C-579/21
Podsumowanie
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni art. 15 ust. 1 RODO w kontekście prawa dostępu do informacji o przeglądaniu danych osobowych przez pracowników banku. J.M., były klient i pracownik banku Pankki S, domagał się ujawnienia tożsamości osób, które przeglądały jego dane jako klienta, dat i celów tych operacji. Bank odmówił podania tożsamości pracowników, uznając te dane za ich dane osobowe. Trybunał Sprawiedliwości UE, rozpatrując cztery pytania prejudycjalne, ustalił, że RODO ma zastosowanie do żądań złożonych po dacie wejścia w życie rozporządzenia, nawet jeśli przetwarzanie danych miało miejsce wcześniej. Orzekł, że informacje dotyczące dat i celów przeglądania danych osobowych są dostępne dla osoby, której dane dotyczą, zgodnie z art. 15 ust. 1 RODO. Jednakże, informacje dotyczące tożsamości pracowników banku, którzy dokonali przeglądania, nie są automatycznie dostępne. Mogą być ujawnione tylko wtedy, gdy są niezbędne do skutecznego wykonywania praw przez osobę, której dane dotyczą, i z uwzględnieniem praw i wolności tych pracowników. Okoliczność, że bank jest instytucją regulowaną, a osoba wnioskująca była jednocześnie klientem i pracownikiem, nie wpływa zasadniczo na zakres tego prawa. Wyrok podkreśla znaczenie zasady przejrzystości w RODO i potrzebę wyważenia praw osób, których dane dotyczą, z prawami i wolnościami innych osób.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaWykładnia prawa dostępu do danych osobowych w kontekście logów systemowych, zastosowanie RODO do zdarzeń sprzed jego wejścia w życie, wyważenie praw osób, których dane dotyczą, z prawami pracowników.
Szczegółowe wyważenie praw w każdym indywidualnym przypadku, gdy ujawnienie danych pracowników jest rozważane.
Zagadnienia prawne (3)
Czy dane z plików dziennika (log data) dotyczące przeglądania danych osobowych, w tym tożsamość pracowników administratora, daty i cele tych operacji, stanowią informacje, do których osoba, której dane dotyczą, ma prawo dostępu na podstawie art. 15 ust. 1 RODO?Ratio decidendi
Odpowiedź sądu
Informacje dotyczące dat i celów przeglądania danych osobowych są dostępne. Informacje dotyczące tożsamości pracowników są dostępne tylko warunkowo, gdy są niezbędne do skutecznego wykonywania praw przez osobę, której dane dotyczą, i z poszanowaniem praw pracowników.
Uzasadnienie
Trybunał zinterpretował szeroko pojęcie danych osobowych i przetwarzania w RODO. Prawo dostępu ma na celu zapewnienie przejrzystości i umożliwienie weryfikacji zgodności przetwarzania z prawem. Dane z logów dotyczące dat i celów są kluczowe dla tej weryfikacji. Tożsamość pracowników stanowi dane osobowe tych pracowników i podlega ochronie, dlatego ich ujawnienie jest ograniczone i wymaga wyważenia praw.
Czy art. 15 RODO ma zastosowanie do żądań dostępu do informacji, gdy operacje przetwarzania miały miejsce przed datą wejścia w życie RODO, ale żądanie zostało złożone po tej dacie?Ratio decidendi
Odpowiedź sądu
Tak, art. 15 RODO ma zastosowanie, ponieważ jest przepisem proceduralnym.
Uzasadnienie
Przepisy proceduralne stosuje się od chwili ich wejścia w życie. Prawo dostępu do informacji jest prawem proceduralnym, dlatego ma zastosowanie do żądań złożonych po dacie wejścia w życie RODO.
Czy okoliczność, że administrator prowadzi działalność bankową regulowaną i że osoba wnioskująca była jednocześnie klientem i pracownikiem, wpływa na zakres prawa dostępu do danych?Ratio decidendi
Odpowiedź sądu
Nie, co do zasady nie ma to wpływu.
Uzasadnienie
RODO nie przewiduje rozróżnienia zakresu prawa dostępu w zależności od charakteru działalności administratora ani statusu osoby, której dane dotyczą, chyba że istnieją specyficzne ograniczenia ustawodawcze.
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| J.M. | osoba_fizyczna | skarżący |
| Apulaistietosuojavaltuutettu | organ_krajowy | inna_strona |
| Pankki S | spolka | inna_strona |
| Rząd fiński | panstwo_czlonkowskie | interwenient |
| Rząd czeski | panstwo_czlonkowskie | interwenient |
| Rząd austriacki | panstwo_czlonkowskie | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (11)
Główne
RODO art. 15 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Prawo dostępu obejmuje informacje o celach przetwarzania, kategoriach odbiorców, planowanym okresie przechowywania, a także informacje o prawach do sprostowania, usunięcia, ograniczenia przetwarzania i sprzeciwu. Dotyczy również danych z plików dziennika (log data) w zakresie dat i celów operacji, ale niekoniecznie tożsamości pracowników, chyba że jest to niezbędne i z poszanowaniem ich praw.
RODO art. 4 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja 'danych osobowych' jest szeroka i obejmuje wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
RODO art. 4 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja 'przetwarzania' ma szeroki zakres i obejmuje m.in. przeglądanie danych.
RODO art. 4 § 9
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja 'odbiorcy' obejmuje podmioty, którym ujawnia się dane osobowe.
RODO art. 12 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Obowiązek udzielania informacji w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, jasnym i prostym językiem.
RODO art. 99 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO ma zastosowanie od dnia 25 maja 2018 r.
Pomocnicze
RODO art. 29
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Osoba działająca z upoważnienia administratora przetwarza dane wyłącznie na jego polecenie.
RODO art. 30 § 4
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Rejestry czynności przetwarzania udostępnia się na żądanie organu nadzorczego.
RODO art. 58 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Organy nadzorcze mają uprawnienia do żądania wszelkich informacji potrzebnych do realizacji zadań.
RODO art. 77 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Prawo do wniesienia skargi do organu nadzorczego.
TFUE art. 267
Traktat o funkcjonowaniu Unii Europejskiej
Podstawa prawna odesłania prejudycjalnego.
Argumenty
Skuteczne argumenty
Dane z logów dotyczące dat i celów przeglądania danych osobowych są dostępne dla osoby, której dane dotyczą, na mocy art. 15 RODO. • RODO ma zastosowanie do żądań złożonych po dacie wejścia w życie, nawet jeśli przetwarzanie miało miejsce wcześniej. • Charakter działalności administratora i status osoby wnioskującej (klient/pracownik) nie wpływają zasadniczo na zakres prawa dostępu.
Odrzucone argumenty
Tożsamość pracowników banku, którzy przeglądali dane klienta, jest całkowicie niedostępna dla tego klienta. • RODO nie ma zastosowania do przetwarzania danych, które miało miejsce przed datą jego wejścia w życie.
Godne uwagi sformułowania
"wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej" • "przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości" • "Prawo do ochrony danych osobowych nie jest prawem bezwzględnym" • "zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe" • "informacje dotyczące tożsamości pracowników administratora [...] nie stanowią informacji, o których mowa w art. 15 ust. 1 lit. c) RODO [...] chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem że uwzględnione zostaną prawa i wolności tych pracowników."
Skład orzekający
A. Arabadjiev
prezes_izby
P.G. Xuereb
sędzia
T. von Danwitz
sędzia
A. Kumin
sędzia
I. Ziemele
sprawozdawca
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wykładnia prawa dostępu do danych osobowych w kontekście logów systemowych, zastosowanie RODO do zdarzeń sprzed jego wejścia w życie, wyważenie praw osób, których dane dotyczą, z prawami pracowników."
Ograniczenia: Szczegółowe wyważenie praw w każdym indywidualnym przypadku, gdy ujawnienie danych pracowników jest rozważane.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy powszechnego problemu dostępu do danych w systemach informatycznych i jest bezpośrednio związana z RODO, które ma ogromne znaczenie praktyczne dla firm i obywateli.
“Czy pracownik banku może zobaczyć, kto i kiedy przeglądał Twoje dane? TSUE wyjaśnia granice prawa dostępu do logów.”
Sektor
bankowość
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny