TSUE w wyroku z 9 marca 2017 r. uznał, że nie istnieje prawo do bycia zapomnianym w odniesieniu do danych osobowych zawartych w publicznych rejestrach spółek. Niemniej jednak, po upływie wystarczająco długiego czasu od rozwiązania danej spółki, państwa członkowskie mogą przewidzieć w wyjątkowych przypadkach ograniczenie dostępu osób trzecich do takich danych.

****

Stan faktyczny sprawy C-398/15 oraz pytania prejudycjalne

Wyrok TSUE w sprawie C-398/15 (Manni) wydany został na kanwie sporu włoskiego przedsiębiorcy, p. Salvatore Manniego, przeciwko włoskiej izbie handlowej w Lecce, prowadzącej rejestr spółek. Salvatore Manni twierdził, iż nie udawało mu się sprzedać wybudowanych przez niego nieruchomości, ponieważ z rejestru spółek wynikało, że był on w przeszłości zarządcą i likwidatorem innej spółki, której upadłość ogłoszono w 1992 r. i która została zlikwidowana w 2005 r.

W ramach wniesionego powództwa p. Manni podniósł, że jego dane osobowe zawarte w rejestrze spółek były przetwarzane przez spółkę wyspecjalizowaną w gromadzeniu i przetwarzaniu informacji gospodarczych i w ocenie ryzyka (dokonującej tzw. background checks), a ponadto pomimo złożonego w tym względzie wniosku izba handlowa w Lecce nie dokonała ich wykreślenia.

Wystąpił on do sądu w Lecce, aby ten nakazał rejestrowi usunięcie, anonimizację lub zablokowanie danych kojarzących go z upadłą spółką oraz zasądził odszkodowanie.

Sąd w Lecce przychylił się do wniosku p. Salvatore Manniego i nakazał anonimizację danych łączących pana Manniego z tamtą upadłością oraz zasądził odszkodowanie, twierdząc, że „wpisy łączące nazwisko osoby fizycznej z okresem nieprawidłowości w działaniu spółki (jak upadłość) nie mogą być wieczne w wypadku braku specjalnego interesu publicznego w ich przechowywaniu i rozpowszechnianiu” (pkt 28 wyroku).

Jednakże włoski sąd II instancji zwrócił się do TSUE z pytaniami prejudycjalnymi, sprowadzającymi się do rozstrzygnięcia kwestii czy dyrektywa w sprawie ochrony danych osób fizycznych (Dyrektywa 95/46), jak też dyrektywa w sprawie jawności dokumentów spółek (Dyrektywa 68/151) sprzeciwiają się temu, aby dowolna osoba mogła, beż żadnego ograniczenia czasowego, uzyskać dostęp do danych dotyczących osób fizycznych figurujących w rejestrze spółek.

Zastosowanie Dyrektywy 95/46

W pierwszej kolejności należy zauważyć, iż Trybunał zaznaczył, że jego rozważania nie dotyczą kwestii późniejszego przetwarzania spornych danych (w tym wypadku przez spółkę wyspecjalizowaną w dziedzinie „ratingu”), a jedynie możliwości udostępniania osobom trzecim takich danych ujawnionych w rejestrze (pkt 31 wyroku).

Dla wyjaśnienia wątpliwości oraz uporządkowania wywodu TSUE potwierdził, iż postanowienia Dyrektywy 95/46 znajdują w tym przypadku zastosowanie, gdyż dane p. Manniego ujawnione w rejestrze stanowiły dane osobowe (pkt 34 wyroku), a organ odpowiedzialny za prowadzenie tego rejestru jest „administratorem danych”, który “przetwarza dane osobowe” poprzez “wpisywanie i przechowywanie owych informacji w rejestrze, a także ujawnianie ich, w stosownym wypadku, na wniosek osób trzecich” (pkt 35 wyroku).

Zasady przetwarzania danych oraz kryteria legalności w kontekście zapewniania wysokiego poziomu ochrony podstawowych praw i wolności

TSUE zaznacza, iż celem Dyrektywy 95/46 jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a  w szczególności prawa do prywatności w zakresie przetwarzania danych osobowych. Ponadto, postanowienia tej Dyrektywy winny być interpretowane z punktu widzenia praw zagwarantowanych w Karcie Praw Podstawowych Unii Europejskiej, w tym przede wszystkim art. 7, czyli prawa do poszanowania życia prywatnego oraz art. 8, przewidującego prawo do ochrony danych osobowych.

Trybunał zaznacza, iż “z zastrzeżeniem dozwolonych na mocy art. 13 wskazanej dyrektywy [95/46 – przypis P.J.] ]odstępstw każda operacja przetwarzania danych osobowych musi być zgodna z jednej strony z wyrażonymi w art. 6 tej dyrektywy zasadami odnoszącymi się do charakteru danych, a z drugiej strony – z jednym z kryteriów legalności przetwarzania danych wymienionych w art. 7 owej dyrektywy” (pkt 41 wyroku oraz wskazane tam orzecznictwo).

Dokonując analizy legalności przetwarzania danych przez organ odpowiedzialny za prowadzenie rejestru, można wskazać, iż przetwarzanie to odpowiada trzem kryteriom, a mianowicie: (i) wykonywaniu zobowiązania prawnego; (ii) wykonywaniu władzy publicznej lub realizacji zadania wykonywanego w interesie publicznym; oraz (iii) potrzeb wynikających z uzasadnionych interesów administratora danych lub osób trzecich, którym dane są ujawniane.

Prawo do usunięcia czy prawo do sprzeciwu wobec przetwarzania danych

Dyrektywa 95/46 wymaga, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. W wypadku niespełnienia ww. wymogu, państwa członkowskie zapewniają każdej osobie, której dane dotyczą, prawo do uzyskania od administratora danych, odpowiednio, sprostowania, usunięcia lub zablokowania spornych danych.

Dodatkowo, państwa członkowskie przyznają osobie, której dane dotyczą, w szczególności w przypadkach, o których mowa w art. 7 lit. e) i f) Dyrektywy 95/46, “w dowolnym czasie, z ważnych i uzasadnionych przyczyn wynikających z jej konkretnej sytuacji, prawo sprzeciwu wobec przetwarzania dotyczących jej danych, z zastrzeżeniem odmiennych postanowień ustawodawstwa krajowego” (pkt 47 wyroku).

TSUE ponadto wyjaśnia, iż wyważenie praw i interesów, którego należy dokonać w ramach zastosowania prawa sprzeciwu wobec przetwarzania danych, “umożliwia więc bardziej szczegółowe uwzględnienie wszystkich okoliczności konkretnej sytuacji osoby, której dane dotyczą. W przypadku uzasadnionego sprzeciwu przetwarzanie danych przez ich administratora nie może już obejmować tych danych.” (pkt 47 wyroku). Podobnie orzekł Trybunał w wyroku z dnia 13 maja 2014 r., w sprawie Google Spain i Google (C‑131/12), który to wyrok usankcjonował tzw. prawo do bycia zapomnianym.

Trybunał zwrócił także uwagę na niezwykle istotną rolę celu, w jakim dokonywane jest ujawnienie danych, będące przedmiotem sporu. Stwierdzono, iż “aby ustalić, czy państwa członkowskie mają obowiązek (…) ustanowić, dla osób fizycznych (…) prawo do domagania się od organu odpowiedzialnego za prowadzenie rejestru wykreślenia lub zablokowania, po upływie pewnego okresu, wpisanych w rejestrze danych osobowych, lub ograniczenia dostępu do tych danych, należy przede wszystkim zbadać, w jakim celu dane te zostały wpisane do rejestru” (pkt 48 wyroku).

Dokonując analizy Dyrektywy 68/151, TSUE zauważył, iż ma ona na celu przede wszystkim “ochronę interesów osób trzecich w stosunkach ze spółkami akcyjnymi i spółkami z ograniczoną odpowiedzialnością, gdyż jedyną gwarancją, jaką podmioty te oferują osobom trzecim, jest majątek spółki”, a osoby trzecie powinny mieć możliwość zapoznania się z podstawowymi   dokumentami spółki oraz danymi osób, które są uprawnione do nabywania praw i zaciągania zobowiązań w jej imieniu (pkt 49 wyroku). Powyższe ma zapewnić pewność obrotu, w szczególności w kontaktach międzynarodowych.

Ponadto, w wyroku zaznaczono, iż Dyrektywa 68/151 nie podejmuje kwestii konieczności ujawniania danych osobowych osób fizycznych po zaprzestaniu przez daną spółkę działalności  lub po jej likwidacji. Niemniej jednak, co zostało także dostrzeżone w opinii Rzecznika Generalnego w tej sprawie, “nie ma wątpliwości co do tego, że nawet po rozwiązaniu spółki dotyczące jej prawa i stosunki prawne mogą trwać nadal” (pkt 53 wyroku).

Podsumowując tę część rozważań Trybunał uznał, iż “ze względu na dużą liczbę możliwych sytuacji, w których mogą uczestniczyć podmioty z kilku państw członkowskich, oraz ze względu na zasygnalizowane przez Komisję znaczące rozbieżności w zakresie terminów przedawnienia przewidzianych w różnych uregulowaniach krajowych i w różnych dziedzinach prawa w obecnym stanie rzeczy wydaje się, że nie jest możliwe ustalenie jednolitego terminu, biegnącego od dnia rozwiązania spółki, po upływie którego wpis rzeczonych danych w rejestrze i ich jawność nie byłyby już konieczne” (pkt 55 wyroku).

Podsumowując: brak prawa do bycia zapomnianym, ale możliwe jest wniesienie sprzeciwu

Trybunał orzekł, iż w okolicznościach przedmiotowej sprawy  państwa członkowskie nie mogą zagwarantować osobom fizycznym, o których mowa w art. 2 ust. 1 lit. d) i j) Dyrektywy 68/151, “prawa do tego, aby po upływie określonego terminu od dnia likwidacji danej spółki dotyczące ich dane osobowe, (…) były z zasady wykreślane lub aby ich jawność była blokowana” (pkt 56 wyroku). TSUE uznał także, iż taka interpretacja przedmiotowych przepisów nie stanowi “nieproporcjonalnej ingerencji w prawa podstawowe osób, których dane te dotyczą”.

Wydając taki wyrok, Trybunał wziął pod uwagę fakt, iż Dyrektywa 68/151 wymaga jawności jedynie w odniesieniu do ograniczonego zakresu danych osobowych. Co warte podkreślenia, “wydaje się zasadne, aby osoby fizyczne, które postanowiły uczestniczyć w wymianie handlowej za pośrednictwem spółek [takich jak spółki akcyjne czy spółki z ograniczoną odpowiedzialnością – przypis P.J.], były zobowiązane do upublicznienia danych dotyczących ich tożsamości i funkcji, jakie sprawują w spółce, zwłaszcza że osoby te mają świadomość istnienia takiego obowiązku w chwili, gdy decydują się na podjęcie tego rodzaju działalności” (pkt 59 wyroku).

Jednakowoż, “nie można wykluczyć ewentualności zaistnienia sytuacji szczególnych, w których przeważające i uzasadnione względy dotyczące konkretnego przypadku osoby, której dotyczą dane, uzasadniają wyjątkowo, aby dostęp do figurujących w rejestrze danych osobowych dotyczących tej osoby został ograniczony, po upływie wystarczająco długiego okresu od daty likwidacji danej spółki, do kręgu osób trzecich mających konkretny, uzasadniony interes w uzyskaniu wglądu do tych danych” (pkt 60 wyroku). Trybunał zaznaczył także, iż ocena konkretnego przypadku zawsze będzie zależała od regulacji krajowych, obowiązujących w poszczególnych państwach członkowskich.

W przypadku ustalenia przez sądy krajowe, iż lokalne ustawodawstwo zezwala na takie żądania, sąd odsyłający będzie zobowiązany do ustalenia:

• w świetle wszystkich istotnych okoliczności
• przy uwzględnieniu okresu, jaki upłynął od dnia likwidacji spółki, o której mowa
• czy istnieją ewentualnie przeważające i uzasadnione względy, które w stosownym wypadku mogłyby wyjątkowo usprawiedliwić ograniczenie dostępu osób trzecich do danych osobowych p. Manniego ujawnionych w rejestrze spółek, z których wynika, że był on jednoosobowym zarządcą i likwidatorem spółki.

Odnosząc się do przypadku p. Manniego, TSUE uznał ponadto, iż “należy zaznaczyć, że sama okoliczność, iż spółka (…), której S. Manni jest obecnie jednoosobowym zarządcą, nie jest w stanie, jak się twierdzi, sprzedać nieruchomości (…), ponieważ potencjalni nabywcy tych nieruchomości mają dostęp do tych danych w rejestrze spółek, nie może stanowić takiego względu, zważywszy na uzasadniony interes, jaki nabywcy ci mają w uzyskaniu owych informacji” (pkt 63 wyroku).

Komentarz

Nie ulega wątpliwości, że ujawnianie danych osobowych przedsiębiorców w rejestrach gospodarczych ogranicza ich prawo do prywatności, w tym także i prawo do bycia zapomnianym. Jak trafnie zauważył Michał Romanowski, jeszcze przed wydanie wyroku w przedmiotowej sprawie “rozstrzygnięcie konfliktu między realizacją interesu publicznego, tj. zasadą jawności, a ochroną interesu prywatnego, czyli prawem do prywatności, sprowadza się do określenia czasu, w którym interes publiczny może ograniczać interes prywatny” (M. Domagalski, TSUE: kiedy można wykreślić z rejestru informację o bankructwie, Rzeczpospolita, 8. 12. 2015 r., artykuł dostępny jest tutaj).

Wydaje się, iż niezwykle istotnym aspektem przedmiotowego wyroku jest podkreślenie wagi oceny celu przetwarzania danych, a także zaakcentowanie doniosłości dokonywania wyważenia praw i interesów.