This document is an excerpt from the EUR-Lex website
Document 62021CC0579
Opinion of Advocate General Campos Sánchez-Bordona delivered on 15 December 2022.#Proceedings brought by J.M.#Request for a preliminary ruling from the Itä-Suomen hallinto-oikeus.#Reference for a preliminary ruling – Processing of personal data – Regulation (EU) 2016/679 – Articles 4 and 15 – Scope of the right of access to information referred to in Article 15 – Information contained in log data – Article 4 – Definition of ‘personal data’ – Definition of ‘recipients’ – Temporal application.#Case C-579/21.
Opinia rzecznika generalnego M. Camposa Sáncheza-Bordony przedstawiona w dniu 15 grudnia 2022 r.
Postępowanie zainicjowane przez J.M.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Itä-Suomen hallinto-oikeus.
Odesłanie prejudycjalne – Przetwarzanie danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuły 4 i 15 – Zakres prawa dostępu do informacji, o których mowa w art. 15 – Informacje zawarte w plikach dziennika wygenerowanych przez system przetwarzania (log data) – Artykuł 4 – Pojęcie „danych osobowych” – Pojęcie „odbiorców” – Stosowanie w czasie.
Sprawa C-579/21.
Opinia rzecznika generalnego M. Camposa Sáncheza-Bordony przedstawiona w dniu 15 grudnia 2022 r.
Postępowanie zainicjowane przez J.M.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Itä-Suomen hallinto-oikeus.
Odesłanie prejudycjalne – Przetwarzanie danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuły 4 i 15 – Zakres prawa dostępu do informacji, o których mowa w art. 15 – Informacje zawarte w plikach dziennika wygenerowanych przez system przetwarzania (log data) – Artykuł 4 – Pojęcie „danych osobowych” – Pojęcie „odbiorców” – Stosowanie w czasie.
Sprawa C-579/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2022:1001
MANUELA CAMPOSA SÁNCHEZA‑BORDONY
przedstawiona w dniu 15 grudnia 2022 r. ( 1 )
Sprawa C‑579/21
J.M.
przy udziale:
Apulaistietosuojavaltuutettu,
Pankki S
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Itä‑Suomen hallinto-‑ikeus (sąd administracyjny dla Finlandii Wschodniej, Finlandia)]
Odesłanie prejudycjalne – Przetwarzanie danych osobowych – Rozporządzenie (UE) 2016/679 – Dane zawarte w rejestrze operacji – Prawo dostępu – Pojęcie danych osobowych – Pojęcie odbiorcy – Personel administratora
1. |
Pracownik i jednocześnie klient instytucji finansowej zwrócił się do niej o poinformowanie go o tożsamości osób, które przeglądały jego dane osobowe w ramach analizy prowadzonej wewnątrz tej instytucji. Wobec odmowy udzielenia mu tej informacji przez instytucję wspomniany pracownik skorzystał z odpowiednich środków prawnych i wniósł skargę do Itä‑Suomen hallinto‑oikeus (sądu administracyjnego dla Finlandii Wschodniej, Finlandia). |
2. |
Sąd ten zwrócił się do Trybunału z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w przedmiocie wykładni rozporządzenia (UE) 2016/679 ( 2 ). Udzielając odpowiedzi na ten wniosek, Trybunał będzie musiał wypowiedzieć się na temat prawa osoby, której dane dotyczą, do uzyskania dostępu do niektórych informacji związanych z przetwarzaniem jej danych osobowych. |
I. Ramy prawne
A. Prawo Unii. RODO
3. |
W motywie 11 stwierdza się: „Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich”. |
4. |
Artykuł 4 („Definicje”) stanowi: „Na użytek niniejszego rozporządzenia:
[…]
|
5. |
Artykuł 15 („Prawo dostępu przysługujące osobie, której dane dotyczą”) w ust. 1 stanowi: „Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
|
6. |
Artykuł 24 („Obowiązki administratora”) w ust. 1 przewiduje: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. |
7. |
Artykuł 25 („Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych”) w ust. 2 stanowi: „Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych”. |
8. |
W myśl art. 29 („Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego”): „Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”. |
9. |
Artykuł 30 („Rejestrowanie czynności przetwarzania”) stanowi: „1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
[…]
2. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną. 4. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego. 5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych […] lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych […]”. |
10. |
Artykuł 58 („Uprawnienia”) w ust. 1 stanowi: „Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:
[…]”. |
B. Prawo krajowe
1. Tietosuojalaki (1050/2018) ( 3 )
11. |
Zgodnie z § 30 Tietosuojalaki przepisy dotyczące przetwarzania danych osobowych pracowników, testów i kontroli przeprowadzanych w stosunku do pracowników oraz wymogów, które należy spełnić w tym względzie, jak również dotyczące monitoringu w miejscu pracy oraz pobierania i otwierania poczty elektronicznej pracownika są zawarte w Laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ). |
12. |
Zgodnie z § 34 ust. 1 osobie, której dane dotyczą, nie przysługuje prawo dostępu do zebranych o niej danych w rozumieniu art. 15 RODO w zakresie, w jakim:
|
13. |
Zgodnie z § 34 ust. 2 w przypadku gdy tylko część danych, o których mowa w ust. 1, nie jest objęta prawem przewidzianym w art. 15 RODO, osoba, której dane dotyczą, jest uprawniona do uzyskania dostępu do wszystkich innych danych, które jej dotyczą. |
14. |
W myśl § 34 ust. 3 powody ograniczenia muszą być podane do wiadomości osoby, której dane dotyczą, o ile nie zagraża to celowi ograniczenia. |
15. |
Zgodnie z § 34 ust. 4 należy udostępnić dane, o których mowa w art. 15 ust. 1 RODO, inspektorowi ochrony danych na wniosek osoby, której dane dotyczą, w przypadku gdy osoba ta nie ma prawa dostępu do zebranych na jej temat danych. |
2. Laki yksityisyyden suojasta työelämässä (759/2004)
16. |
Zgodnie z § 4 akapit drugi w rozdziale drugim pracodawca ma obowiązek uprzedniego poinformowania pracownika o pozyskiwaniu danych, które służą do oceny wiarygodności pracownika. Jeśli pracodawca sprawdza zdolność kredytową pracownika, musi ponadto poinformować go, z jakiego rejestru pochodzi informacja o zdolności kredytowej. Jeżeli dane o pracowniku zostały uzyskane od osoby innej niż sam pracownik, pracodawca musi poinformować pracownika o uzyskanych danych, zanim zostaną one wykorzystane przy podejmowaniu decyzji dotyczących pracownika. Rozdział III RODO reguluje obowiązki administratora w zakresie przekazywania danych osobie, której dane dotyczą, oraz przysługujące osobie, której dane dotyczą, prawo dostępu do tych danych. |
II. Okoliczności faktyczne, postępowanie główne i pytania prejudycjalne
17. |
W 2014 r. J.M. dowiedział się, że przeglądano jego dane osobowe jako klienta instytucji finansowej Suur‑Savon Osuuspankki (zwanej dalej „Pankki”) w okresie od dnia 1 listopada do dnia 31 grudnia 2013 r. W okresie tym J.M. oprócz tego, że był klientem, był pracownikiem Pankki. |
18. |
W dniu 29 maja 2018 r. J.M., podejrzewając, że powody przeglądania nie były w pełni zgodne z prawem, zwrócił się do Pankki o udzielenie mu informacji na temat tożsamości pracowników, którzy uzyskali dostęp do jego danych we wspomnianym wyżej okresie, oraz o poinformowanie go o celach przetwarzania. |
19. |
W międzyczasie Pankki rozwiązała umowę o pracę z J.M., który uzasadnił swoje żądanie udzielenia informacji w szczególności chęcią wyjaśnienia przyczyn rozwiązania jego umowy o pracę. |
20. |
W dniu 30 sierpnia 2018 r. Pankki, jako administrator, odmówiła udzielenia J.M. informacji o nazwiskach pracowników, którzy przetwarzali jego dane osobowe. Instytucja ta argumentowała, że przewidziane w art. 15 RODO prawo nie dotyczy ewidencji lub wewnętrznych protokołów, z których wynika, którzy pracownicy i kiedy mieli dostęp do systemu informatycznego zawierającego dane klientów. Ponadto żądane informacje dotyczyły danych osobowych tych pracowników, a nie danych osobowych J.M. |
21. |
W celu uniknięcia nieporozumień Pankki udzieliła J.M. następujących dalszych wyjaśnień:
|
22. |
J.M. zwrócił się do krajowego organu nadzorczego (biura inspektora ochrony danych, Finlandia) o nakazanie Pankki udzielenia żądanych informacji. |
23. |
W dniu 4 sierpnia 2020 r. zastępca inspektora ochrony danych oddalił wniosek J.M. |
24. |
J.M. wniósł skargę do Itä‑Suomen hallinto‑oikeus (sądu administracyjnego dla Finlandii Wschodniej), utrzymując, że na podstawie RODO ma prawo do uzyskania informacji o tożsamości i stanowiskach osób, które przeglądały jego dane w instytucji finansowej. |
25. |
W tym kontekście sąd ten skierował do Trybunału następujące pytania prejudycjalne:
|
III. Postępowanie przed Trybunałem
26. |
Wniosek o wydanie orzeczenia w trybie prejudycjalnym został złożony w Trybunale w dniu 22 września 2021 r. |
27. |
Uwagi na piśmie zostały przedstawione przez J.M., Pankki, rządy austriacki, czeski i finlandzki oraz przez Komisję Europejską. |
28. |
W rozprawie, która odbyła się w dniu 12 października 2022 r., wzięli udział J.M., biuro inspektora ochrony danych, Pankki, rząd finlandzki oraz Komisja. |
IV. Analiza
29. |
W zakresie, w jakim sąd odsyłający zwraca się o dokonanie wykładni szeregu przepisów RODO, należy wyjaśnić przede wszystkim, czy rozporządzenie to ma zastosowanie ratione temporis do postępowania głównego. Czwarte pytanie prejudycjalne dotyczy tej wątpliwości. |
A. W przedmiocie możliwości stosowania RODO (czwarte pytanie prejudycjalne)
30. |
Zgodnie z art. 99 ust. 1 RODO rozporządzenie to weszło w życie w dniu 24 maja 2016 r. Początek jego stosowania został jednak przesunięty na dzień 25 maja 2018 r. ( 6 ). |
31. |
Dane osobowe J.M. były analizowane w okresie od dnia 1 listopada do dnia 31 grudnia 2013 r., to znaczy przed wejściem w życie i rozpoczęciem stosowania RODO. |
32. |
Jednakże datą istotną w niniejszej sprawie jest dzień 29 maja 2018 r., to znaczy dzień, w którym J.M., powołując się na art. 15 ust. 1 RODO (mający zastosowanie od dnia 25 maja 2018 r.), wystąpił o udzielenie spornych informacji. |
33. |
Jak wskazał rząd austriacki, art. 15 ust. 1 RODO przyznaje osobom, których dane dotyczą, prawo o charakterze proceduralnym (prawo dostępu) do uzyskania informacji o przetwarzaniu ich danych osobowych ( 7 ). Jako przepis o takim charakterze stosuje się go od chwili jego wejścia w życie ( 8 ). J.M. mógł zatem powołać się na ów przepis, gdy zażądał informacji od Pankki. |
34. |
Niewątpliwie zgodność z prawem przetwarzania danych zgromadzonych przed wejściem w życie RODO musi być oceniana w świetle obowiązujących wówczas przepisów materialnych, a mianowicie dyrektywy 95/46/WE ( 9 ), zaś w świetle RODO – w zakresie, w jakim rozporządzenie to ma zastosowanie wstecz ( 10 ). |
35. |
Ponieważ jest bezsporne, że żądane informacje były w posiadaniu administratora w chwili, gdy J.M. zwrócił się o uzyskanie do nich dostępu (co jest prawem gwarantowanym na mocy art. 15 ust. 1 RODO), zastosowanie miało to ostatnie rozporządzenie ( 11 ). |
36. |
To, czy sporne dane były przetwarzane przed wejściem w życie RODO, nie ma zatem znaczenia dla uzyskania dostępu do informacji żądanych przez osobę, której dane dotyczą, lub odmowy jego udzielenia na podstawie art. 15 ust. 1 RODO. |
B. W przedmiocie pytań prejudycjalnych pierwszego i drugiego
37. |
Pytania prejudycjalne pierwsze i drugie można rozpatrywać łącznie. Kwestia, do której się one odnoszą, dotyczy w istocie tego, czy dane osobowe J.M., które były gromadzone i przetwarzane przez Pankki, odpowiadają informacjom, które osoba, której dane dotyczą, ma prawo uzyskać na podstawie art. 15 ust. 1 RODO. |
1. Tożsamość pracownika i dane osobowe osoby, której dane dotyczą
38. |
Pragnę przypomnieć, że informacje, o które zwrócił się J.M., dotyczyły tożsamości pracowników, którzy przeglądali jego dane jako klienta w 2013 r., a także chwili, w której miało miejsce przetwarzanie, oraz celu przetwarzania. |
39. |
Na rozprawie potwierdzono, że J.M. ograniczył swoje żądanie do poznania tożsamości tych pracowników. W sporze bezsporne jest w szczególności, że przetwarzanie jego danych przez instytucję bankową odbywało się w oparciu o podstawę zgodną z prawem ( 12 ). |
40. |
A więc:
|
41. |
Debata dotyczy zatem jedynie informacji dotyczących tożsamości pracowników Pankki, którzy przetwarzali dane osobowe J.M. |
42. |
W rzeczywistości informacje te dotyczą szczegółów operacji przetwarzania, a nie, jako takich, danych osobowych osoby, której dane dotyczą, w rozumieniu art. 4 pkt 1 RODO ( 14 ). |
43. |
Jest oczywiste, że osobą, której dane były przeglądane, był J.M. ( 15 ). Po uzyskaniu przez J.M. od Pankki potwierdzenia, że jego dane były przetwarzane ( 16 ), informacjami, do uzyskania których jest on uprawniony zgodnie z art. 15 ust. 1 RODO, są te wymienione w lit. a)–h) tego przepisu ( 17 ). Poprzez ich udostępnienie ułatwia się wykonywanie praw przysługujących osobie, której dane dotyczą ( 18 ), w ramach mechanizmów gwarantujących zgodność przetwarzania danych z prawem. |
44. |
Z art. 15 ust. 1 RODO wynika, że informacje, do których przepis ten się odnosi, dotyczą okoliczności związanych z przetwarzaniem danych. |
45. |
Artykuł 15 ust. 1 RODO przyznaje bowiem osobie, której dane dotyczą, prawo do uzyskania od administratora:
|
46. |
W przepisie tym rozróżniono z jednej strony „dane osobowe”, a z drugiej strony „informacje”, o których mowa w poszczególnych literach ustępu 1. |
47. |
Informacje, które należy przekazać osobie, której dane dotyczą, zgodnie z art. 15 ust. 1 lit. a)–h) RODO, nie mogą być zatem mylone z danymi osobowymi tej osoby w rozumieniu art. 4 pkt 1 RODO. |
48. |
Są zatem nie danymi, lecz informacjami, te dotyczące:
|
49. |
We wszystkich tych przypadkach informacje dotyczą albo określonych praw osoby, której dane dotyczą, albo w szczególności elementów związanych z dokonywanym przetwarzaniem, takich jak jego cel (co jest równoznaczne z jego przyczyną) i przedmiot (kategorie przetwarzanych danych). |
50. |
Informacje o odbiorcach, którym dane osobowe osoby, której dane dotyczą, zostały lub zostaną ujawnione [art. 15 ust. 1 lit. c) RODO], stwarzają kolejne problemy pojęciowe, do których odniosę się poniżej. |
51. |
Artykuł 15 ust. 1 RODO ustanawia zasadniczo prawo do informacji o samym fakcie przetwarzania i jego okolicznościach. Oprócz tych informacji znajdują się tam również informacje o prawach przysługujących osobie, której dane dotyczą, w odniesieniu do przetwarzanych danych, takich jak prawo do wniesienia skargi do organu nadzorczego. |
52. |
Samo zaistnienie przetwarzania i jego okoliczności nie stanowią moim zdaniem „danych osobowych” w rozumieniu art. 4 pkt 1 RODO. |
53. |
Niewątpliwie, jak wskazał sąd odsyłający, decyzje mające wpływ na osobę, której dane dotyczą, mogą wynikać z przetwarzania ( 21 ). Jednakże wynik ten nie będzie zależał od tego, która osoba fizyczna lub które osoby fizyczne konkretnie analizowały te dane w imieniu i na odpowiedzialność Pankki, co stanowi informację będącą przedmiotem sporu w postępowaniu głównym. |
54. |
J.M. byłby zatem uprawniony do uzyskania od Pankki jako administratora danych informacji o posiadanych przez Pankki danych osobowych uzyskanych od samego J.M. (art. 13 RODO) lub w inny sposób (art. 14 RODO). Byłby on również uprawniony – obecnie na mocy art. 15 RODO – do uzyskania informacji o istnieniu i okolicznościach każdego przetwarzania, którego przedmiotem były te dane, jednak nie dlatego, że owo przetwarzanie stanowi samo w sobie „dane osobowe”, lecz na mocy wyraźnego upoważnienia zawartego w art. 15 RODO ( 22 ). |
55. |
Uprzedzając to, co wyjaśnię szerzej w dalszej części: istotna dla niniejszej sprawy jest okoliczność, że tożsamość pracowników, którzy przeglądali dane J.M., nie stanowi „danych osobowych” J.M. |
56. |
Odrębną kwestią jest to, że protokoły lub rejestry, do których odniosę się poniżej, mogą zawierać bezpośrednio lub pośrednio dane osobowe osoby, której dane dotyczą, inne niż informacja o tym, którzy pracownicy uzyskali do nich dostęp. To, czy tak jest, będzie w dużej mierze zależało od treści odpowiednich protokołów lub rejestrów. Pragnę jednak powtórzyć, że, zważywszy, iż postępowanie główne jest ograniczone do tożsamości pracowników Pankki, nie są to dane osobowe J.M., lecz tych pracowników jako takich. |
2. Dostęp do informacji o odbiorcach, którym dane osobowe zostały ujawnione
57. |
Sąd odsyłający zmierza do ustalenia, czy J.M. miałby prawo, w świetle art. 15 ust. 1 lit. a) i c) RODO, do uzyskania od Pankki informacji o pracownikach, którzy przetwarzali jego dane osobowe, nawet jeśli informacje te nie stanowią danych osobowych J.M. |
58. |
Zgodnie z lit. a) osoba, której dane dotyczą, ma prawo uzyskać od administratora potwierdzenie celów przetwarzania. Jednakże w przepisie tym (który w niniejszej sprawie był przestrzegany, gdyż Pankki poinformowała J.M. o celu przetwarzania) nie określono kryteriów pozwalających na ustalenie, kim są odbiorcy danych osobowych osoby, której dane dotyczą. |
59. |
Przeciwnie, pytanie to ma sens właśnie wtedy, gdy wymaga dokonania wykładni art. 15 ust. 1 lit. c) RODO. Pragnę przypomnieć, że zgodnie z tym przepisem osoba, której dane dotyczą, ma prawo do uzyskania informacji o „odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione […]”. |
60. |
Z kolei art. 4 pkt 9 RODO definiuje „odbiorcę” jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią”. |
61. |
Ten ostatni człon („niezależnie od tego, czy jest stroną trzecią”) może być przyczyną niejasności co do zakresu podmiotowego tego przepisu, na co zwrócono uwagę podczas rozprawy. Przyjęcie powierzchownej i moim zdaniem błędnej interpretacji mogłoby przemawiać za tym, że „odbiorcą” jest nie tylko każda osoba trzecia, której Pankki ujawniła dane osobowe J.M., lecz również każdy z pracowników, którzy konkretnie przeglądają te dane w imieniu i na rzecz osoby prawnej, jaką jest Pankki. |
62. |
W art. 4 pkt 10 RODO zdefiniowano „stronę trzecią” jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe” ( 23 ). |
63. |
W świetle tych założeń uważam, że pojęcie odbiorcy nie obejmuje pracowników osoby prawnej, którzy, korzystając z systemu informatycznego tej ostatniej, przeglądają dane osobowe klienta w imieniu jej organów zarządzających. W przypadku gdy pracownicy ci działają z bezpośredniego upoważnienia administratora, nie nabywają z tego tylko powodu charakteru „odbiorców” danych ( 24 ). |
64. |
Może się jednak zdarzyć, że pracownik nie przestrzega procedur ustanowionych przez administratora i uzyskuje z własnej inicjatywy dostęp do danych klientów lub innych pracowników w sposób niezgodny z prawem. W takim przypadku nielojalny pracownik nie działałby w imieniu i na rzecz administratora. |
65. |
W tym zakresie nielojalnego pracownika można by określić jako „odbiorcę”, któremu „ujawniono” (w przenośni) dane osobowe osoby, której dane dotyczą ( 25 ), czy to poprzez jego własne działanie, a zatem niezgodnie z prawem, czy też nawet jako (autonomicznemu) administratorowi ( 26 ). |
66. |
Z zawartego w postanowieniu odsyłającym opisu okoliczności faktycznych oraz z argumentów przedstawionych na rozprawie przez Pankki wynika, że instytucja ta upoważniła na własną odpowiedzialność swoich pracowników do przeglądania danych osobowych J.M. Pracownicy ci wykonywali zatem polecenia administratora i działali w jego imieniu. W związku z tym nie można ich uznać za odbiorców w rozumieniu art. 15 ust. 1 lit. c) RODO ( 27 ). |
67. |
Nie zmienia to faktu, że identyfikacja tych pracowników i chwili, w której którykolwiek z nich uzyskał dostęp do danych osobowych klienta (to znaczy treść tych informacji w zbiorach danych lub rejestrach, do których niezwłocznie się odniosę), musi być udostępniona organom nadzorczym w celu sprawdzenia prawidłowości ich działań. |
68. |
Potwierdza to art. 29 RODO, który odnosi się do osób działających „z upoważnienia administratora lub podmiotu przetwarzającego i mając[ych] dostęp do danych osobowych”. Osoby te mogą przetwarzać wspomniane dane jedynie zgodnie z poleceniami swojego pracodawcy, który jest rzeczywistym administratorem (lub podmiotem przetwarzającym). |
69. |
Celem art. 15 ust. 1 RODO jest ułatwienie osobie, której dane dotyczą, skutecznego wykonywania (obrony) praw przysługujących jej w odniesieniu do jej danych osobowych. W związku z tym należy wskazać jej, kto jest administratorem i, w stosownym przypadku, jakim odbiorcom owe dane zostały ujawnione. Dysponując taką informacją, osoba, której dane dotyczą, może zwrócić się, oprócz administratora, do odbiorców, którzy uzyskali dostęp do jej danych. |
70. |
Z pewnością osoba, której dane dotyczą, może mieć wątpliwości co do prawidłowości udziału niektórych osób w zarządzaniu przetwarzaniem jej danych w imieniu i pod kierownictwem administratora lub podmiotu przetwarzającego. |
71. |
W tym kontekście, jak zauważa rząd czeski i jak wskazała Komisja na rozprawie, osoba, której dane dotyczą, może zwrócić się do inspektora ochrony danych (art. 38 ust. 4 RODO) lub do organu nadzorczego w celu złożenia skargi [art. 15 ust. 1 lit. f) i art. 77 RODO]. Nie uznaje się natomiast, że osobie, której dane dotyczą, przysługuje prawo do uzyskania danych osobowych (tożsamości) bezpośrednio pracownika, który, jako podlegający kierownictwu administratora lub podmiotu przetwarzającego, działa co do zasady zgodnie z poleceniami tego ostatniego. |
72. |
Na rozprawie miała miejsca debata w przedmiocie tego, czy możliwość zwrócenia się do inspektora ochrony danych lub do organu nadzorczego stanowi wystarczającą gwarancję z punktu widzenia obrony praw osoby, której dane były przetwarzane. |
73. |
Rozstrzygając tę debatę, można przyjąć stanowisko maksymalistyczne, zgodnie z którym każda osoba, której dane dotyczą, miałaby prawo poznać tożsamość pracowników administratora, którzy uzyskali dostęp do jej danych, nawet jeśli miałoby to miejsce w imieniu i pod kierownictwem tego administratora. |
74. |
Uważam, że RODO nie przemawia za przyjęciem takiego twierdzenia, nie uchybiając przy tym możliwości przyjęcia takiej regulacji przez państwo członkowskie w jego ustawodawstwie krajowym w odniesieniu do jednego lub kilku konkretnych sektorów ( 28 ). |
75. |
Moim zdaniem byłoby nieostrożne, gdyby Trybunał, odgrywając rolę quasi‑ustawodawczą, dokonał poprawki RODO w celu wprowadzenia nowego obowiązku udzielenia informacji, pokrywającego się z obowiązkami wynikającymi z art. 15 ust. 1 RODO. Sytuacja ta miałaby miejsce, gdyby administrator był zobowiązany, bez wprowadzania jakiegokolwiek rozróżnienia, do poinformowania osoby, której dane dotyczą, o tożsamości nie tylko odbiorcy, któremu dane zostały ujawnione, lecz każdego pracownika lub osoby z wewnętrznego kręgu przedsiębiorstwa, która miała do nich dostęp zgodnie z prawem ( 29 ). |
76. |
Jak wskazała Pankki na rozprawie, tożsamość konkretnych pracowników, którzy zajmowali się przetwarzaniem danych klientów, stanowi informację szczególnie chronioną z punktu widzenia bezpieczeństwa, przynajmniej w niektórych sektorach gospodarki. |
77. |
Pracownicy ci mogliby być narażeni na próby wywierania nacisku i wpływu przez osoby, które jako klienci instytucji bankowej mogą mieć interes w zindywidualizowaniu swego rozmówcy, którym byłaby już nie tyle sama instytucja finansowa, co jeden lub kilku jej pracowników, będących najsłabszym ogniwem łańcucha biznesowego. Mogłoby to mieć miejsce na przykład w przypadku, gdy monitorowanie transakcji poprzez przeglądanie danych klienta odbywa się w celu wykonania obowiązków, którym podlegają banki, w zakresie zapobiegania i zwalczania przestępczości w dziedzinie finansów. |
78. |
Niewątpliwie klient może mieć wątpliwości co do uczciwości lub bezstronności osoby fizycznej, która uczestniczyła w imieniu administratora w przetwarzaniu jego danych. Gdyby wątpliwości te były racjonalne, mogłyby uzasadniać jego interes w poznaniu tożsamości pracownika w celu skorzystania z przysługującego temu klientowi prawa do podjęcia działań wobec tego pracownika. |
79. |
Ze względu na wrażliwy charakter takich informacji interes w poznaniu tożsamości pracownika jest sprzeczny z nie mniej bezspornym interesem podmiotów przetwarzających polegającym na zachowaniu poufności tożsamości swych pracowników oraz prawem tych ostatnich do ochrony ich własnych danych. Moim zdaniem wyważenie tych interesów osiąga się dzięki pośrednictwu organu nadzorczego jako arbitra między tymi dwoma przeciwstawnymi interesami. |
80. |
W przypadku takim jak rozpatrywany w niniejszej sprawie to zatem organ nadzorczy będzie musiał ocenić bezstronnie, czy wątpliwości co do działań pracowników instytucji bankowej są na tyle zasadne i spójne, że uzasadniają rezygnację z zachowania poufności w kwestii ich tożsamości. |
3. Dostęp do informacji o tożsamości pracowników, które są zawarte w zbiorach danych lub rejestrach operacji
81. |
Można by poprzestać tutaj, po stwierdzeniu, że pracownicy instytucji działający w jej imieniu i zgodnie z jej poleceniami nie są odbiorcami w ścisłym znaczeniu, o których mowa w art. 15 ust. 1 lit. c) RODO, na udzieleniu odpowiedzi na pytania prejudycjalne pierwsze i drugie. |
82. |
Należy jednak uzupełnić odpowiedź o analizę potencjalnego prawa osoby, której dane dotyczą, do poznania tożsamości pracowników, w przypadku gdy informacja ta jest zawarta w zbiorach danych lub rejestrach operacji danej instytucji. Chociaż, jak już wskazałem, niekoniecznie wszystkie te zbiory danych lub rejestry będą miały identyczną treść, jednak przyjmuje się ogólnie, że odzwierciedlają one, kto (spośród pracowników administratora), w jaki sposób i kiedy przeglądał dane klientów. |
83. |
Takie rejestry umożliwiają administratorowi wywiązanie się z obowiązku przestrzegania zasad ustanowionych w art. 5 ust. 1 RODO oraz wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymogami tego rozporządzenia i aby móc to wykazać (art. 24 ust. 1 i art. 25 ust. 2 RODO). |
84. |
W szczególnym obszarze objętym dyrektywą (UE) 2016/680 ( 30 ), na którą Komisja powołuje się jako przykład ( 31 ) szczególnego systemu ochrony danych w dziedzinie przestępstw:
|
85. |
Natomiast zgodnie z art. 14 dyrektywy 2016/680 informacje dotyczące w szczególności tożsamości pracownika, który przetwarzał dane osobowe, nie stanowią informacji, do których dana osoba ma prawo dostępu. |
86. |
Podobnie art. 30 RODO ustanawia coś, co nazywa „rejestrem czynności przetwarzania”, którego treść pokrywa się – z mniejszym stopniem szczegółowości w odniesieniu do definicji operacji – z treścią art. 25 dyrektywy 2016/680 ( 33 ). I podobnie jak w przypadku tego ostatniego, zarejestrowane informacje o tożsamości pracownika również nie należą do informacji dostępnych dla osoby, której dane dotyczą, na podstawie art. 15 RODO. |
87. |
Powodem tej asymetrii między rejestrowanymi informacjami z jednej strony a prawem dostępu do nich z drugiej jest różnica celów, jakim służą przepisy regulujące, odpowiednio, rejestry czynności przetwarzania i dostępność ich treści. |
88. |
Pragnę powtórzyć, że celem rejestrów, o których mowa w art. 30 RODO, jest zapewnienie zgodności przetwarzania z prawem oraz zagwarantowanie integralności i bezpieczeństwa danych. Odpowiedzialność za to spoczywa w sposób ogólny na organie nadzorczym, któremu administrator i podmiot przetwarzający muszą udostępnić rejestry operacji (art. 30 ust. 4 RODO). |
89. |
W RODO prawo do złożenia skargi do organów nadzorczych [art. 15 ust. 1 lit. f)], na których spoczywa obowiązek zapewnienia jego właściwego stosowania, ma na celu ochronę praw osób fizycznych w odniesieniu do przetwarzania ich danych. Stanowi o tym art. 51 ust. 1 RODO i wynika to z wykazu zadań powierzonych im na mocy art. 57 samego rozporządzenia. |
90. |
Ogólne zadanie polegające na monitorowaniu stosowania RODO i ochronie praw osób fizycznych uzasadnia uprawnienia organu nadzorczego. Uprawnienia te obejmują ustalenie okoliczności, w jakich miało miejsce przetwarzanie danych przez podmiot przetwarzający lub administratora. Jedna z owych okoliczności ma właśnie znaczenie w niniejszej sprawie: tożsamość osób, które przeglądają dane osobowe klientów w imieniu administratora lub podmiotu przetwarzającego. |
91. |
W żadnym miejscu RODO nie ustanawia jednak wymogu, aby te odniesienia do tożsamości pracowników zawarte w wewnętrznych rejestrach podmiotów, na podstawie których podmioty mogą ustalić (i, w stosownym przypadku, przekazać organowi nadzorczemu), kto i kiedy badał dane osobowe klienta, muszą być udostępnione klientowi. |
92. |
Z drugiej strony osoba, której dotyczy dana czynność przetwarzania, musi otrzymać informacje niezbędne do ustalenia istotnych okoliczności w celu oceny zgodności przetwarzania z prawem i zakwestionowania go w stosownym przypadku przed organem nadzorczym lub w ostateczności przed sądem. |
93. |
Powyższego nie wyklucza okoliczność polegająca na tym, że jeśli takie rejestry operacji rzeczywiście zawierają dane osobowe osoby, której dane dotyczą (to znaczy inne niż jedynie tożsamość pracowników), osoba ta ma oczywiście prawo uzyskać od administratora potwierdzenie, że jej dane osobowe są przetwarzane. Do tych celów nie ma znaczenia, czy te dane osobowe znajdują się w rejestrze operacji, czy w jakimkolwiek innym zbiorze danych lub wewnętrznej bazie danych instytucji. |
C. W przedmiocie trzeciego pytania prejudycjalnego
94. |
Sąd odsyłający zmierza do ustalenia, czy „ma znaczenie dla postępowania to, że chodzi tu o bank prowadzący działalność regulowaną, względnie to, że J.M. jednocześnie pracował w tym banku i był jego klientem”. |
95. |
Moim zdaniem bez wpływu na powyższe rozważania pozostaje okoliczność, że administrator danych prowadzi działalność regulowaną. Fakt, że administratorem jest bank podlegający szczególnym uregulowaniom właściwym tego rodzaju instytucjom ( 34 ), może jednak mieć wpływ na zgodność z prawem (podstawę prawną) przetwarzania, w przypadku gdy przetwarzanie wynika z wykonywania obowiązków prawnych, którym podlega bank ( 35 ). |
96. |
Co do zasady nie ma także znaczenia okoliczność, że osoba, której dane były przeglądane, była jednocześnie pracownikiem i klientem tego banku. W art. 15 ust. 1 RODO nie wprowadzono rozróżnienia w zależności od działalności zawodowej osoby, której dane dotyczą, pokrywającej się z jej statusem klienta instytucji finansowej ( 36 ). |
97. |
Niewątpliwie, jak zauważyła Komisja, art. 23 RODO zezwala państwom członkowskim na ograniczenie w drodze ustawodawstwa zakresu obowiązków i praw ustanowionych między innymi w art. 15 tego rozporządzenia za pomocą przepisów sektorowych dla określonej kategorii osób, których dane dotyczą. Sąd odsyłający nie wspomina jednak o żadnym takim ograniczeniu krajowym. |
V. Wnioski
98. |
W świetle powyższego proponuję, aby Trybunał odpowiedział Itä‑Suomen hallinto‑oikeus (sądowi administracyjnemu dla Finlandii Wschodniej, Finlandia) w następujący sposób: Artykuł 15 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w związku z art. 4 pkt 1 tego rozporządzenia należy interpretować w ten sposób, że: ma on zastosowanie, gdy żądanie osoby, której dane dotyczą, o udzielenie dostępu do informacji, skierowane do administratora danych tej osoby, zostało złożone po dniu 25 maja 2018 r.; nie przyznaje on osobie, której dane dotyczą, prawa do zapoznania się, spośród informacji, którymi dysponuje administrator (gdy ma to zastosowanie – za pomocą rejestrów lub zbiorów danych dotyczących operacji przetwarzania), tożsamości pracownika lub pracowników, którzy z upoważnienia administratora i zgodnie z jego poleceniami przeglądali dane osobowe tej osoby. |
( 1 ) Język oryginału: hiszpański.
( 2 ) Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2021, L 74, s. 35; zwane dalej „RODO”).
( 3 ) Ustawa o ochronie danych osobowych. Zgodnie z § 1 ustawa ta konkretyzuje i uzupełnia RODO.
( 4 ) Ustawa o ochronie prywatności w życiu zawodowym.
( 5 ) Pankki zamierzała wyjaśnić to, czy zachodzi konflikt interesów między klientem banku, za którego rachunek J.M. był odpowiedzialny jako jego opiekun, a J.M. Ostatecznie stwierdzono, że J.M. nie jest podejrzany o jakiekolwiek nieprawidłowe działania.
( 6 ) Artykuł 99 ust. 2 RODO.
( 7 ) Zobacz podobnie opinia rzecznika generalnego G. Pitruzzelli w sprawie Österreichische Post (Informacje dotyczące odbiorców danych osobowych) (C‑154/21, EU:C:2022:452, pkt 33): „[…] prawo dostępu przewidziane w art. 15 ust. 1 lit. c) RODO odgrywa funkcjonalną i zasadniczą rolę w stosunku do wykonywania innych uprawnień osoby, której dane dotyczą, określonych w RODO”.
( 8 ) Lub – jak ma to miejsce w niniejszej sprawie – od chwili, w której sam przepis zaczyna być stosowany, jeśli nie pokrywa się ona z chwilą wejścia w życie.
( 9 ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).
( 10 ) Podsumowaniem orzecznictwa Trybunału dotyczącego skuteczności w czasie zmian normatywnych jest wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in. (C‑645/19, EU:C:2021:483).
( 11 ) W odniesieniu do dyrektywy 95/46 stwierdzono w wyroku z dnia 7 maja 2009 r., Rijkeboer (C‑553/07, EU:C.2009:293, pkt 70), że „[a]rtykuł 12 lit. a) dyrektywy nakłada na państwa członkowskie obowiązek ustanowienia prawa dostępu do informacji […] nie tylko w odniesieniu do teraźniejszości, lecz również w odniesieniu do przeszłości. Do państw członkowskich należy określenie okresu przechowywania tej informacji oraz odpowiedniego dostępu do tej informacji, który stanowiłby rezultat właściwego wyważenia między z jednej strony interesem osoby, której dane dotyczą, w ochronie jej życia prywatnego, w szczególności za pośrednictwem prawa interwencji oraz prawa do wniesienia środka prawnego przewidzianych przez dyrektywę, a z drugiej strony – obciążeniem, jakie obowiązek przechowywania tej informacji reprezentuje dla administratora danych”. Podkreślenie moje.
( 12 ) Z zastrzeżeniem, że kwestia ta musiałaby zostać wyjaśniona w stosownym przypadku przez sąd odsyłający, na rozprawie podniesiono, iż to przetwarzanie danych było uzasadnione ze względu, po pierwsze, na obowiązki wynikające z prawa finlandzkiego, zgodnie z którym Pankki jako instytucja finansowa musi zapewnić właściwe zarządzanie ryzykiem, a ponadto przestrzegać przepisów dotyczących zapobiegania praniu pieniędzy i jego zwalczania w zakresie identyfikowalności transakcji; po drugie, na to, że przetwarzanie to było uzasadnione na gruncie umów zawartych przez bank z jego klientami i pracownikami, które mają upoważniać do przeglądania ich danych w okolicznościach takich jak te rozpatrywane w niniejszej sprawie.
( 13 ) Zobacz pkt 21 niniejszej opinii.
( 14 ) Zgodnie z tym przepisem dane osobowe oznaczają „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, to znaczy osobie, „którą można bezpośrednio lub pośrednio zidentyfikować”.
( 15 ) Jego tożsamość nie została ustalona w następstwie lub wskutek przetwarzania, gdyż przetwarzanie to miało miejsce po uprzednim zidentyfikowaniu J.M.
( 16 ) Jak zauważyła Komisja, być może J.M. uważa, że przekazane mu informacje są niewystarczające lub niedokładne. W każdym razie, zgodnie z art. 15 ust. 1 RODO, J.M. jest uprawniony do uzyskania potwierdzenia, czy jego dane były lub są przetwarzane (co wiąże się ze wskazaniem chwili przetwarzania) oraz celów, jakim odpowiada przetwarzanie. Do sądu odsyłającego należałoby ustalenie, czy te dwie informacje zostały mu przekazane w wystarczający sposób.
( 17 ) Zobacz jego treść przytoczona w pkt 9 niniejszej opinii.
( 18 ) Jak stwierdził Trybunał w odniesieniu do dyrektywy 95/46 i w sposób, który można zastosować do RODO – zasady ochrony gwarantowanej na mocy prawa Unii w tej dziedzinie „muszą znajdować odzwierciedlenie z jednej strony w obowiązkach nałożonych na podmioty przetwarzające dane, zwłaszcza w zakresie dotyczącym jakości tych danych, bezpieczeństwa technicznego, zawiadamiania organu nadzorczego oraz okoliczności, w których może odbywać się przetwarzanie danych, jak również, z drugiej strony, w prawach osób, których dane są przedmiotem przetwarzania, do uzyskania informacji, że takie przetwarzanie danych ma miejsce, do [zapoznania się z danymi], żądania poprawek lub nawet, w niektórych przypadkach, sprzeciwu wobec przetwarzania danych” (wyrok z dnia 20 grudnia 2017 r., Nowak, C‑434/16, EU:C:2017:994, pkt 48).
( 19 ) Podkreślenie moje.
( 20 ) Prawa do żądania sprostowania lub usunięcia danych, ograniczenia ich przetwarzania lub wniesienia sprzeciwu wobec przetwarzania; wniesienia skargi do organu nadzorczego; uzyskania informacji o pochodzeniu danych, które nie zostały uzyskane od osoby, której dane dotyczą.
( 21 ) Punkt 38 postanowienia odsyłającego.
( 22 ) Artykuły 13, 14 i 15 RODO, zawarte w rozdziale III („Prawa osoby, której dane dotyczą”) w sekcji 2 („Informacje i dostęp do danych osobowych”), stanowią system oparty na uznaniu prawa do uzyskania informacji o: a) danych osobowych będących w posiadaniu administratora, niezależnie od sposobu, w jaki zostały one uzyskane (art. 13 i 14); oraz b) okolicznościach każdego przetwarzania tych danych w szczególności (art. 15).
( 23 ) Podkreślenie moje.
( 24 ) Za takim rozwiązaniem opowiada się również Europejska Rada Ochrony Danych w jej przyjętych w dniu 2 września 2020 r. wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO, pkt 83–90.
( 25 ) W takim przypadku w grę wchodziłby art. 34 ust. 1 RODO.
( 26 ) Jest to stanowisko przyjęte przez Europejską Radę Ochrony Danych w jej przytoczonych wyżej wytycznych 07/2020, pkt 88: „Pracownik […], który uzyskuje dostęp do danych, do których nie jest upoważniony, oraz w celach innych niż cele pracodawcy, nie należy do tej kategorii. Pracownik ten powinien być traktowany jako strona trzecia w stosunku do przetwarzania przez pracodawcę. Jeżeli pracownik przetwarza dane osobowe dla własnych celów, innych niż cele swojego pracodawcy, będzie on uważany za administratora i przejmie wszystkie wynikające z tego konsekwencje i odpowiedzialność w zakresie przetwarzania danych osobowych”.
( 27 ) Do tego samego wyniku prowadzi wykładnia zawartych w art. 13 i 14 RODO, a także w motywie 61 RODO odniesień do chwili, w której należy przekazać osobom, których dane dotyczą, informacje o przetwarzaniu danych osobowych ujawnionych odbiorcom. Z odniesień tych wynika, że odbiorcą jest podmiot zewnętrzny lub osoba zewnętrzna inna niż administrator/podmiot przetwarzający.
( 28 ) Rząd fiński stwierdził na rozprawie, że uczynił to w odniesieniu do danych dotyczących zdrowia.
( 29 ) Konsekwencje uznania istnienia takiego obowiązku są trudne do przewidzenia dla codziennej działalności przedsiębiorstw, w szczególności tych, które są zobowiązane do przetwarzania (oczywiście za pośrednictwem swoich pracowników) milionów danych osobowych swoich klientów.
( 30 ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89).
( 31 ) Na rozprawie wyjaśniono, że powołanie się na dyrektywę 2016/680 nie oznacza, że ma ona zastosowanie w niniejszej sprawie, która nie ma charakteru karnego.
( 32 ) Przepisy te zostały powtórzone w art. 88 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. 2018, L 295, s. 39), przy czym w ust. 2 tego artykułu dodano, że wpisy do ewidencji są usuwane po 3 latach, chyba że są wciąż potrzebne do trwających kontroli.
( 33 ) Artykuł 25 ust. 1 dyrektywy 2016/680 odnosi się wyraźnie do „osoby, która przeglądała lub ujawniła dane osobowe”. Bardziej ogólnie i bez odnoszenia się do każdej konkretnej czynności przetwarzania, lecz do „kategorii czynności przetwarzania dokonywanych w imieniu administratora”, art. 30 ust. 2 lit. a) RODO wskazuje na „imię i nazwisko lub nazw[ę] oraz dane kontaktowe podmiotu przetwarzającego”, to znaczy, zgodnie z art. 4 ust. 8 RODO, „osobę […], któr[a] przetwarza dane osobowe w imieniu administratora”.
( 34 ) To szczególne uregulowanie może wiązać się na przykład – jak stwierdza się w motywie 11 dyrektywy 2016/680 – z tym, że „[…] do celów postępowania przygotowawczego, wykrywania lub ścigania czynów zabronionych określone instytucje finansowe zatrzymują przetwarzane przez siebie dane osobowe i udostępniają takie dane osobowe tylko właściwym organom krajowym w konkretnych sytuacjach i w zgodzie z prawem państwa członkowskiego”.
( 35 ) Zobacz przypis 12 do niniejszej opinii.
( 36 ) Sąd odsyłający nie zwraca się z pytaniem dotyczącym ewentualnego naruszenia praw przysługujących J.M. jako pracownikowi Pankki.