje się w rozdziale IX tego rozporządzenia, który zawiera przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem. Artykuł ten stanowi:

„Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia”.

Prawo czeskie

9 Zákon č. 106/1999 Sb., o svobodném přístupu k informacím (ustawa nr 106/1999 o swobodnym dostępie do informacji) nakłada na organy publiczne obowiązek udzielenia informacji osobie fizycznej lub prawnej, która tego zażąda.

10 Zgodnie z § 8a ust. 1 tej ustawy podmiot zobowiązany udziela informacji dotyczących dóbr osobistych, przejawów działalności osobistej i cech umożliwiających identyfikację danej osoby oraz prywatności osoby fizycznej, jak również ujawnia dane osobowe wyłącznie zgodnie z przepisami prawa regulującymi ich ochronę.

Postępowanie główne i pytania prejudycjalne

11 L.H. złożył do ministerstwa zdrowia wniosek o udzielenie informacji dotyczących identyfikacji osób, które podpisały zawarte przez to ministerstwo umowy zakupu testów przesiewowych na COVID-19, a także dotyczące tych testów certyfikaty świadczące o dopuszczalności ich wykorzystania na terytorium Unii Europejskiej.

12 Ministerstwo to częściowo uwzględniło wniosek L.H. i przekazało mu certyfikaty dotyczące tych testów, nie ujawniło przy tym informacji dotyczących osób fizycznych, które podpisały te certyfikaty w imieniu zainteresowanych osób prawnych, w tym imion, nazwisk, podpisów i funkcji zajmowanych przez te osoby fizyczne, a także, w niektórych przypadkach, adresów poczty elektronicznej, numerów telefonu i stron internetowych tych osób prawnych. Nieujawnienie tych informacji zostało uzasadnione ochroną, zgodnie z wymogami określonymi w RODO, danych osobowych osób fizycznych, o których mowa w tych certyfikatach.

13 L.H. wniósł do Městský soud v Praze (sądu miejskiego w Pradze, Republika Czeska) skargę o stwierdzenie nieważności decyzji ministerstwa zdrowia w zakresie, w jakim ministerstwo to nie ujawniło tych informacji. Sąd ten uwzględnił tę skargę, uznawszy, że ministerstwo nie może co do zasady odmówić udzielenia informacji stanowiących dane osobowe bez uprzedniego poinformowania i uzyskania od osób, których te dane dotyczą, ich stanowiska w sprawie takiego udzielenia informacji, jak przewiduje to właściwe orzecznictwo sądów krajowych. Zdaniem tego sądu, działając w ten sposób, ministerstwo zdrowia, po pierwsze, nie przyznało osobom, których dane dotyczą, statusu „uczestników postępowania” w rozumieniu prawa krajowego i, po drugie, nie upewniło się w sposób wymagany prawem, że nie zachodzi żaden z przypadków zgodności z prawem przetwarzania danych, o których mowa w art. 6 ust. 1 RODO.

14 Ministerstwo zdrowia wniosło na to orzeczenie Městský soud v Praze (sądu miejskiego w Pradze) skargę kasacyjną do Nejvyšší správní soud (naczelnego sądu administracyjnego, Republika Czeska), który jest sądem odsyłającym. Zdaniem tego ministerstwa niepoinformowanie zainteresowanych osób fizycznych o wniosku o ujawnienie przedmiotowych danych nie może stanowić uchybienia proceduralnego. Wspomniane ministerstwo podnosi, że osoby te prowadzą działalność na terytorium Chin i Zjednoczonego Królestwa, gdzie zarejestrowane są osoby prawne, które wydały certyfikaty, oraz że miejsce zamieszkania tych osób jest mu nieznane. Nie ma zatem możliwości poinformowania tych osób i skonsultowania się z nimi w tej sprawie.

15 W tym kontekście sąd odsyłający zastanawia się w pierwszej kolejności nad kwestią, czy dane rozpatrywane w postępowaniu głównym stanowią „dane osobowe” w rozumieniu art. 4 pkt 1 RODO. W świetle motywu 14 tego rozporządzenia skłania się do uznania, że takie informacje stanowią dane osobowe dotyczące osób prawnych, które są wyłączone z zakresu stosowania tego rozporządzenia. Sąd ten zauważa jednak, że orzecznictwo Trybunału opowiada się za przyjęciem szerokiej wykładni pojęcia „danych osobowych”, z której wynika, że w jego zakres wchodzą dotyczące możliwych do zidentyfikowania osób fizycznych informacje pochodzące z rejestrów przedsiębiorstw.

16 W drugiej kolejności, na wypadek gdyby Trybunał uznał, że dane rozpatrywane w postępowaniu głównym stanowią dane osobowe, sąd odsyłający zastanawia się nad zgodnością z prawem Unii właściwego orzecznictwa sądów krajowych, które nakłada na administratora danych, do którego wpłynął wniosek o ujawnienie tych danych, obowiązek poinformowania osoby, której te dane dotyczą, i umożliwienia jej, przed ujawnieniem tych danych wnioskodawcy, ewentualnego zajęcia stanowiska w przedmiocie takiego przekazania. Sąd odsyłający wyjaśnia ponadto, że obowiązek ten ma zastosowanie również w przypadkach, w których RODO jako takie nie ustanawia wymogu uzyskania zgody osoby, której dane dotyczą, a mianowicie w przypadkach nieobjętych art. 6 ust. 1 lit. a) RODO. Wspomniany obowiązek wykraczałby zatem poza wymogi określone w RODO, i skutkowałby dostępem do danych potencjalnie trudniejszym niż w innych państwach członkowskich. Ponadto, biorąc pod uwagę zakres stosowania RODO, automatyczne wymaganie spełnienia obowiązku informowania osoby, której dane dotyczą, oraz uprzedniego skonsultowania się z tą osobą, jest trudne albo niemożliwe, w szczególności w przypadku zbiorów danych dotyczących bardzo licznych osób z różnych państw.

17 W tych okolicznościach Nejvyšší správní soud (naczelny sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1) Czy udostępnienie imienia, nazwiska, podpisu i danych kontaktowych osoby fizycznej będącej członkiem zarządu bądź przedstawicielem osoby prawnej, które ma miejsce wyłącznie w celu identyfikacji (osoby uprawnionej do działania w imieniu danej) osoby prawnej, stanowi »przetwarzanie danych osobowych« osoby fizycznej w rozumieniu art. 4 pkt l RODO, a tym samym wchodzi w zakres stosowania RODO?

2) Czy prawo krajowe, w tym utrwalone orzecznictwo sądowe, może uzależnić stosowanie rozporządzenia Unii mającego bezpośrednie zastosowanie, a konkretnie art. 6 ust. 1 lit. c) lub, w stosownym przypadku, lit. e) RODO, przez organ administracyjny od spełnienia dalszych warunków, które nie wynikają z treści samego rozporządzenia, ale które faktycznie rozszerzają poziom ochrony osoby, której dane osobowe dotyczą, a konkretnie warunku w postaci ciążącego na organie publicznym obowiązku uprzedniego poinformowania osoby, której dane dotyczą, o złożeniu wniosku o przekazanie jej danych osobowych osobie trzeciej?”.

W przedmiocie pytań prejudycjalnych

W przedmiocie pytania pierwszego

18 Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 4 pkt 1 i 2 RODO należy interpretować w ten sposób, że ujawnienie imienia, nazwiska, podpisu i danych kontaktowych osoby fizycznej reprezentującej osobę prawną stanowi przetwarzanie danych osobowych, nawet jeśli następuje to wyłącznie w celu umożliwienia identyfikacji osoby fizycznej uprawnionej do działania w imieniu tej osoby prawnej.

19 Na wstępie należy zauważyć, że zgodnie z informacjami przekazanymi przez sąd odsyłający osoby prawne, które wydały certyfikaty będące przedmiotem sporu w postępowaniu głównym, mają siedzibę w państwach trzecich, a mianowicie w Chinach i Zjednoczonym Królestwie. Choć takie osoby prawne mogą pod pewnymi warunkami podlegać zasadom ujawniania informacji przewidzianym w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/1132 z dnia 14 czerwca 2017 r. w sprawie niektórych aspektów prawa spółek (Dz.U. 2017, L 169, s. 46), w szczególności w odniesieniu do obowiązkowego ujawnienia tożsamości osób, które są uprawnione do zaciągania przez te osoby prawne zobowiązań wobec osób trzecich, to w aktach sprawy, którymi dysponuje Trybunał, nie ma niczego, co wskazywałoby na to, że dyrektywa ta ma znaczenie dla niniejszej sprawy.

20 Po tej wstępnej uwadze należy przypomnieć, że zgodnie z art. 4 pkt 1 RODO „dane osobowe” oznaczają „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. „Możliwa do zidentyfikowania osoba fizyczna” w rozumieniu tego przepisu „to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

21 Zgodnie z utrwalonym orzecznictwem użycie w definicji „danych osobowych” wyrażenia „[wszelkie] informacje” odzwierciedla przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu, rozszerzając go potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, jaki muszą one spełniać, jest to, aby „dotyczyły” danej osoby. Informacja dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli ze względu na jej treść, cel lub skutek jest ona powiązana z możliwą do zidentyfikowania osobą (wyroki: z dnia 7 marca 2024 r., IAB Europe, C‑604/22, EU:C:2024:214, pkt 36, 37; z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 130, 131 i przytoczone tam orzecznictwo).

22 Tak więc informacje dotyczące tożsamości zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych, które, działając jako organ przewidziany w prawie lub członkowie takiego organu, są upoważnione do zaciągania zobowiązań w imieniu spółki wobec osób trzecich, stanowią „dane osobowe” w rozumieniu art. 4 pkt 1 RODO. To, że informacje te wpisują się w ramy działalności zawodowej, nie może odebrać im miana danych osobowych (zob. analogicznie wyrok z dnia 9 marca 2017 r., Manni, C‑398/15, EU:C:2017:197, pkt 32, 34 i przytoczone tam orzecznictwo).

23 Jak zauważyła Komisja, taka wykładnia nie może zostać podważona na gruncie motywu 14 RODO. Zdanie drugie tego motywu odsyła bowiem w szczególności do „firmy” i „danych kontaktowych” osoby prawnej, nie zaś osób fizycznych działających w imieniu lub na rzecz osoby prawnej.

24 W niniejszej sprawie należy stwierdzić, że dane osobowe w rozumieniu art. 4 pkt 1 RODO to imię i nazwisko zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. To samo dotyczy podpisu takiej osoby fizycznej (zob. podobnie wyrok z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 136).

25 Co się tyczy innych rozpatrywanych w postępowaniu głównym danych kontaktowych, to do sądu odsyłającego należy zbadanie, w świetle orzecznictwa przypomnianego w pkt 21 niniejszego wyroku, czy te dane kontaktowe są powiązane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną.

26 Jeśli chodzi o pojęcie „przetwarzania”, zgodnie z art. 4 pkt 2 RODO oznacza ono „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

27 Tak więc z użytego wyrażenia „operacja” wynika, że prawodawca zamierzał nadać temu pojęciu szeroki zakres, za czym przemawia niewyczerpujący charakter, wynikający ze sformułowania „taką jak”, czynności wymienionych w tym przepisie, które obejmują ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, niezależnie od tego, czy operacje te są zautomatyzowane (zob. podobnie wyrok z dnia 7 marca 2024 r., Endemol Shine Finland, C‑740/22,, EU:C:2024:216, pkt 29, 30 i przytoczone tam orzecznictwo).

28 W każdym razie z brzmienia art. 4 pkt 2 RODO w żaden sposób nie wynika, by zamiarem prawodawcy unijnego było ograniczenie kwalifikacji operacji jako „przetwarzania” w zależności od ich celu.

29 Taka wykładnia jest zgodna z celem realizowanym przez RODO, który, jak wynika z jego art. 1 oraz z jego motywów 1 i 10, polega w szczególności na zapewnieniu wysokiego stopnia ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego w zakresie przetwarzania danych osobowych, zapisanego w art. 8 ust. 1 Karty i w art. 16 ust. 1 TFUE (zob. podobnie wyrok z dnia 9 stycznia 2025 r., Mousse, C‑394/23, EU:C:2025:2, pkt 21 i przytoczone tam orzecznictwo).

30 W niniejszej sprawie ujawnienie danych takich jak imię, nazwisko, podpis i dane kontaktowe osoby fizycznej reprezentującej osobę prawną wchodzi w zakres pojęcia „przetwarzania” w rozumieniu art. 4 pkt 2 RODO. Jak wynika z pkt 27–29 niniejszego wyroku, okoliczność, że celem ujawnienia takich danych jest wyłącznie umożliwienie zidentyfikowania osoby fizycznej uprawnionej do działania w imieniu osoby prawnej, jest bez znaczenia dla kwalifikacji jako „przetwarzania” w rozumieniu tego przepisu.

31 W świetle powyższych rozważań na pytanie pierwsze należy odpowiedzieć, iż art. 4 pkt 1 i 2 RODO należy interpretować w ten sposób, że ujawnienie imienia, nazwiska, podpisu i danych kontaktowych osoby fizycznej reprezentującej osobę prawną stanowi przetwarzanie danych osobowych. Bez znaczenia w tym względzie jest okoliczność, że ujawnienia tego dokonano wyłącznie w celu umożliwienia zidentyfikowania osoby fizycznej upoważnionej do działania w imieniu tej osoby prawnej.

W przedmiocie pytania drugiego

32 Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 6 ust. 1 lit. c) i e) RODO należy interpretować w ten sposób, że stoi on na przeszkodzie orzecznictwu sądu krajowego nakładającemu na administratora danych – który jest organem publicznym odpowiedzialnym za pogodzenie prawa publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych – obowiązek poinformowania, przed przekazaniem dokumentów urzędowych zawierających dane osobowe, osoby, której te dane dotyczą i skonsultowania się z nią.

33 Zgodnie z realizowanym przez RODO i przypomnianym w pkt 29 niniejszego wyroku celem wszelkie przetwarzanie danych osobowych musi w szczególności być zgodne z zasadami dotyczącymi przetwarzania takich danych określonymi w art. 5 tego rozporządzenia i spełniać warunki zgodności przetwarzania z prawem wymienione w art. 6 tego rozporządzenia (wyrok z dnia 9 stycznia 2025 r., Mousse, C‑394/23, EU:C:2025:2, pkt 22 i przytoczone tam orzecznictwo).

34 Artykuł 5 ust. 1 lit. a) RODO stanowi w tym względzie, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

35 Artykuł 6 ust. 1 lit. c) RODO stanowi, że przetwarzanie może być zgodne z prawem, jeżeli – i w takim zakresie, w jakim – jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Zgodnie z art. 6 ust. 1 lit. e) tego rozporządzenia takie przetwarzanie może być zgodne z prawem również wówczas – i w takim zakresie, w jakim – jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania powierzonej administratorowi władzy publicznej.

36 Zgodnie z art. 6 ust. 2 RODO państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów tego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w art. 6 ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności tego przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX RODO.

37 Artykuł 6 ust. 3 RODO przewiduje, że podstawę przetwarzania, o którym mowa w jego art. 6 ust. 1 lit. c) i e), stanowi, w zależności od przypadku, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. Ta odpowiednia podstawa prawna musi odpowiadać celowi leżącemu w interesie publicznym i być proporcjonalna do zamierzonego prawnie uzasadnionego celu. Ta podstawa prawna może również zawierać szczegółowe przepisy, aby dostosować stosowanie przepisów RODO takich jak, w szczególności, ogólne warunki regulujące zgodność z prawem przetwarzania przez administratora czy też czynności i procedur przetwarzania; w tym środki mające na celu zapewnienie zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX RODO.

38 Należy jeszcze zauważyć, iż w dziedzinie publicznego dostępu do dokumentów urzędowych art. 86 RODO, zawarty w rozdziale IX tego rozporządzenia, przewiduje, że dane osobowe zawarte w dokumentach urzędowych, które organ lub podmiot publiczny, lub podmiot prywatny posiada w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem danego państwa członkowskiego, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych.

39 Artykuł ten należy interpretować w świetle, po pierwsze, motywu 4 RODO, który stanowi w szczególności, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym, po drugie, motywu 154 tego rozporządzenia, z którego wynika między innymi, że publiczny dostęp do dokumentów urzędowych można uznać za interes publiczny, a po trzecie, orzecznictwa, zgodnie z którym zasada przejrzystości wynikająca z art. 1 i 10 TUE oraz z art. 15 TFUE pozwala obywatelom na bliższe uczestnictwo w procesie podejmowania decyzji i gwarantuje, że administracja cieszy się większą prawowitością, jest bardziej skuteczna i odpowiedzialna względem obywateli w systemie demokratycznym (wyrok z dnia 22 listopada 2022 r., Luxembourg Business Registers, C‑37/20 i C‑601/20, EU:C:2022:912, pkt 60 i przytoczone tam orzecznictwo).

40 Choć, jak wynika z motywu 10 RODO, państwa członkowskie powinny móc zachować lub wprowadzić krajowe przepisy doprecyzowujące stosowanie przepisów tego rozporządzenia, powinny one korzystać z przysługującego im zakresu uznania na warunkach i w granicach przewidzianych w przepisach tego rozporządzenia, wobec czego powinny stanowić prawo w taki sposób, aby nie naruszać jego treści ani celów (zob. podobnie wyrok z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, pkt 59 i przytoczone tam orzecznictwo).

41 Ponadto zgodnie z zasadą proporcjonalności państwa członkowskie powinny upewnić się, że praktyczne konsekwencje, w szczególności natury organizacyjnej, gospodarczej i medycznej, wywołane przez dodatkowe wymogi nie są nadmierne (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 67).

42 W niniejszej sprawie przetwarzanie rozpatrywane w postępowaniu głównym może być objęte zarówno art. 6 ust. 1 lit. c), jak i lit. e) RODO, ponieważ obowiązek jego dokonywania został nałożony na administratora na mocy ustawy nr 106/1999 w ramach wykonywania realizowanego w interesie publicznym zadania polegającego na zagwarantowaniu publicznego dostępu do dokumentów urzędowych. W tym względzie bezsporne jest, że ustawa ta zobowiązuje organy publiczne do przekazywania informacji, w tym dokumentów urzędowych, osobom, które tego zażądają.

43 Niemniej jednak, jeżeli żądane informacje zawierają dane osobowe, ustawa ta stanowi, że dane te mogą zostać ujawnione wyłącznie z poszanowaniem uregulowań dotyczących ich ochrony, które, jak zauważa sąd odsyłający, obejmują RODO. Z postanowienia odsyłającego wynika, że sąd odsyłający w swym orzecznictwie ustanowił dodatkowe obowiązki, które wykraczają poza te wyraźnie przewidziane w tym rozporządzeniu. Nakłada on bowiem na organy publiczne obowiązek poinformowania, przed ujawnieniem tych danych osobowych, osoby, której te dane dotyczą, i skonsultowania się z nią.

44 Co się tyczy zgodności orzecznictwa krajowego, takiego jak to rozpatrywane w postępowaniu głównym, z RODO, należy stwierdzić, że na podstawie przepisów, o których mowa w pkt 36 i 37 niniejszego wyroku, państwa członkowskie mogą wprowadzić przepisy szczególne w celu zapewnienia zgodności z prawem i rzetelności przetwarzania w szczególnych sytuacjach związanych z przetwarzaniem, takich jak ta, o której mowa w art. 86 RODO. W tym względzie takie orzecznictwo może stanowić część podstawy prawnej przetwarzania w rozumieniu art. 6 ust. 3 RODO.

45 W konsekwencji art. 6 ust. 1 lit. c) i e) RODO co do zasady nie stoi na przeszkodzie orzecznictwu krajowemu, które przewiduje obowiązek poinformowania, przed ujawnieniem danych osobowych, osoby, której te dane dotyczą i skonsultowania się z nią. Taki obowiązek może bowiem zagwarantować zgodność z prawem, rzetelność i przejrzystość przetwarzania wobec tej osoby w rozumieniu art. 5 ust. 1 lit. a) RODO, umożliwiając jej wyrażenie opinii na temat zamierzonego ujawnienia jej danych. Obowiązek ten przyczynia się zatem do realizacji celu przypomnianego w pkt 29 niniejszego wyroku, umożliwiając jednocześnie organowi publicznemu dokonanie z pełną znajomością rzeczy wymaganego przez art. 86 RODO pogodzenia wchodzących w grę interesów.

46 Niemniej jednak w świetle orzecznictwa przypomnianego w pkt 40 i 41 niniejszego wyroku bezwzględne wykonanie wspomnianego obowiązku mogłoby prowadzić do nieproporcjonalnego ograniczenia prawa publicznego dostępu do dokumentów urzędowych. Można sobie bowiem wyobrazić, że z różnych powodów poinformowanie osoby, której dane dotyczą, lub konsultowanie się z nią okazuje się niemożliwe lub wymaga włożenia niewspółmiernie dużego wysiłku. W tym kontekście powołanie się na praktyczną niemożność poinformowania tej osoby i skonsultowania się z nią po to, aby uzasadnić systematyczną odmowę jakiegokolwiek ujawnienia informacji dotyczących tej osoby prowadziłoby do wykluczenia wszelkich prób pogodzenia wchodzących w grę interesów, pomimo że takie pogodzenie zostało wyraźnie przewidziane w art. 86 RODO.

47 W niniejszej sprawie, z zastrzeżeniem sprawdzenia tego przez sąd odsyłający, należy uznać, że ministerstwo zdrowia opiera swoją decyzję o nieudzieleniu całokształtu zażądanych informacji wyłącznie na tej praktycznej niemożności, nie starając się w żaden sposób pogodzić wchodzących w grę interesów.

48 W świetle całości powyższych rozważań na pytanie drugie należy odpowiedzieć, iż art. 6 ust. 1 lit. c) i e) RODO w związku z art. 86 tego rozporządzenia należy interpretować w ten sposób, że nie stoi on na przeszkodzie orzecznictwu sądów krajowych nakładającemu na administratora, który jest organem publicznym odpowiedzialnym za pogodzenie prawa publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych, obowiązek poinformowania, przed przekazaniem dokumentów urzędowych zawierających dane osobowe, osoby, której te dane dotyczą i skonsultowania się z nią, o ile taki obowiązek nie jest niemożliwy do wykonania ani nie wymaga włożenia niewspółmiernie dużego wysiłku, a tym samym nie pociąga za sobą nieproporcjonalnego ograniczenia prawa publicznego dostępu do tych dokumentów.

W przedmiocie kosztów

49 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje:

1) Artykuł 4 pkt 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

udostępnienie imienia, nazwiska, podpisu i danych kontaktowych osoby fizycznej reprezentującej osobę prawną stanowi przetwarzanie danych osobowych. Bez znaczenia w tym względzie jest okoliczność, że udostępnienia tego dokonano wyłącznie w celu umożliwienia zidentyfikowania osoby fizycznej upoważnionej do działania w imieniu tej osoby prawnej.

2) Artykuł 6 ust. 1 lit. c) i e) rozporządzenia 2016/679 w związku z art. 86 tego rozporządzenia

należy interpretować w ten sposób, że:

nie stoi on na przeszkodzie orzecznictwu sądów krajowych nakładającemu na administratora, który jest organem publicznym odpowiedzialnym za pogodzenie prawa publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych, poinformowania danej osoby fizycznej i skonsultowania się z nią przed przekazaniem dokumentów urzędowych zawierających takie dane, o ile taki obowiązek nie jest niemożliwy do wykonania ani nie wymaga niewspółmiernie dużego wysiłku, a tym samym nie pociąga za sobą nieproporcjonalnego ograniczenia prawa publicznego dostępu do tych dokumentów.