9 stycznia 2025 r. Trybunał Sprawiedliwości Unii Europejskiej wydał dwa ciekawe rozstrzygnięcia dotyczące ochrony danych osobowych. Pierwsza sprawa dotyczyła kwestii, czy wymaganie od klientów wskazywania tytułów grzecznościowych, takich jak „Pan” czy „Pani”, jest zgodne z przepisami RODO.Wątpliwości te wynikały z obaw o możliwe naruszenie zasad minimalizacji danych oraz poszanowania tożsamości płciowej. Druga sprawa koncentrowała się natomiast na problemie nadmiernych żądań ze strony osób, których dane dotyczą i wyznaczeniu granic pomiędzy prawami podmiotów danych a interesami administratorów.
Wyrok TSUE z 9 stycznia 2025 r. (sprawa C-394/23 (Mousse) – zbieranie informacji o płci klientów a przepisy RODO
Rozstrzygnięcie TSUE zapadło w sprawie francuskiego przewoźnika kolejowego, który wymagał od klientów podania tytułu grzecznościowego („Pan” lub „Pani”) w ramach procesu zakupu biletów. Zdaniem skarżącego, takie działanie naruszało prawo do podróżowania bez konieczności ujawniania informacji o tożsamości płciowej.
Francuski organ ochrony danych osobowych początkowo stanął po stronie francuskiego przewoźnika, uznając, że praktyka ta jest zgodna z zasadą minimalizacji danych i niezbędna do wykonania umowy, m.in. w celu personalizacji komunikacji czy dostosowania usług (np. zapewnienia dostępu do wagonów nocnych przeznaczonych dla kobiet). Skarżący odwołał się jednak do francuskiej Rady Stanu, która skierowała pytania prejudycjalne do TSUE, dotyczące zgodności takiego przetwarzania danych z przepisami RODO.
Stanowisko TSUE
W wyroku z dnia 9 stycznia 2025 r. TSUE podzielił stanowisko rzecznika generalnego i uznał, że wymóg podawania przez klientów tytułu grzecznościowego narusza zasady RODO. Trybunał zwrócił uwagę, że przetwarzanie danych osobowych musi być ograniczone do sytuacji ściśle określonych przez przepisy unijne. TSUE podkreślił, że:
- podawanie tytułu grzecznościowego nie jest niezbędne do wykonania umowy przewozu; personalizacja komunikacji handlowej w oparciu o tożsamość płciową na podstawie tytułu klienta nie wydaje się ani obiektywnie konieczna, ani istotna dla prawidłowego wykonania umowy, a tym samym nie można jej uznać za niezbędne do wykonania tej umowy; komunikacja handlowa mogłaby być prowadzona w sposób bardziej neutralny i mniej inwazyjny, np. za pomocą ogólnych, inkluzywnych zwrotów grzecznościowych,
- przetwarzania danych osobowych dotyczących form grzecznościowych nie można uznać za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora tych danych lub przez stronę trzecią, jeżeli:
– o realizowanym prawnie uzasadnionym interesie nie poinformowano klientów w momencie zbierania tych danych lub
– rzeczonego przetwarzania nie dokonano w granicach tego, co jest ściśle niezbędne do realizacji owego prawnie uzasadnionego interesu, lub
– w świetle wszystkich istotnych okoliczności, prawa podstawowe i wolności klientów mogą mieć nadrzędny charakter wobec prawnie uzasadnionego interesu, między innymi z uwagi na ryzyko dyskryminacji ze względu na tożsamość płciową.
Wpływ wyroku na praktyki biznesowe
Wyrok TSUE wpisuje się w rosnące znaczenie neutralności i inkluzywności w komunikacji biznesowej. W świetle tego orzeczenia przedsiębiorstwa powinny przeanalizować swoje procedury komunikacyjne oraz zakres zbieranych danych, upewniając się, że informacje o płci klientów – nawet jeśli są wyrażane „jedynie” poprzez zwroty grzecznościowe – są wymagane wyłącznie wtedy, gdy jest to rzeczywiście uzasadnione i niezbędne.
Wyrok TSUE z 9 stycznia 2025 r. sprawa C-416/23 (Österreichische Datenschutzbehörde)
Druga ze spraw rozstrzygnięta przez TSUE dotyczyła kwestii nadmiernych żądań podmiotów danych.
O co chodziło w sprawie?
Sprawa, która trafiła na wokandę TSUE, dotyczyła skarżącego, który w ciągu 20 miesięcy złożył aż 77 skarg do austriackiego organu ochrony danych. W swoich wnioskach twierdził, że różni administratorzy nie odpowiadali na jego żądania dostępu do danych lub ich usunięcia w wymaganym terminie. W obliczu takiej liczby wniosków organ uznał działania tej osoby za nadmierne i odmówił rozpatrzenia jednej ze skarg, powołując się na art. 57 ust. 4 RODO, który pozwala organom nadzorczym na ograniczenie reakcji w przypadku oczywiście nieuzasadnionych lub nadmiernych żądań.
Austriacki sąd administracyjny wskazał jednak, że samo powtarzanie żądań nie wystarcza, aby uznać je za nadmierne. Zwrócił uwagę, że istotne jest również ustalenie, czy działania skarżącego miały charakter nadużycia lub były dokuczliwe dla organu. Ostatecznie sprawa trafiła do Trybunału Sprawiedliwości Unii Europejskiej, który miał odpowiedzieć na kilka kluczowych pytań prejudycjalnych, w tym:
- Czy pojęcie „żądania” w art. 57 ust. 4 RODO obejmuje także skargi składane do organów nadzorczych?
- Czy wielokrotność składania żądań wystarczy, aby uznać je za nadmierne?
- Jakie opcje mają organy nadzorcze w takich sytuacjach – czy muszą najpierw próbować pobrania opłat, czy mogą od razu odmówić rozpatrzenia skarg?
TSUE wskazuje na równowagę
W odpowiedzi na powyżej sformułowane pytania, TSUE wskazał, że:
Po pierwsze – pojęcie „żądania” obejmuje również skargi składane do organów nadzorczych (np. polski UODO).
Po drugie – skarg nie można uznać za „nadmierne” wyłącznie ze względu na ich liczbę w danym okresie. Aby mówić o nadużyciu, konieczne jest wykazanie, że działania składającego wnioski były celowo dokuczliwe lub stanowiły próbę obejścia przepisów.
Po trzecie – w przypadku nadmiernych żądań organ nadzorczy może dokonać wyboru pomiędzy pobraniem rozsądnej opłaty opartej na kosztach administracyjnych a odmową podjęcia działań w związku z tymi żądaniami, uwzględniając wszystkie istotne okoliczności oraz upewniając się, że wybrana opcja jest odpowiednia, konieczna i proporcjonalna.
Powyższe orzeczenie TSUE rzuca światło na jedną z bardziej kontrowersyjnych kwestii RODO – gdzie kończą się prawa podmiotów danych, a zaczyna obowiązek ochrony administratorów przed nadużyciami.