C-169/23
Podsumowanie
Trybunał Sprawiedliwości UE orzekł, że wyjątek od obowiązku informacyjnego RODO dotyczący danych pozyskanych od osób trzecich obejmuje również dane wygenerowane przez administratora, ale organ nadzorczy musi zbadać, czy prawo krajowe zapewnia odpowiednią ochronę interesów osoby, której dane dotyczą.
Sprawa dotyczyła wykładni RODO w kontekście wydawania świadectw odporności na COVID-19. Pytanie prejudycjalne dotyczyło tego, czy wyjątek od obowiązku informacyjnego (art. 14 ust. 5 lit. c RODO) obejmuje dane wygenerowane przez administratora, a nie tylko te pozyskane od osób trzecich. Trybunał stwierdził, że wyjątek ten dotyczy obu kategorii danych. Ponadto, organ nadzorczy ma prawo badać, czy prawo krajowe przewiduje odpowiednie środki ochrony uzasadnionych interesów osoby, której dane dotyczą, ale nie jest zobowiązany do oceny środków bezpieczeństwa przetwarzania danych (art. 32 RODO).
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni przepisów RODO, w szczególności art. 14 ust. 5 lit. c, który przewiduje wyjątek od obowiązku informacyjnego administratora, gdy pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem państwa członkowskiego, które przewiduje odpowiednie środki ochrony uzasadnionych interesów osoby, której dane dotyczą. Sprawa wyłoniła się z postępowania między węgierskim organem ochrony danych a osobą fizyczną, która zakwestionowała brak informacji dotyczących przetwarzania jej danych osobowych przy wydawaniu świadectwa odporności na COVID-19. Pierwsze pytanie prejudycjalne dotyczyło tego, czy wspomniany wyjątek obejmuje dane wygenerowane przez samego administratora w ramach jego zadań, czy tylko te pozyskane od osób trzecich. Trybunał orzekł, że wyjątek ten dotyczy bez rozróżnienia wszystkich danych osobowych, których administrator nie zebrał bezpośrednio od osoby, której dane dotyczą, niezależnie od tego, czy zostały one pozyskane od osoby trzeciej, czy wygenerowane przez administratora. Drugie i trzecie pytanie dotyczyły właściwości organu nadzorczego w zakresie weryfikacji, czy prawo krajowe przewiduje odpowiednie środki ochrony uzasadnionych interesów osoby, której dane dotyczą, oraz czy ta weryfikacja obejmuje również środki bezpieczeństwa przetwarzania danych (art. 32 RODO). Trybunał stwierdził, że organ nadzorczy jest właściwy do weryfikacji, czy prawo krajowe przewiduje odpowiednie środki ochrony, ale ta weryfikacja nie obejmuje oceny środków bezpieczeństwa przetwarzania danych na podstawie art. 32 RODO, ponieważ są to odrębne obowiązki.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (3)
Odpowiedź sądu
Tak, art. 14 ust. 5 lit. c) RODO należy interpretować w ten sposób, że przewidziany w nim wyjątek od ciążącego na administratorze obowiązku informowania osoby, której dane dotyczą, dotyczy bez rozróżnienia wszystkich danych osobowych, których administrator nie zebrał bezpośrednio od osoby, której dane dotyczą, niezależnie od tego, czy dane te zostały pozyskane przez administratora od osoby innej niż osoba, której dane dotyczą, czy też zostały one wygenerowane przez samego administratora w ramach wykonywania jego zadań.
Uzasadnienie
Trybunał analizował brzmienie, systematykę i cel art. 14 ust. 5 lit. c) RODO. Stwierdził, że pojęcie 'pozyskania lub ujawnienia' danych osobowych obejmuje zarówno dane uzyskane od osób trzecich, jak i dane wygenerowane przez administratora. Wykładnia ta jest zgodna z celem RODO, jakim jest zapewnienie ochrony praw osób fizycznych, pod warunkiem, że osoba, której dane dotyczą, może sprawować kontrolę nad swoimi danymi.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
udzielono odpowiedzi na pytanie
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| Nemzeti Adatvédelmi és Információszabadság Hatóság | organ_krajowy | skarżący |
| UC | osoba_fizyczna | pozwany |
| rząd węgierski | panstwo_czlonkowskie | interwenient |
| rząd czeski | panstwo_czlonkowskie | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (10)
Główne
RODO art. 14 § 1
Ogólne rozporządzenie o ochronie danych
RODO art. 14 § 5 lit. c
Ogólne rozporządzenie o ochronie danych
RODO art. 32
Ogólne rozporządzenie o ochronie danych
RODO art. 77 § 1
Ogólne rozporządzenie o ochronie danych
Pomocnicze
TFUE art. 267
Traktat o funkcjonowaniu Unii Europejskiej
Karta praw podstawowych art. 8 § 1
Karta praw podstawowych Unii Europejskiej
TFUE art. 16 § 1
Traktat o funkcjonowaniu Unii Europejskiej
Rozporządzenie (UE) 2021/953 art. 10 § 1
Dekret nr 60/2021 art. 2 § 1
Dekret rady ministrów nr 60/2021
Dekret nr 60/2021 art. 3 § 3
Dekret rady ministrów nr 60/2021
Argumenty
Skuteczne argumenty
Wyjątek z art. 14 ust. 5 lit. c) RODO obejmuje dane wygenerowane przez administratora. Organ nadzorczy jest właściwy do weryfikacji, czy prawo krajowe przewiduje odpowiednie środki ochrony uzasadnionych interesów osoby, której dane dotyczą. Weryfikacja organu nadzorczego nie obejmuje oceny środków bezpieczeństwa przetwarzania danych (art. 32 RODO).
Odrzucone argumenty
Wyjątek z art. 14 ust. 5 lit. c) RODO dotyczy wyłącznie danych pozyskanych od osób trzecich. Organ nadzorczy nie jest właściwy do badania zgodności prawa krajowego z RODO w zakresie ochrony uzasadnionych interesów. Weryfikacja organu nadzorczego powinna obejmować również ocenę środków bezpieczeństwa przetwarzania danych.
Godne uwagi sformułowania
dane wygenerowane w ramach postępowania prowadzonego przez administratora odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą weryfikacja ta nie dotyczy jednak odpowiedniego charakteru środków, które administrator danych jest zobowiązany wdrożyć na podstawie art. 32 tego rozporządzenia
Skład orzekający
K. Jürimäe
prezes trzeciej izby
K. Lenaerts
prezes Trybunału, pełniący obowiązki sędziego trzeciej izby
N. Jääskinen
sędzia
M. Gavalec
sprawozdawca
N. Piçarra
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wykładnia art. 14 ust. 5 lit. c) RODO w kontekście danych wygenerowanych przez administratora oraz zakresu kontroli organów nadzorczych nad stosowaniem tego wyjątku."
Ograniczenia: Orzeczenie dotyczy specyficznej sytuacji wydawania świadectw odporności, ale jego zasady mają szersze zastosowanie do interpretacji RODO w zakresie obowiązku informacyjnego i wyjątków od niego.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnie stosowanego RODO i wyjaśnia ważny wyjątek od obowiązku informacyjnego, co jest kluczowe dla praktyków. Rozstrzyga wątpliwości dotyczące danych generowanych przez systemy, a nie tylko pobieranych z zewnętrznych źródeł.
“Czy dane wygenerowane przez system są objęte obowiązkiem informacyjnym RODO? TSUE wyjaśnia wyjątek od reguły.”
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI