C-413/23 P
Podsumowanie
Trybunał uchylił wyrok Sądu, stwierdzając, że dane przekazane przez Jednolitą Radę ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) firmie Deloitte stanowiły dane osobowe, a SRB naruszyła obowiązek informacyjny wobec akcjonariuszy i wierzycieli.
Sprawa dotyczyła odwołania Europejskiego Inspektora Ochrony Danych (EIOD) od wyroku Sądu, który stwierdził nieważność decyzji EIOD. EIOD uznał, że SRB naruszyła przepisy o ochronie danych osobowych, nie informując akcjonariuszy i wierzycieli o przekazaniu ich danych (uwag złożonych w postępowaniu) firmie Deloitte. Sąd uznał, że uwagi te nie stanowiły danych osobowych, ponieważ Deloitte nie miała dostępu do informacji umożliwiających identyfikację autorów. Trybunał uchylił wyrok Sądu, stwierdzając, że uwagi te były danymi osobowymi, a SRB naruszyła obowiązek informacyjny, nie podając Deloitte jako odbiorcy danych w oświadczeniu o ochronie prywatności.
Europejski Inspektor Ochrony Danych (EIOD) wniósł odwołanie od wyroku Sądu Unii Europejskiej, który stwierdził nieważność decyzji EIOD. Sprawa dotyczyła naruszenia przepisów o ochronie danych osobowych przez Jednolitą Radę ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) w związku z postępowaniem dotyczącym wypłaty rekompensat akcjonariuszom i wierzycielom banku Banco Popular Español. SRB zebrała uwagi od tych osób, a następnie przekazała je firmie audytorskiej Deloitte w celu analizy. EIOD uznał, że SRB naruszyła art. 15 ust. 1 lit. d) rozporządzenia (UE) 2018/1725, nie informując osób, których dane dotyczą, o przekazaniu ich danych Deloitte. Sąd Unii Europejskiej stwierdził nieważność decyzji EIOD, uznając, że uwagi przekazane Deloitte nie stanowiły danych osobowych, ponieważ Deloitte nie miała dostępu do informacji umożliwiających identyfikację autorów. Trybunał Sprawiedliwości Unii Europejskiej uchylił wyrok Sądu. Stwierdził, że uwagi te, jako wyraz osobistych opinii i stanowisk, stanowiły dane osobowe. Ponadto Trybunał uznał, że obowiązek informacyjny wynikający z art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 należy oceniać z perspektywy administratora (SRB) w momencie zbierania danych, a nie z perspektywy odbiorcy (Deloitte). SRB dysponowała informacjami umożliwiającymi identyfikację autorów uwag, co oznaczało naruszenie obowiązku informacyjnego. Sprawa została przekazana Sądowi do ponownego rozpoznania w zakresie drugiego zarzutu skargi.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (2)
Odpowiedź sądu
Tak, uwagi te stanowią dane osobowe, ponieważ odzwierciedlają osobiste opinie i stanowiska autorów, a administrator (SRB) dysponował informacjami umożliwiającymi identyfikację tych autorów.
Uzasadnienie
Trybunał uznał, że uwagi, jako wyraz osobistych opinii, są ściśle związane z ich autorami. Nawet jeśli dane są spseudonimizowane, a podmiot trzeci nie ma bezpośredniego dostępu do danych identyfikacyjnych, jeśli administrator dysponuje takimi danymi, dane te nadal są uważane za dane osobowe. Kluczowe jest, czy osoba jest możliwa do zidentyfikowania, a nie tylko czy jest zidentyfikowana.
Rozstrzygnięcie
Decyzja
odwolanie
Strona wygrywająca
Europejski Inspektor Ochrony Danych (EIOD)
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| Europejski Inspektor Ochrony Danych (EIOD) | instytucja_ue | strona wnosząca odwołanie |
| Europejska Rada Ochrony Danych | instytucja_ue | interwenient w postępowaniu odwoławczym |
| Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) | instytucja_ue | strona skarżąca w pierwszej instancji |
| Komisja Europejska | instytucja_ue | interwenient w postępowaniu odwoławczym |
Przepisy (13)
Główne
Rozporządzenie 2018/1725 art. 3 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725
Definicja danych osobowych jako informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Kluczowe jest, czy osoba jest możliwa do zidentyfikowania, a nie tylko czy jest zidentyfikowana.
Rozporządzenie 2018/1725 art. 3 § 6
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725
Definicja pseudonimizacji jako przetwarzania danych w taki sposób, by nie można ich było przypisać konkretnej osobie bez dodatkowych informacji, które muszą być przechowywane osobno i zabezpieczone.
Rozporządzenie 2018/1725 art. 15 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725
Obowiązek administratora poinformowania osoby, której dane dotyczą, o odbiorcach danych osobowych w momencie ich zbierania.
Statut TSUE art. 56
Statut Trybunału Sprawiedliwości Unii Europejskiej
Podstawa prawna odwołania.
Pomocnicze
Rozporządzenie 2018/1725 art. 14 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725
Wymóg przekazywania informacji w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny.
Rozporządzenie 2018/1725 art. 4 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725
Rozporządzenie 2018/1725 art. 26 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725
Statut TSUE art. 61
Statut Trybunału Sprawiedliwości Unii Europejskiej
Możliwość wydania orzeczenia ostatecznego w sprawie przez Trybunał po uchyleniu orzeczenia Sądu.
Karta art. 41
Karta praw podstawowych Unii Europejskiej
Prawo do dobrej administracji (zarzut podniesiony przez SRB w pierwszej instancji).
Rozporządzenie o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji art. 18
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 806/2014
Rozporządzenie o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji art. 21
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 806/2014
Rozporządzenie o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji art. 24
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 806/2014
Rozporządzenie o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji art. 76
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 806/2014
Argumenty
Skuteczne argumenty
Uwagi przekazane przez SRB do Deloitte stanowiły dane osobowe, ponieważ odzwierciedlały osobiste opinie autorów, a SRB dysponowała informacjami umożliwiającymi ich identyfikację. Obowiązek informacyjny z art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 należy oceniać z perspektywy administratora (SRB) w momencie zbierania danych, a nie z perspektywy odbiorcy (Deloitte).
Odrzucone argumenty
Sąd błędnie uznał, że uwagi przekazane Deloitte nie stanowiły danych osobowych, ponieważ Deloitte nie miała dostępu do informacji umożliwiających identyfikację autorów. Sąd błędnie ocenił obowiązek informacyjny z perspektywy odbiorcy danych (Deloitte), zamiast z perspektywy administratora (SRB) w momencie zbierania danych.
Godne uwagi sformułowania
Informacje, obiektywne lub subiektywne, w postaci opinii lub ocen, mogą stanowić dane osobowe, pod warunkiem że „dotyczą” one danej osoby. Informacja dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli ze względu na swą treść, cel czy skutek informacja ta jest powiązana z możliwą do zidentyfikowania osobą. O ile bowiem takie środki techniczne i organizacyjne są rzeczywiście wprowadzone i mogą zapobiec przypisaniu rozpatrywanych danych osobie, której dane dotyczą, w taki sposób że osoby tej w ogóle nie można zidentyfikować lub już nie można zidentyfikować, o tyle pseudonimizacja może mieć wpływ na osobowy charakter tych danych w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725. Do celów stosowania obowiązku podania informacji przewidzianego w art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 możliwość zidentyfikowania osoby, której dane dotyczą, należy oceniać w momencie zbierania danych i z punktu widzenia administratora.
Skład orzekający
F. Biltgen
prezes
T. von Danwitz
sprawozdawca
A. Kumin
sędzia
I. Ziemele
sędzia
S. Gervasoni
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Interpretacja pojęcia danych osobowych w kontekście opinii i stanowisk, znaczenie pseudonimizacji, obowiązek informacyjny administratora w zakresie odbiorców danych, ocena możliwości identyfikacji z perspektywy administratora."
Ograniczenia: Sprawa dotyczy specyficznego kontekstu restrukturyzacji banku i postępowania dotyczącego prawa do bycia wysłuchanym, ale zasady dotyczące danych osobowych i obowiązku informacyjnego są szeroko stosowalne.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy ważnych kwestii ochrony danych osobowych w kontekście restrukturyzacji instytucji finansowych i interakcji z klientami, co jest aktualnym tematem.
“Czy Twoje opinie w internecie to dane osobowe? TSUE wyjaśnia, kiedy nawet pseudonimizacja nie chroni prywatności.”
Sektor
bankowość
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI