Przekazanie plików dziennika administratora, przekazanie kopii informacji zawartych w tych plikach (art. 15 i 30 RODO)

Art. 15 ust. 1 RODO należy interpretować w ten sposób, iż informacje dotyczące operacji przeglądania danych osobowych danej osoby odnoszące się do dat i celów tych operacji stanowią informacje, które osoba ta ma prawo uzyskać od administratora na podstawie tego przepisu. Natomiast przepis ten nie ustanawia takiego prawa w odniesieniu do informacji dotyczących tożsamości pracowników wspomnianego administratora, którzy przeprowadzili te operacje z jego upoważnienia i zgodnie z jego poleceniami, chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem że uwzględnione zostaną prawa i wolności tych pracowników.

Pliki dziennika stanowią rejestry czynności w rozumieniu art. 30 RODO. Należą one do środków, o których mowa w motywie 74 tego rozporządzenia, wdrażanych przez administratora w celu wykazania zgodności czynności przetwarzania z tym rozporządzeniem. Artykuł 30 ust. 4 tego rozporządzenia uściśla w szczególności, że są one udostępniane organowi nadzorczemu na jego żądanie.

Jeśli rejestry czynności nie zawierają informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej pozwalają one administratorowi wyłącznie na wypełnienie swoich obowiązków wobec organu nadzorczego, który wnosi o ich udostępnienie.

Jeśli chodzi w szczególności o pliki dziennika administratora, przekazanie kopii informacji zawartych w tych plikach może okazać się konieczne do wywiązania się z obowiązku udzielenia osobie, której dane dotyczą, dostępu do wszystkich informacji, o których mowa w art. 15 ust. 1 RODO, oraz do zapewnienia rzetelności i przejrzystości przetwarzania, umożliwiając jej tym samym pełne korzystanie z praw wynikających z tego rozporządzenia.

Takie pliki ujawniają istnienie przetwarzania danych, a jest to informacja, do której osoba, której dane dotyczą, powinna mieć dostęp na podstawie art. 15 ust. 1 RODO. Ponadto informują one o częstotliwości i dogłębności operacji przeglądania, umożliwiając w ten sposób osobie, której dane dotyczą, upewnienie się, że dokonywane przetwarzanie jest rzeczywiście uzasadnione celami wskazanymi przez administratora.

Pliki te zawierają informacje dotyczące tożsamości osób, które przeprowadziły operacje przeglądania.

W odniesieniu do prawa dostępu przewidzianego w art. 15 RODO motyw 63 tego rozporządzenia stanowi, że „[p]rawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób”. w przypadku kolizji między z jednej strony wykonywaniem prawa dostępu zapewniającego skuteczność praw przyznanych przez RODO osobie, której dane dotyczą, a z drugiej strony prawami lub wolnościami innych osób, konieczne będzie wyważenie rozpatrywanych praw i wolności. W miarę możliwości należy wybrać sposób przekazania, który nie narusza praw lub wolności innych osób, mając na uwadze, że – jak wynika z motywu 63 RODO – względy te nie powinny jednak „skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji” (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C-487/21).

Jeżeli osoba, której dane dotyczą, miałaby uznać, że informacje przekazane przez administratora są niewystarczające, aby umożliwić jej rozwianie wątpliwości co do zgodności z prawem przetwarzania, któremu podlegały jej dane osobowe, ma ona prawo wnieść do organu nadzorczego skargę na podstawie art. 77 ust. 1 RODO, który to organ na podstawie art. 58 ust. 1 lit. a) tego rozporządzenia jest uprawniony do żądania od administratora dostarczenia wszelkich informacji potrzebnych do rozpatrzenia skargi osoby, której dane dotyczą.

Wyrok TSUE z dnia 22 czerwca 2023 r., C-579/21

Standard: 83952 (pełna treść orzeczenia)