Rejestrowanie czynności przetwarzania (art. 30 RODO)

Pliki dziennika stanowią rejestry czynności w rozumieniu art. 30 RODO. Należą one do środków, o których mowa w motywie 74 tego rozporządzenia, wdrażanych przez administratora w celu wykazania zgodności czynności przetwarzania z tym rozporządzeniem. Artykuł 30 ust. 4 tego rozporządzenia uściśla w szczególności, że są one udostępniane organowi nadzorczemu na jego żądanie.

Jeśli rejestry czynności nie zawierają informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej pozwalają one administratorowi wyłącznie na wypełnienie swoich obowiązków wobec organu nadzorczego, który wnosi o ich udostępnienie.

Jeśli chodzi w szczególności o pliki dziennika administratora, przekazanie kopii informacji zawartych w tych plikach może okazać się konieczne do wywiązania się z obowiązku udzielenia osobie, której dane dotyczą, dostępu do wszystkich informacji, o których mowa w art. 15 ust. 1 RODO, oraz do zapewnienia rzetelności i przejrzystości przetwarzania, umożliwiając jej tym samym pełne korzystanie z praw wynikających z tego rozporządzenia.

Takie pliki ujawniają istnienie przetwarzania danych, a jest to informacja, do której osoba, której dane dotyczą, powinna mieć dostęp na podstawie art. 15 ust. 1 RODO. Ponadto informują one o częstotliwości i dogłębności operacji przeglądania, umożliwiając w ten sposób osobie, której dane dotyczą, upewnienie się, że dokonywane przetwarzanie jest rzeczywiście uzasadnione celami wskazanymi przez administratora.

Pliki te zawierają informacje dotyczące tożsamości osób, które przeprowadziły operacje przeglądania.

W odniesieniu do prawa dostępu przewidzianego w art. 15 RODO motyw 63 tego rozporządzenia stanowi, że „[p]rawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób”. w przypadku kolizji między z jednej strony wykonywaniem prawa dostępu zapewniającego skuteczność praw przyznanych przez RODO osobie, której dane dotyczą, a z drugiej strony prawami lub wolnościami innych osób, konieczne będzie wyważenie rozpatrywanych praw i wolności. W miarę możliwości należy wybrać sposób przekazania, który nie narusza praw lub wolności innych osób, mając na uwadze, że – jak wynika z motywu 63 RODO – względy te nie powinny jednak „skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji” (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C-487/21).

Jeżeli osoba, której dane dotyczą, miałaby uznać, że informacje przekazane przez administratora są niewystarczające, aby umożliwić jej rozwianie wątpliwości co do zgodności z prawem przetwarzania, któremu podlegały jej dane osobowe, ma ona prawo wnieść do organu nadzorczego skargę na podstawie art. 77 ust. 1 RODO, który to organ na podstawie art. 58 ust. 1 lit. a) tego rozporządzenia jest uprawniony do żądania od administratora dostarczenia wszelkich informacji potrzebnych do rozpatrzenia skargi osoby, której dane dotyczą.

Wyrok TSUE z dnia 22 czerwca 2023 r., C-579/21

Standard: 83953 (pełna treść orzeczenia)

Naruszenie przez administratora danych obowiązków przewidzianych w art. 26 i 30 tego rozporządzenia, dotyczących, odpowiednio, przyjęcia uzgodnień dotyczących określenia współodpowiedzialności za przetwarzanie i prowadzenia rejestru czynności przetwarzania, nie stanowi niezgodnego z prawem przetwarzania uprawniającego osobę, której dane dotyczą, do żądania usunięcia danych lub ograniczenia przetwarzania w zakresie, w jakim takie naruszenie nie wiąże się jako takie z uchybieniem przez administratora danych zasadzie rozliczalności wyrażonej w art. 5 ust. 2 wspomnianego rozporządzenia w związku z jego art. 5 ust. 1 lit. a) i art. 6 ust. 1 akapit pierwszy.

Prawo Unii należy interpretować w ten sposób, że w sytuacji, gdy administrator danych osobowych naruszył spoczywające na nim na mocy art. 26 i 30 rozporządzenia 2016/679 obowiązki, zgodność z prawem uwzględnienia przez sąd krajowy takich danych nie jest uzależniona od zgody osoby, której dane dotyczą.

Wyrok TSUE z dnia 4 maja 2023 r., C-60/22

Standard: 84055 (pełna treść orzeczenia)