Eiropas Savienības Tiesa 2023. gada janvārī pieņēmusi vairākus spriedumus lietās, kas skatītas atbilstoši Līguma par Eiropas Savienības darbību (turpmāk – LESD) 267. pantam. Rakstā apskatīti divi janvāra pirmajā pusē pieņemtie spriedumi, kuri skar fizisko personu datu aizsardzības un privātuma jautājumus.

LESD 267. pants (bijušais EKL 234. pants) paredz, ka Eiropas Savienības Tiesas (turpmāk – EST) kompetencē ir sniegt prejudiciālus nolēmumus. EST ir atzinusi: „Stingra šā pienākuma ievērošana ir obligāts nosacījums, lai visā Kopienā vienlaicīgi un vienveidīgi piemērotu Kopienas noteikumus. Konkrētāk, dalībvalstīm ir pienākums neieviest nekādus pasākumus, kas varētu ietekmēt tiesas jurisdikciju attiecībā uz jebkuru jautājumu, kas saistīts ar: 1) Kopienas tiesību aktu interpretāciju; 2) vai kopienas institūciju izdotu aktu spēkā esamību” (EST spriedums lietā 34–73, Fratelli Variola S.p.A. v Amministrazione italiana delle Finanze, 10, 11. punkts).

Datu subjekta piekļuves tiesības

EST 2023. gada 12. janvāra spriedums RW pret Österreichische Post AG (lieta C154/21)

1 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).

Lietā skatīts jautājums par datu subjekta tiesībām piekļūt saviem datiem, prejudiciālais nolēmums tika sagatavots par to, kā interpretēt Regulas 2016/679¹ 15. panta 1. punkta c) apakšpunktu, kas noteic: 

„Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju: c) personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās.”

Fiziska persona vērsās Austrijas pastā (Österreichische Post), lai saņemtu piekļuvi saviem personas datiem, kurus šis uzņēmums glabā vai bija glabājis, kā arī – gadījumā, ja šie dati ir izpausti trešajām personām, – noskaidrotu šo saņēmēju identitāti. Datu subjekts saņēma atbildi, ka dati tiek izmantoti tiesību aktos atļautajā apmērā savas kā adrešu grāmatu izdevēja darbības ietvaros un piedāvā šos personas datus komercpartneriem mārketinga vajadzībām. Datu saņēmēju identitāte datu subjektam netika atklāta. 

Aizstāvot savas tiesības, datu subjekts vērsās Austrijas tiesās, prasot, lai datu pārzinim tiktu uzdots sniegt informāciju par personas datu saņēmēja vai saņēmēju identitāti. Gan pirmās instances, gan apelācijas tiesa personas RW prasību un apelācijas sūdzību noraidīja. Kasācijas instancei radās šaubas par Regulas 679 15. panta 1. punkta c) apakšpunkta interpretāciju, tādēļ tā vērsās EST.

EST noteica, ka Regulas 679 15. panta 1. punkta c) apakšpunkts jāinterpretē tādējādi, ka šajā tiesību normā paredzētās datu subjekta tiesības piekļūt saviem personas datiem nozīmē, ka tad, ja šie dati ir vai tiks izpausti saņēmējiem, pārzinim ir pienākums darīt šim subjektam zināmu šo saņēmēju identitāti, ja vien saņēmējus nav iespējams identificēt vai pārzinis nepierāda, ka datu subjekta piekļuves lūgumi ir acīmredzami nepamatoti vai pārmērīgi Regulas 2016/679 12. panta 5. punkta izpratnē; tādā gadījumā pārzinis var datu subjektam darīt zināmas tikai attiecīgo saņēmēju kategorijas. 

Datu subjekta tiesības uz efektīvu tiesību aizsardzību

EST 2023. gada 12. janvāra spriedums lietā BE pret Nemzeti Adatvédelmi és Információszabadság Hatóság (lieta C132/21)

Lietā tiek izskatīts lūgums sniegt prejudiciālu nolēmumu par to, kā interpretēt Regulas 2016/679 77. panta 1. punktu (Tiesības iesniegt sūdzību uzraudzības iestādē), 78. panta 1. punktu (Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi) un 79. panta 1. punktu (Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju).

Nacionālās tiesas (Ungārija) ieskatā: „(..) līdztekus izmantojot vairākus Regulas 2016/679 77.–79. pantā paredzētos tiesību aizsardzības līdzekļus, par identiskiem lietas apstākļiem varētu tikt pieņemti savstarpēji pretrunīgi nolēmumi” un „[tā] kā minētās regulas tiesību normās nav paredzēts neviens noteikums par tās 77.–79. pantā noteikto tiesību aizsardzības līdzekļu savstarpējo prioritāti, (..) šo tiesību aizsardzības līdzekļu starpā esošo attiecību noteikt ir Tiesas ziņā” (EST sprieduma lietā C132/21 18., 21. punkts).

Lietas ietvaros nacionālajās tiesās divos paralēlos tiesas procesos (t.i., administratīvā lieta un civillieta) tika skatīts jautājums par fiziskas personas, kura ir akcionāre akciju sabiedrībā, tiesībām piekļūt saviem personas datiem, proti, ierakstam no akciju sabiedrības sapulces.

Akciju sabiedrības sapulcē akcionāre bija uzdevusi jautājumus akciju sabiedrības valdes locekļiem un citiem sapulces dalībniekiem. Akcionāre lūdza akciju sabiedrību kā personas datu pārzini izsniegt šīs pilnsapulces gaitā veikto skaņu ierakstu. Akciju sabiedrība daļēji apmierināja akciju sabiedrības akcionāres lūgumu, jo izsniedza tikai tos sapulces ieraksta fragmentus, kuros ir atskaņots pašas akcionāres teiktais, bet ne pārējo attiecīgās akciju sabiedrības sapulces dalībnieku teiktais. 

Fiziskā persona vērsās valsts datu uzraudzības iestādē ar lūgumu konstatēt, ka akciju sabiedrība ir rīkojusies prettiesiski un pārkāpusi Regulu 2016/679, jo akcionārei neizsniedza akciju sabiedrības sapulces ierakstu ar atbildēm uz akcionāres uzdotajiem jautājumiem, kā arī uzdot datu pārzinim (akciju sabiedrībai) izsniegt akcionārei attiecīgo ierakstu. Valsts uzraudzības iestāde šo lūgumu noraidīja, izdodot attiecīgu lēmumu.

Akcionāre, pirmkārt, cēla prasību nacionālajā tiesā (iesniedzējtiesa), pamatojoties uz Regulas 2016/679 78. panta 1. punktu, lai panāktu valsts datu uzraudzības iestādes lēmuma grozīšanu un tā atcelšanu, bet, otrkārt, pamatojoties uz Regulas 2016/679 79. panta 1. punktu, iesniedza arī prasību pret pārzini civillietu tiesā. Tādējādi tika ierosinātas divas lietas: pirmā – administratīvā lieta, kura, piemēram, Latvijas Republikā tiktu skatīta Administratīvā procesa likuma ietvaros, un, otrkārt, civillieta, kura, piemēram, Latvijas Republikā tiktu skatīta Civilprocesa likuma ietvaros.

Galvaspilsētas Budapeštas apgabala apelācijas tiesa (Fővárosi Ítélőtábla), Ungārija, ar likumīgā spēkā stājušos spriedumu apmierināja otro prasību, pamatojoties uz to, ka pārzinis bija pārkāpis akcionāres tiesības piekļūt saviem personas datiem.

Galvaspilsētas Budapeštas apgabala apelācijas tiesa nolēma apturēt tiesvedību un uzdot EST prejudiciālus jautājumus, vai no Savienības tiesībām var gūt norādes par sakarību starp attiecīgo kompetenci, kas ir uzraudzības iestādei, kurai saskaņā ar Regulas 2016/679 77. panta 1. punktu ir iesniegta sūdzība, un administratīvajai tiesai, kuras kompetencē saskaņā ar šīs regulas 78. panta 1. punktu ir pārbaudīt šīs iestādes pieņemto lēmumu tiesiskumu, no vienas puses, un civillietu tiesai, kuras kompetencē saskaņā ar minētās regulas 79. panta 1. punktu ir lemt par prasību, ko cēlusi persona, kura uzskata, ka ir pārkāptas tai no minētās regulas izrietošās tiesības. Saskaņā ar valsts procesuālajiem noteikumiem uzraudzības iestādes lēmums nav saistošs civillietu tiesai. Tātad nav izslēgts, ka šī tiesa attiecībā uz identiskiem faktiem varētu pieņemt nolēmumu, kas ir pretējs uzraudzības iestādes lēmumam.

EST sniedza atbildi, nospriežot, ka Regulas (ES) 2016/679 „77. panta 1. punkts, 78. panta 1. punkts un 79. panta 1. punkts, lasot tos Eiropas Savienības Pamattiesību hartas 47. panta gaismā, ir jāinterpretē tādējādi, ka tie ļauj tiesību aizsardzības līdzekļus, kas paredzēti, no vienas puses, šajā 77. panta 1. punktā un 78. panta 1. punktā, un, no otras puses, šajā 79. panta 1. punktā, izmantot līdztekus citu citam un katru patstāvīgi. Lai nodrošinātu šajā regulā garantēto tiesību aizsardzības efektivitāti, šīs regulas tiesību normu saskanīgu un vienveidīgu piemērošanu, kā arī Pamattiesību hartas 47. pantā nostiprinātās tiesības uz efektīvu tiesību aizsardzību tiesā, dalībvalstīm atbilstoši procesuālās autonomijas principam ir jāparedz, kādā tieši savstarpējā attiecībā ir šie tiesību aizsardzības līdzekļi.” 

Spriedumu tiesa argumentējusi: „Vairāku tiesību aizsardzības līdzekļu nodrošināšana stiprina arī Regulas 2016/679 141. apsvērumā izvirzīto mērķi garantēt, lai ikvienam datu subjektam, kurš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, būtu tiesības uz efektīvu tiesību aizsardzību tiesā saskaņā ar Hartas 47. pantu” (EST sprieduma lietā C132/21 44. punkts).

„(..) divu savstarpēji pretrunīgu nolēmumu esamība apdraudētu šīs regulas 10. apsvērumā norādīto mērķi nodrošināt, ka noteikumi par fizisko personu pamatbrīvību un pamattiesību aizsardzību attiecībā uz personas datu apstrādi visā Savienībā tiek piemēroti saskanīgi un vienveidīgi” (EST sprieduma lietas C132/21 54. punkts).

„Ja attiecīgajā jomā nav Savienības regulējuma, katrai dalībvalstij atbilstoši dalībvalstu procesuālās autonomijas principam ir jānosaka sīki administratīvā procesa un tiesvedības procesuālie noteikumi, kas vērsti uz to, lai aizsargātu tiesības, kuras attiecīgajām personām ir noteiktas Savienības tiesībās” (EST sprieduma lietas C132/21 45. punkts). 

Tādējādi lietas ietvaros EST norādīja uz to, ka nacionālajiem tiesību aktiem ir jānodrošina, ka persona var izmantot visus tiesību aizsardzības līdzekļus, kas noteikti Regulā 216/679, bet ir jāno­drošina, ka vienādos apstākļos lietas iznākums ir vienāds un tiktu aizsargātas datu subjekta tiesības, kā to paredz Eiropas Savienības tiesības. Būtiski uzsvērt, ka EST judikatūrā ir atzīts: „Prasība veikt saskanīgu interpretāciju ietver valsts tiesu pienākumu attiecīgā gadījumā grozīt iedibināto judikatūru, ja tā ir balstīta uz valsts tiesību interpretāciju, kas nav saderīga ar kādas direktīvas mērķiem (spriedumi: 2016. gada 19. aprīlis, DI, C441/14, 33. punkts; 2018. gada 17. aprīlis, Egenberger, C414/16, 72. punkts; 2018. gada 11. septembris, IR, C68/17, 64. punkts)” (EST sprieduma lietā C–55/18, 70. punkts).

Publicēts žurnāla “Bilances Juridiskie Padomi” 2023. gada februāra (116.) numurā.