Nowe orzeczenia TSUE ws. prawa dostępu do danych

traple.pl 1 rok temu

Prawa osób, których dane dotyczą należy postrzegać jako narzędzia umożliwiające osobom fizycznym weryfikowanie celów oraz sposobu wykorzystywania informacji o nich przez podmioty, które czerpią korzyści z dokonywania operacji na ich danych. Szczególne znaczenie wśród wszystkich praw podmiotów danych przewidzianych w rozdziale III RODO ma prawo dostępu do danych, określone w art. 15 RODO. Jego realizacja zapewnia bowiem podmiotom danych niezbędną wiedzę na temat tego w jaki sposób są przetwarzane ich dane osobowe i w konsekwencji umożliwia podjęcie decyzji o skorzystaniu z innych praw wobec administratora danych.

Statystyki publikowane w sprawozdaniach rocznych krajowych organów ochrony danych w poszczególnych państwach EOG wyraźnie wskazują, iż nieprawidłowa realizacja przez administratorów wniosków o dostęp do danych jest częstym przedmiotem skarg osób fizycznych ( np. w 2022 r. aż 42% spośród wszystkich nowych skarg podmiotów danych wniesionych do irlandzkiego organu nadzorczego dotyczyło potencjalnego naruszenia art. 15 RODO). Problem ten nierzadko wynika z trudności w wykładni poszczególnych pojęć użytych przez unijnego prawodawcę w art. 15 RODO.

W maju oraz w czerwcu 2023 r. Trybunał wydał dwa ważne wyroki dla dalszej wykładni prawa dostępu do danych i prawa do uzyskania kopii danych, tj.:

  • Wyrok TS z 4.05.2023 r., C-487/21, F.F. przeciwko Österreichische Daten-schutzbehörde, przy udziale: CRIF GmbH, ECLI:EU:C:2023:369, w którym Trybunał rozstrzygnął o treści i zakresie pojęcia „kopii”, o którym mowa w art. 15 ust. 3 RODO.
  • Wyrok TS z 22.06.2023 r., C-579/21, JM. przy udziale: Apulaistietosuojavaltuutettu, Pankki S, ECLI:EU:C:2023:501, w którym Trybunał rozstrzygnął o tym, czy osoba fizyczna powołując się na prawo dostępu do danych, ma prawo otrzymać informacje o tożsamości pracowników zaangażowanych w przetwarzanie jej danych.

Celem artykułu jest przedstawienie najważniejszych tez obu orzeczeń oraz wskazanie kroków, które administratorzy mogą podjąć, aby prawidłowo realizować wnioski podmiotów danych o realizację ich uprawnień z art. 15 ust. 1 i 3 RODO .

Wyrok TS z 4.05.2023 r., C-487/21, F.F. przeciwko Österreichische Daten-schutzbehörde, przy udziale: CRIF GmbH

Stan faktyczny

Sprawa dotyczy pytania prejudycjalnego austriackiego Federalnego Sądu Administracyjnego ws. wniesionej do niego skargi podmiotu danych (dalej F.F.) na decyzję Datenschutzbehörde (austriackiego organu ochrony danych), oddalającej wniosek F.F. o nakazanie CRIF GmbH (agencji doradztwa handlowego, która przetwarzała dane osobowe F.F) przekazania dokumentów i wyciągów z bazy danych zawierających jego dane osobowe.

CRIF GmbH jest agencją doradztwa handlowego, która dostarcza swoim klientom informacji na temat wypłacalności osób trzecich. W tym celu przetwarzała dane osobowe F.F., który zwrócił się do CRIF w celu uzyskania m.in. na podstawie art. 15 RODO informacji na temat swych danych osobowych podlegających przetwarzaniu, żądając w szczególności przekazania mu kopii tych danych w standardowym formacie.

Odpowiadająca na żądanie F.F. CRIF przekazała mu część informacji objętych wnioskiem w zbiorczej formie, po pierwsze, w tabeli z podziałem na imię i nazwisko, datę urodzenia, ulicę, kod pocztowy i miejscowość, a po drugie, w zestawieniu dotyczącym zajmowanych stanowisk i uprawnień do reprezentacji. CRIF nie przekazała natomiast F.F. innych dokumentów, takich jak wiadomości poczty elektronicznej czy wyciągi z baz danych. W ocenie podmiotu danych spółka zrealizowała jego żądanie w niepełny sposób.

Podsumowanie argumentacji TSUE i tez wyroku

W ocenie TSUE prawo do uzyskania kopii danych na podstawie art. 15 ust. 3 RODO obejmuje prawo do uzyskania kopii fragmentów dokumentów lub choćby całych dokumentów lub fragmentów baz danych, które zawierają te dane, o ile jest to niezbędne, aby umożliwić osobie, której dane dotyczą, skuteczne wykonywanie praw przyznanych jej przez RODO Należy w tym względzie uwzględnić prawa i wolności innych osób.

W szczególności TSUE wskazuje, że:

  • chociaż art. 15 RODO nie zawiera definicji pojęcia „kopia”, należy uwzględnić zwykłe znaczenie tego pojęcia, które odnosi się do wiernego odtworzenia lub przepisania oryginału, w związku z czym czysto ogólny opis danych podlegających przetwarzaniu lub odniesienie do kategorii danych osobowych nie odpowiada tej definicji.
  • Ponadto z brzmienia tego przepisu wynika, iż obowiązek ujawnienia dotyczy danych osobowych podlegających danemu przetwarzaniu.
  • pojęcie „kopia” nie odnosi się do dokumentu jako takiego, ale do danych osobowych, które on zawiera i które muszą być kompletne. Kopia musi zatem zawierać wszystkie dane osobowe podlegające przetwarzaniu.
  • art. 15 ust. 3 zdanie pierwsze RODO nie może być interpretowany jako ustanawiający odrębne prawo od prawa przewidzianego w art. 15 ust. 1 RODO.

Wyrok TS z 22.06.2023 r., C-579/21, JM. przy udziale: Apulaistietosuojavaltuutettu, Pankki S

Stan faktyczny

Sprawa dotyczy skargi JM – pracownika i jednocześnie klienta fińskiej instytucji finansowej (Suur‑Savon Osuuspankki, dalej „Pankki”), który zwrócił się do niej z wnioskiem o po- informowanie go o tożsamości osób, które przeglądały jego dane osobowe w ramach analizy prowadzonej wewnątrz tej instytucji. Osoba podejrzewała bowiem, iż w trakcie jej pracy dla Pankki inni pracownicy mogli mieć wgląd w jej dane osobowe, które przekazała administratorowi jako jego klient. Pankki odmówiła przekazania wnioskodawcy żądanych informacji argumentując w szczególności, iż nie dotyczą one jego danych osobowych. Wobec odmowy udzielenia mu tej informacji przez instytucję wnioskodawca skorzystał z odpowiednich środków prawnych i zwrócił się do fińskiego organu ochrony danych z wnioskiem o nakazanie Pankki udostępnienia mu żądanych informacji. Organ odmówił uwzględnienia wniosku. W konsekwencji JM złożył skargę na decyzję organu ochrony danych do sądu administracyjnego dla Finlandii Wschodniej.

Sąd krajowy powziął w szczególności wątpliwości co do tego, czy prawo do otrzymania informacji o odbiorcach danych na podstawie art. 15 ust .1 lit. c RODO obejmuje tożsamość pracowników administratora dokonujących operacji na danych należących do wnioskodawcy i zwrócił się o rozstrzygnięcie tego zagadnienia do TSUE.

Podsumowanie argumentacji TSUE i tez wyroku

  • Informacje dotyczące operacji wglądu do danych osobowych osoby, odnoszące się do dat i celów tych operacji, stanowią informacje, które osoba ta ma prawo uzyskać od administratora danych na podstawie art. 15 RODO.
  • Pracownicy, którzy przetwarzają dane osobowe z upo-ważnienia administratora nie są odbiorcami danych w ro-zumieniu art. 4 pkt 9 RODO. Art. 15 RODO nie przyznaje prawa do uzyskania informacji o tożsamości pracowników administratora, którzy przeprowadzili operacje na danych
  • z jego upoważnienia i zgodnie z jego instrukcjami, chyba iż informacje te są niezbędne, aby umożliwić osobie żądającej realizacji swoich praw wynikających RODO i pod warunkiem uwzględnienia praw i wolności tych pracowników. TSUE tym samym po raz pierwszy wprost uznał, iż prawa informacyjne z art. 15 ust. 1 RODO mogą być ograniczone przez prawa i wolności innych.
  • Art. 15 RODO znajduje zastosowanie, gdy operacje przetwarzania, których dotyczy konkretny wniosek, zostały przeprowadzone przed datą rozpoczęcia stosowania RODO, ale wniosek został złożony po tej dacie.

Podsumowanie

  • W świetle obu przedstawionych orzeczeń TSUE administrator przed przyjęciem decyzji o sposobie rozstrzygnięcia wniosku osoby fizycznej o kopię jej danych lub uzyskanie informacji na temat tożsamości odbiorców jej danych, musi prawidłowo rozpoznać zakres przedmiotu żądania. Następnie przed przekazaniem podmiotowi danych wnioskowanych przez nią informacji administratorzy muszą kompleksowo ocenić ich kompletność oraz przydatność dla wnioskodawcy pod względem ewentualnego korzystania z innych praw wynikających z rozdziału III RODO. W przypadku gdy żądane informacje przez wnioskodawcę zawierają informacje bezpośrednio lub pośrednio identyfikujące osoby trzecie konieczne jest także zbadanie przez administratora tego, czy przekazanie takich informacji wnioskodawcy nie będzie naruszało praw i wolności osób trzecich.
  • Taki „test niezbędności” prawa dostępu do danych powinien zostać każdorazowo udokumentowany przez administratora. Ze względu na dynamiczny rozwój wykładni prawa dostępu do danych administratorzy powinni zweryfikować oraz w razie potrzeby uaktualnić stosowane przez siebie procedury realizacji praw osób, których dane dotyczą.
Idź do oryginalnego materiału