C-60/22
Podsumowanie
Trybunał Sprawiedliwości UE orzekł, że naruszenie obowiązków dotyczących rejestru czynności przetwarzania danych (art. 30 RODO) lub uzgodnień o współodpowiedzialności (art. 26 RODO) samo w sobie nie czyni przetwarzania danych niezgodnym z prawem w rozumieniu prawa do usunięcia lub ograniczenia przetwarzania, a sąd krajowy może uwzględnić dane nawet bez zgody osoby, której dotyczą.
Sprawa dotyczyła wykładni RODO w kontekście przetwarzania danych osobowych w postępowaniu o azyl. Sąd krajowy pytał, czy naruszenie obowiązków prowadzenia rejestru czynności przetwarzania (art. 30 RODO) i uzgodnień o współodpowiedzialności (art. 26 RODO) czyni przetwarzanie danych niezgodnym z prawem, uprawniając do żądania ich usunięcia lub ograniczenia. Trybunał orzekł, że samo naruszenie tych przepisów nie jest równoznaczne z niezgodnym z prawem przetwarzaniem w rozumieniu art. 17 i 18 RODO, a sąd krajowy może uwzględnić dane nawet bez zgody osoby, której dotyczą, jeśli przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Wiesbaden (Niemcy) dotyczył wykładni przepisów RODO w sprawie przetwarzania danych osobowych w postępowaniu o udzielenie ochrony międzynarodowej. Sąd krajowy miał wątpliwości, czy prowadzenie przez Bundesamt für Migration und Flüchtlinge (urząd federalny) akt elektronicznych oraz ich przekazanie za pośrednictwem skrzynki doręczeń elektronicznych było zgodne z RODO, w szczególności z uwagi na brak rejestru czynności przetwarzania (art. 30 RODO) i uzgodnień o współodpowiedzialności (art. 26 RODO). Sąd pytał, czy takie naruszenia uprawniają osobę, której dane dotyczą, do żądania ich usunięcia (art. 17 RODO) lub ograniczenia przetwarzania (art. 18 RODO), oraz czy sąd krajowy może uwzględnić te dane w postępowaniu sądowym bez zgody osoby, której dotyczą. Trybunał Sprawiedliwości Unii Europejskiej, rozpatrując sprawę, orzekł, że naruszenie przez administratora danych obowiązków wynikających z art. 26 i 30 RODO, dotyczących uzgodnień o współodpowiedzialności i prowadzenia rejestru czynności przetwarzania, samo w sobie nie stanowi niezgodnego z prawem przetwarzania w rozumieniu art. 17 ust. 1 lit. d) i art. 18 ust. 1 lit. b) RODO, chyba że wiąże się ono z naruszeniem zasady rozliczalności (art. 5 ust. 2 RODO). Trybunał podkreślił, że przepisy te mają na celu zapewnienie przejrzystości i prawidłowego podziału obowiązków, a ich naruszenie powinno być sankcjonowane innymi środkami przewidzianymi w RODO, takimi jak uprawnienia naprawcze organu nadzorczego czy prawo do odszkodowania. Ponadto, Trybunał stwierdził, że uwzględnienie przez sąd krajowy danych osobowych, nawet jeśli ich przetwarzanie przez organ władzy wykonawczej naruszało obowiązki z art. 26 i 30 RODO, nie jest uzależnione od zgody osoby, której dane dotyczą, jeśli przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e) RODO).
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (2)
Odpowiedź sądu
Nie, naruszenie art. 26 i 30 RODO samo w sobie nie stanowi niezgodnego z prawem przetwarzania w rozumieniu art. 17 ust. 1 lit. d) i art. 18 ust. 1 lit. b) RODO, chyba że wiąże się z naruszeniem zasady rozliczalności (art. 5 ust. 2 RODO).
Uzasadnienie
Trybunał rozróżnił zasady przetwarzania (art. 5-11 RODO) od obowiązków ogólnych administratora (art. 26, 30 RODO). Naruszenie tych drugich nie jest równoznaczne z naruszeniem zasad zgodności z prawem (art. 6 RODO) i rozliczalności (art. 5 ust. 2 RODO), które są podstawą do żądania usunięcia lub ograniczenia przetwarzania. Sankcje za naruszenie art. 26 i 30 RODO są przewidziane w innych przepisach RODO.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
administrator danych (w zakresie braku automatycznego prawa do usunięcia/ograniczenia)
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| UZ | osoba_fizyczna | skarżący |
| Bundesrepublik Deutschland | panstwo_czlonkowskie | pozwany |
| Bundesamt für Migration und Flüchtlinge | organ_krajowy | inna strona postępowania |
| Rząd niemiecki | organ_krajowy | interwenient |
| Rząd czeski | organ_krajowy | interwenient |
| Rząd francuski | organ_krajowy | interwenient |
| Rząd austriacki | organ_krajowy | interwenient |
| Rząd polski | organ_krajowy | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (10)
Główne
RODO art. 5 § 1
Ogólne rozporządzenie o ochronie danych
Zasady dotyczące przetwarzania danych osobowych, w tym zgodność z prawem, rzetelność i przejrzystość (lit. a), rozliczalność (ust. 2).
RODO art. 6 § 1
Ogólne rozporządzenie o ochronie danych
Warunki zgodności przetwarzania z prawem (zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie w interesie publicznym/władza publiczna, prawnie uzasadnione interesy).
RODO art. 17 § 1
Ogólne rozporządzenie o ochronie danych
Prawo do usunięcia danych ('prawo do bycia zapomnianym'), w tym gdy dane były przetwarzane niezgodnie z prawem (lit. d).
RODO art. 18 § 1
Ogólne rozporządzenie o ochronie danych
Prawo do ograniczenia przetwarzania, w tym gdy przetwarzanie jest niezgodne z prawem (lit. b).
RODO art. 26
Ogólne rozporządzenie o ochronie danych
Obowiązek przyjęcia uzgodnień określających współodpowiedzialność administratorów.
RODO art. 30
Ogólne rozporządzenie o ochronie danych
Obowiązek prowadzenia rejestru czynności przetwarzania.
Pomocnicze
RODO art. 58 § 2
Ogólne rozporządzenie o ochronie danych
Uprawnienia naprawcze organów nadzorczych.
RODO art. 83
Ogólne rozporządzenie o ochronie danych
Ogólne warunki nakładania administracyjnych kar pieniężnych.
Dyrektywa 2013/32/UE § Motyw 52
Dyrektywa Parlamentu Europejskiego i Rady 2013/32/UE
Przetwarzanie danych osobowych w państwach członkowskich na mocy tej dyrektywy jest regulowane przez RODO.
BDSG art. 43 § 3
Federalna ustawa o ochronie danych osobowych
Zakaz nakładania administracyjnych kar pieniężnych na organy publiczne.
Argumenty
Skuteczne argumenty
Naruszenie art. 26 i 30 RODO samo w sobie nie jest niezgodnym z prawem przetwarzaniem w rozumieniu art. 17 i 18 RODO. Sąd krajowy może uwzględnić dane nawet bez zgody osoby, której dotyczą, jeśli przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym (art. 6 ust. 1 lit. e) RODO). Naruszenia art. 26 i 30 RODO powinny być sankcjonowane innymi środkami przewidzianymi w RODO, a nie automatycznym prawem do usunięcia/ograniczenia danych.
Odrzucone argumenty
Naruszenie obowiązków z art. 26 i 30 RODO czyni przetwarzanie niezgodnym z prawem, co uprawnia do żądania usunięcia lub ograniczenia danych. Sąd krajowy nie może uwzględnić danych, jeśli ich przetwarzanie przez organ władzy wykonawczej naruszało RODO, bez zgody osoby, której dane dotyczą.
Godne uwagi sformułowania
naruszenie przez administratora danych obowiązków przewidzianych w art. 26 i 30 tego rozporządzenia [...] nie stanowi niezgodnego z prawem przetwarzania uprawniającego osobę, której dane dotyczą, do żądania usunięcia danych lub ograniczenia przetwarzania przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi zgodność z prawem uwzględnienia przez sąd krajowy takich danych nie jest uzależniona od zgody osoby, której dane dotyczą
Skład orzekający
E. Regan
prezes izby
D. Gratsias
sędzia
M. Ilešič
sędzia
I. Jarukaitis
sędzia
Z. Csehi
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Interpretacja relacji między obowiązkami proceduralnymi w RODO (art. 26, 30) a prawami podmiotów danych (art. 17, 18) oraz możliwością uwzględniania danych przez sądy w postępowaniach krajowych."
Ograniczenia: Dotyczy specyficznej sytuacji naruszenia obowiązków proceduralnych, a nie naruszenia zasad ochrony danych w sensie merytorycznym. Konieczność oceny, czy naruszenie art. 26 i 30 RODO wiąże się z naruszeniem zasady rozliczalności.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnie stosowanego RODO i jego praktycznych konsekwencji dla postępowań sądowych, zwłaszcza w kontekście ochrony danych osób ubiegających się o azyl. Wyjaśnia, kiedy naruszenia formalne RODO nie prowadzą automatycznie do usunięcia danych.
“Naruszyłeś RODO? Niekoniecznie oznacza to usunięcie danych! TSUE wyjaśnia granice praw do bycia zapomnianym.”
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI