C-579/21
Podsumowanie
Trybunał Sprawiedliwości UE orzekł, że dane z logów dotyczące przeglądania danych osobowych, w tym daty i cele, są dostępne dla osoby, której dane dotyczą, ale dane pracowników banku są dostępne tylko warunkowo.
Sprawa dotyczyła prawa dostępu do informacji o przeglądaniu danych osobowych przez pracowników banku. J.M. chciał uzyskać dane dotyczące tego, kto, kiedy i w jakim celu przeglądał jego dane jako klienta. Bank odmówił podania tożsamości pracowników, uznając te dane za ich dane osobowe. Trybunał orzekł, że dane dotyczące dat i celów przeglądania są dostępne, ale dane pracowników tylko w ograniczonym zakresie, gdy są niezbędne do skutecznego dochodzenia praw przez osobę, której dane dotyczą, i z poszanowaniem praw pracowników.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni art. 15 ust. 1 RODO w kontekście prawa dostępu do informacji o przeglądaniu danych osobowych przez pracowników banku. J.M., były klient i pracownik banku Pankki S, domagał się ujawnienia tożsamości osób, które przeglądały jego dane jako klienta, dat i celów tych operacji. Bank odmówił podania tożsamości pracowników, uznając te dane za ich dane osobowe. Trybunał Sprawiedliwości UE, rozpatrując cztery pytania prejudycjalne, ustalił, że RODO ma zastosowanie do żądań złożonych po dacie wejścia w życie rozporządzenia, nawet jeśli przetwarzanie danych miało miejsce wcześniej. Orzekł, że informacje dotyczące dat i celów przeglądania danych osobowych są dostępne dla osoby, której dane dotyczą, zgodnie z art. 15 ust. 1 RODO. Jednakże, informacje dotyczące tożsamości pracowników banku, którzy dokonali przeglądania, nie są automatycznie dostępne. Mogą być ujawnione tylko wtedy, gdy są niezbędne do skutecznego wykonywania praw przez osobę, której dane dotyczą, i z uwzględnieniem praw i wolności tych pracowników. Okoliczność, że bank jest instytucją regulowaną, a osoba wnioskująca była jednocześnie klientem i pracownikiem, nie wpływa zasadniczo na zakres tego prawa. Wyrok podkreśla znaczenie zasady przejrzystości w RODO i potrzebę wyważenia praw osób, których dane dotyczą, z prawami i wolnościami innych osób.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (3)
Odpowiedź sądu
Informacje dotyczące dat i celów przeglądania danych osobowych są dostępne. Informacje dotyczące tożsamości pracowników są dostępne tylko warunkowo, gdy są niezbędne do skutecznego wykonywania praw przez osobę, której dane dotyczą, i z poszanowaniem praw pracowników.
Uzasadnienie
Trybunał zinterpretował szeroko pojęcie danych osobowych i przetwarzania w RODO. Prawo dostępu ma na celu zapewnienie przejrzystości i umożliwienie weryfikacji zgodności przetwarzania z prawem. Dane z logów dotyczące dat i celów są kluczowe dla tej weryfikacji. Tożsamość pracowników stanowi dane osobowe tych pracowników i podlega ochronie, dlatego ich ujawnienie jest ograniczone i wymaga wyważenia praw.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
J.M. (częściowo)
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| J.M. | osoba_fizyczna | skarżący |
| Apulaistietosuojavaltuutettu | organ_krajowy | inna_strona |
| Pankki S | spolka | inna_strona |
| Rząd fiński | panstwo_czlonkowskie | interwenient |
| Rząd czeski | panstwo_czlonkowskie | interwenient |
| Rząd austriacki | panstwo_czlonkowskie | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (11)
Główne
RODO art. 15 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Prawo dostępu obejmuje informacje o celach przetwarzania, kategoriach odbiorców, planowanym okresie przechowywania, a także informacje o prawach do sprostowania, usunięcia, ograniczenia przetwarzania i sprzeciwu. Dotyczy również danych z plików dziennika (log data) w zakresie dat i celów operacji, ale niekoniecznie tożsamości pracowników, chyba że jest to niezbędne i z poszanowaniem ich praw.
RODO art. 4 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja 'danych osobowych' jest szeroka i obejmuje wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
RODO art. 4 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja 'przetwarzania' ma szeroki zakres i obejmuje m.in. przeglądanie danych.
RODO art. 4 § 9
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja 'odbiorcy' obejmuje podmioty, którym ujawnia się dane osobowe.
RODO art. 12 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Obowiązek udzielania informacji w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, jasnym i prostym językiem.
RODO art. 99 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO ma zastosowanie od dnia 25 maja 2018 r.
Pomocnicze
RODO art. 29
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Osoba działająca z upoważnienia administratora przetwarza dane wyłącznie na jego polecenie.
RODO art. 30 § 4
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Rejestry czynności przetwarzania udostępnia się na żądanie organu nadzorczego.
RODO art. 58 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Organy nadzorcze mają uprawnienia do żądania wszelkich informacji potrzebnych do realizacji zadań.
RODO art. 77 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Prawo do wniesienia skargi do organu nadzorczego.
TFUE art. 267
Traktat o funkcjonowaniu Unii Europejskiej
Podstawa prawna odesłania prejudycjalnego.
Argumenty
Skuteczne argumenty
Dane z logów dotyczące dat i celów przeglądania danych osobowych są dostępne dla osoby, której dane dotyczą, na mocy art. 15 RODO. RODO ma zastosowanie do żądań złożonych po dacie wejścia w życie, nawet jeśli przetwarzanie miało miejsce wcześniej. Charakter działalności administratora i status osoby wnioskującej (klient/pracownik) nie wpływają zasadniczo na zakres prawa dostępu.
Odrzucone argumenty
Tożsamość pracowników banku, którzy przeglądali dane klienta, jest całkowicie niedostępna dla tego klienta. RODO nie ma zastosowania do przetwarzania danych, które miało miejsce przed datą jego wejścia w życie.
Godne uwagi sformułowania
"wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej" "przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości" "Prawo do ochrony danych osobowych nie jest prawem bezwzględnym" "zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe" "informacje dotyczące tożsamości pracowników administratora [...] nie stanowią informacji, o których mowa w art. 15 ust. 1 lit. c) RODO [...] chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem że uwzględnione zostaną prawa i wolności tych pracowników."
Skład orzekający
A. Arabadjiev
prezes_izby
P.G. Xuereb
sędzia
T. von Danwitz
sędzia
A. Kumin
sędzia
I. Ziemele
sprawozdawca
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wykładnia prawa dostępu do danych osobowych w kontekście logów systemowych, zastosowanie RODO do zdarzeń sprzed jego wejścia w życie, wyważenie praw osób, których dane dotyczą, z prawami pracowników."
Ograniczenia: Szczegółowe wyważenie praw w każdym indywidualnym przypadku, gdy ujawnienie danych pracowników jest rozważane.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy powszechnego problemu dostępu do danych w systemach informatycznych i jest bezpośrednio związana z RODO, które ma ogromne znaczenie praktyczne dla firm i obywateli.
“Czy pracownik banku może zobaczyć, kto i kiedy przeglądał Twoje dane? TSUE wyjaśnia granice prawa dostępu do logów.”
Sektor
bankowość
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI