Odločitve, ki jih sprejmejo nadzorni organi v okviru posrednega uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, so pravno zavezujoče. Sodišče mora imeti možnost preveriti razloge in dokaze, na katerih te odločitve temeljijo.
Leta 2016 je belgijski državljan BA, ki je bil takrat zaposlen za krajši delovni čas pri nepridobitni organizaciji, pri nacionalnem varnostnem organu zaprosil za potrdilo o varnostnem preverjanju za službene namene. Izdajo potrdila mu je organ zavrnil iz razlogov državne varnosti in trajnosti ustavne demokratične ureditve, saj je BA v letih od 2007 do 2016 sodeloval na več demonstracijah.
BA je pri nadzornem organu za policijske informacije vložil zahtevo za dostop do vseh informacij, ki se nanašajo nanj. Nadzorni organ ga je obvestil, da ima le posredno pravico do dostopa do teh podatkov in da bo sam preveril zakonitost morebitne obdelave njegovih osebnih podatkov v podatkovni zbirki, ki jo uporabljajo vse nacionalne policijske službe. Ob koncu tega preverjanja je bil BA zgolj obveščen, da so bili njegovi osebni podatki preverjeni v policijskih podatkovnih zbirkah in da so bili podatki po potrebi spremenjeni ali izbrisani.
Na podlagi takšnega odgovora je BA vložil tožbo na prvostopenjsko sodišče v Bruslju, ki se je izreklo za nepristojno za odločanje v tej zadevi. Zoper ta sklep je vložil pritožbo, ki jo je obravnavalo višje sodišče v Bruslju. Slednje se je s predhodnima vprašanjema obrnilo na Sodišče EU ter vprašalo, ali zakonodaja EU od držav članic zahteva, da posamezniku, na katerega se nanašajo osebni podatki, omogoči izpodbijati odločitev nadzornega organa, ki je uveljavljal pravice posameznika, na katerega se nanašajo osebni podatki, v zvezi z obdelavo njegovih osebnih podatkov, ter ali je 17. člen Direktive 2016/680 v skladu z Listino, ker nadzornemu organu – ki v razmerju do upravljavca uveljavlja pravice posameznika, na katerega se nanašajo osebni podatki – nalaga le, da to osebo obvesti, da je izvedel vsa potrebna preverjanja oziroma opravil pregled in o pravici do vložitve pravnega sredstva, če take informacije ne omogočajo naknadnega nadzora nad ukrepanjem nadzornega organa in presojo glede podatkov posameznika, na katerega se nanašajo osebni podatki, ter nad obveznostmi upravljavca?
Sodišče EU je s sodbo C-333/22 najprej opozorilo, da iz 10. uvodne izjave ter 13. in 15. člena Direktive 2016/680 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov izhaja, da nacionalni zakonodajalec lahko omeji neposredno uresničevanje pravice do zagotovitve informacij na eni strani in pravice do dostopa na drugi strani, »če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi« za »preprečitev oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov«, »preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij«, »zaščito javne varnosti« ali »zaščito pravic in svoboščin drugih«. Poleg tega tretji odstavek 15. člena Direktive 2016/680 določa, da ima upravljavec možnost, da posameznika, na katerega se nanašajo osebni podatki, ne obvesti o vsaki zavrnitvi ali omejitvi dostopa in o razlogih zanj, če bi razkritje teh informacij lahko ogrozilo katerega koli od zgoraj navedenih ciljev v javnem interesu.
Hkrati pa Sodišče EU meni, da pristojni nadzorni organ z obvestitvijo posameznika, na katerega se nanašajo osebni podatki, o rezultatih opravljenih preverjanj, sprejme pravno zavezujočo odločitev, pri čemer ima ta odločitev pravne učinke za posameznika. Zato mora imeti posameznik, na katerega se nanašajo osebni podatki, na podlagi prvega odstavka 53. člena Direktive 2016/680 možnost doseči sodni nadzor nad utemeljenostjo take odločitve in zlasti nad tem, kako je nadzorni organ izpolnil svojo obveznost. Na prvo vprašanje je Sodišče EU odgovorilo, da mora imeti posameznik, ki je svoje pravice uresničeval prek pristojnega nadzornega organa in ga je ta organ obvestil o izidu opravljenih preverjanj, zoper odločitev navedenega organa o zaključku postopka preverjanja na voljo učinkovito pravno sredstvo.
V odgovoru na drugo vprašanje je Sodišče EU poudarilo, da zakonodaja EU od nadzornega organa zahteva, da posameznika obvesti vsaj o tem, da so bila opravljena vsa potrebna preverjanja ali pregled s strani nadzornega organa in o njegovi pravici do sodnega varstva. Pri tem morajo države zagotoviti, da se posamezniku razkrijejo vsaj minimalne informacije (če seveda tega ne izključuje javni interes), tako da lahko posameznik, na katerega se nanašajo osebni podatki, brani svoje pravice in se odloči, ali se bo obrnil na pristojno sodišče.
Poleg tega morajo države članice v primerih, ko so bile tako razkrite informacije posamezniku, na katerega se nanašajo osebni podatki, omejene na minimum, zagotoviti, da pristojno sodišče za preverjanje, ali so razlogi, ki so upravičevali tako omejitev teh informacij, utemeljeni, lahko pretehta namene javnega interesa (varnost države, preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj) in potrebo po zagotavljanju spoštovanja procesnih pravic državljanov. V okviru tega sodnega nadzora morajo nacionalni predpisi sodišču omogočiti, da preuči razloge in dokaze, ki stojijo za odločitvijo nadzornega organa, ter sklepe, ki jih je ta organ sprejel na podlagi te odločitve.
Pripravila: mag. Jasmina Potrč
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.