GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Czy organ wydający monitor sądowy i gospodarczy jest administratorem danych?

Trybunał Sprawiedliwości Unii Europejskiej 11 stycznia 2024 r. wydał wyrok w sprawie C-231/22, w której głównym problemem było określenie, czy instytucja publiczna odpowiedzialna za wydawanie monitora sądowego i gospodarczego jest administratorem danych osobowych, skoro jej rola ogranicza się jedynie do przepisywania i przedrukowywania ogłoszeń dostarczanych przez inne podmioty.

Kontekst sprawy

W jednej ze belgijskich spółek podjęto uchwałę o zmniejszeniu kapitału. W formie aktu notarialnego została ona przekazana sądowi, który z kolei przesłał ją do opublikowania w Moniteur belge (belgijskim odpowiedniku Monitora Sądowego i Gospodarczego) – gdzie ukazała się bez modyfikacji i bez weryfikacji zawartości. Okazało się, że uchwała ta zawierała również fragment, w którym  wskazane są nazwiska dwóch wspólników, zwrócone im kwoty oraz numery rachunków bankowych. Jeden ze wspólników zażądał od urzędu, aby usunął te dane i jednocześnie złożył skargę do belgijskiego organ nadzoru. Sprawa ostatecznie trafiła do TSUE, gdyż sąd apelacyjny złożył pytanie prejudycjalne w tej sprawie.

Publikator administratorem?

W wyroku, TSUE stwierdził, że wydawca dziennika urzędowego jest podmiotem odpowiedzialnym za dane osobowe. Zgodnie bowiem z definicją, administrator danych to każdy podmiot przetwarzający dane osobowe. W związku z tym, jeśli w monitorze zostały zebrane, utrwalone, przechowane, ujawnione i rozpowszechnione dane osobowe, można uznać, że doszło do ich przetwarzania, w tym w zautomatyzowany sposób, zgodnie z przepisami RODO. Nie stanowi przeszkody dla takiego zakwalifikowania fakt, że podmiot publikujący monitor nie został jednoznacznie wyznaczony jako administrator danych, ponieważ taka rola może być wydedukowana niejawnie z jego funkcji, misji i uprawnień. Przykładowo, może to dotyczyć organu publicznego nie posiadającego przymiotu osobowości prawnej, jak np. ministerstwo sprawiedliwości, którego zadania zostały precyzyjnie określone w przepisach prawa. Trybunał stwierdził, że sprzeczne z celem art. 4 pkt 7 RODO byłoby wykluczenie pojęcia „administratora” dziennika urzędowego państwa członkowskiego, ze względu na to, że prowadziłoby to do wniosku, że państwo to nie sprawuje kontroli nad danymi osobowymi zawartymi w jego oficjalnych publikacjach.

TSUE: kiedy administrator odpowiada za działania procesora?

W odpowiedzi na drugie pytanie prejudycjalne, dotyczące kwestii tego czy wydawca dziennika urzędowego odpowiada za poprawność opublikowanych danych, TSUE wskazał, że jeśli uznajemy tego wydawcę za administratora, to nie można wyłączyć związanych z tym obowiązków wynikających z RODO. Nie ma znaczenia fakt, że zadanie wydawcy znacząco różni się od zadań innych zaangażowanych w całość procesu podmiotów, takich jak notariusz czy sąd, których udział w przetwarzaniu danych może skłonić do uznania ich za współadministratorów. W przypadku wydawcy, jego kompetencje nie obejmują weryfikacji i poprawiania informacji. Jednakże przepisy prawa w tym przypadku mogą wskazywać, że to jednak wydawca odpowiada za poprawność publikowanych informacji zgodnie z RODO. Oznacza, to, że jeśli przepisy krajowe na to pozwalają, jest możliwe zobowiązanie wydawcy dziennika urzędowego do usunięcia błędnych danych osobowych.

Pojęcie administratora

Wedle RODO administrator to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Za administratora można ponadto uznać podmiot, co do którego prawo krajowe określa cele i sposoby przetwarzania danych. Co podkreśla TSUE, przy identyfikacji administratora istotne jest uwzględnienie szerokiego kontekstu przetwarzania i przepisów prawa. Nie może bowiem dojść do sytuacji, w której dochodzi do przetwarzania danych osobowych w procesie nie wyłączonym spod RODO, a żadnego podmiotu nie uznajemy w nim za administratora.

Źródło:

https://curia.europa.eu/juris/document/document.jsf;jsessionid=819102392EA2086FFCEA86E635554392?text=&docid=281142&pageIndex=0&doclang=pl&mode=req&dir=&occ=first&part=1&cid=1979625

Posłuchaj  #Rodołamacza pod tytułem: Realizacja praw osób – dylematy administratora , w którym prowadzący opowiedzą o wątpliwościach administratorów obsługujących żądania osób, których dane dotyczą.

  • Co się kryje pod art. 15-22 RODO?
  • Jakie obowiązki spoczywają na administratorze danych w związku z realizacją praw osób,
  • Na jakie trudności techniczne napotykają administratorzy w związku ze złożonym żądaniem,
  • Jak zweryfikować tożsamość osób wnioskujących o realizację praw wynikających z RODO?
  • Jak ważna jest procedura obsługi wniosków,
  • Czy można przechowywać wnioski o usunięcie danych poprawnie rozpatrzonych.

Link do podcastu znajduje się TUTAJ