Strona główna Prawo Wyroki Europejskie Treść orzeczeń Trybunału Sprawiedliwości UE
Treść orzeczeń Trybunału Sprawiedliwości UE

Trybunał Sprawiedliwości Unii Europejskiej: Sprawa C-101/01 (orzeczenie z dnia 6 listopada 2003)

Sprawa dotyczyła wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych w związku z publikacją przez B. Lindqvist na swojej stronie internetowej danych osobowych dotyczących pewnej liczby osób, które podobnie jak ona świadczyły nieodpłatnie pracę na rzecz jednej z parafii kościoła protestanckiego w Szwecji. Trybunał w odpowiedzi na siedem pytań prejudycjalnych stwierdził, że:

  1. Operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków stanowi „przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany”.
  2. Pytanie to wymagałoby odpowiedzi jedynie w przypadku odpowiedzi przeczącej na powyższe pytanie.
  3. Przetwarzanie danych takie jak określone w pytaniu pierwszym nie jest objęte żadnym wyłączeniem przewidzianym w dyrektywie.
  4. Informacja, iż dana osoba doznała urazu stopy i przebywa na zwolnieniu lekarskim w niepełnym wymiarze, stanowi dane osobowe dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46.
  5. „Przekazywanie danych do państw trzecich” w rozumieniu art. 25 dyrektywy 95/46 nie ma miejsca, w przypadku gdy osoba, która znajduje się w jednym z państw członkowskich, zamieszcza na stronie internetowej, przechowywanej przez dostawcę usług hostingowych mającego swoją siedzibę w tym samym państwie lub w innym państwie członkowskim, dane osobowe, czyniąc je w ten sposób dostępnymi dla każdego, kto połączy się z Internetem, w tym również dla osób, które znajdują się w państwie trzecim.
  6. Przepisy dyrektywy 95/46 nie zawierają same w sobie ograniczeń sprzecznych z ogólną zasadą swobody wypowiedzi lub z innymi prawami i swobodami obowiązującymi w ramach Unii Europejskiej, które odpowiadają w szczególności art. 10 EKPC. Do władz publicznych i sądów państw członkowskich odpowiedzialnych za stosowanie przepisów krajowych dokonujących transpozycji dyrektywy 95/46 należy zapewnienie właściwej równowagi między wchodzącymi w grę prawami i interesami, w tym prawami podstawowymi chronionymi przez wspólnotowy porządek prawny.
  7. Środki podejmowane przez państwa członkowskie w celu zapewnienia ochrony danych osobowych muszą być zgodne zarówno z przepisami dyrektywy 95/46, jak i z jej celem, jakim jest utrzymanie równowagi między swobodnym przepływem danych osobowych a ochroną życia prywatnego. Natomiast nic nie stoi na przeszkodzie rozszerzeniu przez państwo członkowskie zakresu ustawodawstwa krajowego dokonującego transpozycji przepisów dyrektywy 95/46 na dziedziny nieobjęte zakresem jej stosowania, pod warunkiem że nie sprzeciwia się temu żaden przepis prawa wspólnotowego.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=48382&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745114

Trybunał Sprawiedliwości Unii Europejskiej: Połączone sprawy C-465/00, C-138/01 oraz C-139/01 (orzeczenie z dnia 20 maja 2003)

Sprawa dotyczyła wykładni dyrektywy 95/46 WE w związku z obowiązkiem publikacji przez instytucje publiczne informacji o wypłacanych przez te instytucje pracownikom i emerytom wynagrodzeniach i emeryturach, których wysokość przekracza pewien próg, wraz z nazwiskami beneficjentów, w celu sporządzenia sprawozdania rocznego. Poruszono w niej trzy kwestie:

  1. Rządy austriacki i włoski utrzymywały, że dyrektywa nie ma zastosowania przed sądami krajowymi, ponieważ co do zasady dotyczy ona tworzenia rynku wewnętrznego w szczególności związanego ze swobodnym przepływem pracowników. TS UE orzekł, że stosowanie dyrektywy nie może zależeć od tego, czy  w danej sprawie istnieje wystarczający związek ze swobodami traktatowymi, ponieważ granice stosowania dyrektywy nie byłyby jasne. Dyrektywa znajduje zastosowanie do obszarów regulowanych przez prawo wspólnotowe.
  2. Rozpowszechnienie informacji o wysokości rocznych dochodów przekraczających pewien próg oraz o nazwiskach beneficjentów tych dochodów jest możliwe, o ile jest zarazem konieczne i stosowne względem celu, jakim jest prawidłowe zarządzanie funduszami publicznymi, przy czym zbadanie tej kwestii należy do sądów krajowych.
  3. Art. 6 ust. 1 lit. c) (państwa mają zapewnić, że dane osobowe są prawidłowe, stosowne oraz nie nadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone; oraz art. 7 lit. c) i e) (przesłanki legalności przetwarzania) dyrektywy 95/46 podlegają bezpośredniemu stosowaniu. To, że państwa członkowskie mają pewną swobodę w kwestii ich wdrażania to jednak są one wystarczająco precyzyjne aby można się było na nie powołać.

Dostępny pod adresem:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=48330&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745160

Trybunał Sprawiedliwości Unii Europejskiej: Połączone sprawy C-317/04 oraz C-318/04 (orzeczenie z dnia 30 maja 2006)

Sprawa dotyczyła stwierdzenia nieważności zawarcia Porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania danych dot. nazwy rekordu pasażera (PNR) przez przewoźników lotniczych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic oraz nieważności decyzji Komisji 2004/535/WE z dnia 14 maja 2004 r. w sprawie odpowiedniej ochrony danych osobowych zawartych w Passenger Name Rekord (PNR) pasażerów lotniczych przekazywanych do Biura Celnego i Ochrony Granic Stanów Zjednoczonych (Dz.U. L 183, str. 83). Trybunał uznał nieważność decyzji KE 2004/535/WE o odpowiedniej ochronie oraz decyzji Rady 2004/496/WE o zawarciu umowy. W ocenie TS UE decyzja KE dotyczyła kwestii wychodzącej poza zakres dyrektywy 95/46. Zgodnie z Art. 3 ustęp 2 nie obejmuje ona kwestii związanych z bezpieczeństwem państwa oraz zwalczania terroryzmu. Decyzja Rady była oparta na Art. 95 TWE w połączeniu z Dyrektywą. Jako że ta ostatnia nie mogła stanowić podstawy prawnej, także ta decyzja została uznana za nieważną. Trybunał utrzymał jednak umowę w mocy, z uwagi na potrzebę zapewnienia pewności prawa, do dnia 30 sierpnia 2006.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=57549&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745262

Trybunał Sprawiedliwości Unii Europejskiej: Sprawa C-275/06 (Orzeczenie z dnia 29 stycznia 2008)

Sprawa dotyczyła wykładni dyrektyw 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. L 178, s. 1), 2001/29/WE Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych [prawa autorskiego i praw pokrewnych] w społeczeństwie informacyjnym (Dz.U. L 167, s. 10) i 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej (Dz.U. L 157, s. 45, i sprostowanie Dz.U. L 195, s. 16) oraz art. 17 ust. 2 i art. 47 Karty praw podstawowych proklamowanej w Nicei w dniu 7 grudnia 2000 r. odnośnie  sporu między nie mającym celu zarobkowego stowarzyszeniem Productores de Música de España (Promusicae) a Telefónicą de España SAU dotyczącego odmowy przez tę ostatnią udostępnienia Promusicae, działającego na rzecz zrzeszonych w nim właścicieli praw własności intelektualnej, danych osobowych dotyczących korzystania z Internetu przy użyciu połączenia dostarczonego przez Telefónicę. Trybunał orzekł, że choć dyrektywy zakładają ochronę praw własności intelektualnej to jednak nie mogą naruszać wymogów ochrony danych osobowych.

Informacji o pochodzeniu i sieciach dystrybucji towarów lub usług naruszających prawo własności intelektualnej mogą być przekazane na uzasadnione żądanie powoda przez sądy, państwa członkowskie nie są jednak zobowiązane do ustanowienia przepisów nakazujących przekazywanie na potrzeby postępowania cywilnego informacji o pochodzeniu i sieciach dystrybucji towarów lub usług naruszających prawo własności intelektualnej. Ponadto zgodnie z orzeczeniem Trybunału przy transpozycji tych dyrektyw państwa członkowskie powinny opierać się one na takiej wykładni tych dyrektyw, która pozwoli na zapewnienie odpowiedniej równowagi między poszczególnymi prawami podstawowymi chronionymi przez wspólnotowy porządek prawny.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=70107&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745557

Trybunał Sprawiedliwości Unii Europejskiej: Sprawa C-73/07 Tietosuojavaltuutettu v Satakunnan Markkinapörssi Oy, Satamedia Oy (orzeczenie z 16 grudnia 2008)

Sprawa dotyczyła wykładni Dyrektywy 95/46/WE odnośnie sporu pomiędzy Tietosuojavaltuutettu (inspektorem ochrony danych osobowych) a Tietosuojalautakunta (komisją ds. ochrony danych) w przedmiocie działań związanych z przetwarzaniem danych osobowych dokonywanych przez spółki Satakunnan Markkinapörssi Oy i Satamedia Oy. W/w firmy pobierały od instytucji publicznych jawne dane dotyczące dochodów oraz opodatkowania 1,2 mln fińskich obywateli, by następnie używać ich w celach marketingowych. Trybunał uznał, że zbiory władz publicznych obejmujące dane osobowe, które zawierają jedynie materiał informacyjny już upowszechniony przez media, należą do zakresu zastosowania dyrektywy. W innej sytuacji wystarczyłoby aby państwa członkowskie upubliczniły dane by wyjąć je spod ochrony. Rozpowszechnianie takich informacji powinno zostać uznane za przetwarzanie danych wyłącznie w celach dziennikarskich jeśli ich wyłącznym celem jest publiczne rozpowszechnienie informacji, opinii lub myśli. Ponadto okoliczność, że opublikowanie danych o charakterze jawnym jest związane z celem zarobkowym tego nie wyklucza. Decyzja w takich sprawach należy do sądu krajowego.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=76075&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745428

Trybunał Sprawiedliwości Unii Europejskiej: Sprawa C-524/06 Heinz Huber przeciwko Republice Federalnej Niemiec (orzeczenie z dnia 16 grudnia 2008)

Sprawa dotyczyła wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych odnośnie wniosku obywatela Austrii Heinz’a Huber’a o wykreślenie jego danych z Centralnego Rejestru Cudzoziemców w Niemczech. Trybunał orzekł, że system przetwarzania danych osobowych dotyczących obywateli Unii nie będących obywatelami danego państwa członkowskiego, który ma na celu wspomaganie organów krajowych właściwych do stosowania przepisów dotyczących prawa pobytu, spełnia przewidziany w art. 7 lit. e) dyrektywy 95/46/WE (dotyczący jednej z przesłanek legalności, którą jest konieczność realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej przed którą ujawnia się dane) wymóg konieczności gdy zawiera wyłącznie dane konieczne do stosowania tych przepisów oraz jego scentralizowany charakter pozwala na bardziej skuteczne stosowanie tych przepisów. Czy przesłanki te spełniono w konkretnej sprawie decyduje sąd krajowy. Jednocześnie nie może uznać za konieczne przechowywania i przetwarzania danych wymieniających dane osoby z nazwiska w celach statystycznych. W takim celu wystarczyłyby dane anonimowe.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dd52087cd180d44f0882e1fe6d43fae068.e34KaxiLc3qMb40Rch0SaxqTbN10?text=&docid=76077&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=665553

Sąd I Instancji: Sprawa T-259/03 (orzeczenie z dnia 12 września 2007) Nikolaou przeciwko Komisji

Sprawa dotyczyła skargi o odszkodowanie, na podstawie art. 288 akapit drugi WE, za szkody wyrządzone skarżącej poprzez publikację informacji dotyczących dochodzenia prowadzonego względem niej przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) oraz odmowę ze strony OLAF przyznania jej dostępu do akt dochodzenia i przekazania jej kopii raportu końcowego z jego dochodzenia. Trybunał orzekł, że pewne informacje na temat Pani Nikolau były przedmiotem przecieku. Informacja opublikowana przez OLAF złamała dyrektywy o ochronie danych ponieważ pozwalała na jej identyfikację oraz zawierała informacje na temat śledztwa. Jednocześnie Trybunał uznał że publikacja OLAF’u nie była pierwszą na ten temat, dlatego nie przychylił się do wniosku o odszkodowanie w wysokości 900000 Euro, zasądził natomiast odszkodowanie w wysokości 3000 Euro za straty moralne.

Treść wyroku, bez uzasadnienia, dostępna pod adresem: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62003TJ0259:PL:HTML

Trybunał Sprawiedliwości Unii Europejskiej: Sprawa C-557/07 (postanowienie z dnia 19 lutego 2009)

Sprawa dotyczyła wykładni dyrektywy 2001/29/WE Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym, dyrektywy 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej oraz dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektroniczne. Trybunał orzekł iż prawo wspólnotowe nie stoi na przeszkodzie ustanowieniu przez państwa członkowskie obowiązku przekazania prywatnym osobom trzecim danych osobowych o ruchu, tak aby umożliwić im wnoszenie do sądów cywilnych powództw o naruszenie praw autorskich. Należy jednak zapewnić odpowiednią równowagę między poszczególnymi prawami podstawowym. Ponadto dostawca dostępu, który umożliwia użytkownikowi jedynie uzyskanie dostępu do Internetu, nie oferując mu innych usług takich jak usługi poczty elektronicznej, FTP lub udostępnianie plików i nie sprawując też żadnej prawnej lub faktycznej kontroli nad usługami, z których korzysta użytkownik, winien zostać uznany za pośrednika w rozumieniu art. 8 ust. 3 dyrektywy 2001/29.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=77489&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745590

Trybunał Sprawiedliwości Unii Europejskiej: Sprawa C-553/07 College van burgemeester en wethouders van Rotterdam przeciwko M.E.E. Rijkeboer Netherlands (orzeczenie z dnia 7 maja 2009)

Sprawa dotyczyła wykładni dyrektywy 95/46/WE odnośnie sporu pomiędzy M.E.E. Rijkeboerem a urzędem miasta Rotterdam w przedmiocie częściowej odmowy udostępnienia mu informacji odnośnie do komunikacji dotyczących go danych osobowych osobom trzecim w okresie dwóch lat poprzedzających złożenie przez niego wniosku o udostępnienie informacji. Trybunał orzekł, że dyrektywa 95/46 nakłada na państwa członkowskie obowiązek ustanowienia prawa dostępu do informacji o odbiorcach lub kategorii odbiorców dotyczących jej danych osobowych oraz treści przekazanych danych zarówno w odniesieniu do teraźniejszości jak i przeszłości. Państwo określa czas przechowywania tej informacji oraz odpowiedni dostęp do tej informacji, które stanowiłyby rezultat właściwego wyważenia między interesem osoby, której dane dotyczą, a obciążeniem, jakie obowiązek przechowywania tej informacji reprezentuje dla administratora danych.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=74028&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745602

Trybunał Sprawiedliwości Unii Europejskiej Sprawa: C-28/08 P – Komisja Europejska przeciwko The Bavarian Lager Co. Ltd, Europejski Inspektor Ochrony Danych (orzeczenie z dnia 29 czerwca 2010)

Sprawa dotyczyła wniosku jaki złożyła firma The Bavarian Lager Co. Ltd w celu uzyskania dostępu do kompletnego protokołu spotkania w ramach postępowania w sprawie uchybienia zobowiązaniom przez państwo członkowskie. Wcześniej Komisja Europejska udostępniła ten protokół jednak bez pięciu nazwisk. Komisja decyzją z dnia 18 marca 2004 odrzuciła wiosek The Bavarian Lager o dostęp do tego protokołu wraz z nazwiskami, co następnie zostało unieważnione przez Sąd I Instancji (sprawa T-194/04). Sąd uznał że nie ma co do zasady obowiązku podawania powodu aby uzyskać dokumenty od instytucji publicznych. Osoba, której dane są w tych dokumentach nie ma prawa do sprzeciwu, należy natomiast wziąć pod uwagę wpływ ujawnienia tych danych. Żeby jednak odmówić ujawnienia, musiałoby ono w sposób konkretny i rzeczywisty naruszyć prawo do integralności i prywatności. Trybunał uchylił orzeczenie Sądu I Instancji w zakresie w jakim unieważniło ona decyzję Komisji. Istotą sprawy była ocena stosunku dwóch dyrektyw 45/2001 oraz 1049/2001. Choć obie dotyczą ochrony danych osobowych to jednak mają różne cele. Pierwsza z nich skupia się na obronie prawa do prywatności, druga natomiast ma za zadanie zapewnić maksymalną przejrzystość w życiu publicznym. W tej konkretnej sprawie sąd uznał że Bavarian Lager otrzymał protokół wraz ze stanowiskami poszczególnych uczestników w ramach ich obowiązków zawodowych. Aby uzyskać również nazwiska firma powinna przedstawić wyraźnie i prawnie usankcjonowane uzasadnienie. Sąd I Instancji zbyt ograniczył przepis mówiący o konieczności zbadania wpływu ujawnienia danych. Celem europejskiego systemu ochrony danych osobowych jest zapewnienie równowagi pomiędzy dwoma powyższymi rozporządzeniami.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=84752&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745613   

Trybunał Sprawiedliwości Unii Europejskiej: Sprawa C-518/07 Komisja Europejska wspierana przez Europejskiego Inspektora Ochrony Danych przeciwko Republice Federalnej Niemiec (orzeczenie z dnia 9 marca 2010)

Sprawa dotyczyła skargi Komisji Europejskiej wniesionej do Trybunału o stwierdzenie, że RFN, poddając organy kontroli właściwe w dziedzinie przetwarzania danych osobowych w sektorze niepublicznym w niektórych krajach związkowych nadzorowi państwowemu i dokonując w związku z tym nieprawidłowej implementacji wymogu ich „całkowitej niezależności”, złamała dyrektywę 95/46 WE. Trybunał przychylił się do wniosku KE. Odniósł się również do kwestii pojęcia „całkowitej niezależności”. Według Trybunału pojęcie to oznacza , że uprawnienia decyzyjne wyłączone są spod jakiegokolwiek wpływu spoza organu kontroli, bez względu na to, czy pośredniego, czy bezpośredniego.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=79752&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745626

Trybunał Sprawiedliwości Unii Europejskiej: połączona Sprawa C-92/09 oraz C-93/09 - Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-93/09) przeciwko Krajowi Związkowemu Hesja (orzeczenie z dnia 9 listopada 2010)

Sprawa dotyczyła wykładni rozporządzenia Rady (WE) nr 1290/2005 z dnia 21 czerwca 2005 r. w sprawie finansowania wspólnej polityk rolnej, Rozporzadzenia Komisji (WE) nr 259/2008 z dnia 18 marca 2008 r. ustanawiającego szczegółowe zasady stosowania rozporządzenia Rady (WE) nr 1290/2005 w zakresie publikowania informacji na temat beneficjentów środków pochodzących z Europejskiego Funduszu Rolniczego Gwarancji (EFRG) i Europejskiego Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich (EFRROW) oraz dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/). A także dyrektywy 95/46/WE Spór dotyczył publikacji na stronie internetowej Federalnego Instytutu Rolnictwa i Wyżywienia, danych osobowych dotyczących beneficjentów środków pochodzących z EFRG lub EFRROW. Trybunał stwierdził nieważność przepisów rozporządzenia 1290/2005 oraz rozporządzenia 259/2008w zakresie publikowania informacji na temat beneficjentów środków pochodzących z EFRG oraz EFRROW w zakresie w jakim wymagają one publikacji danych osobowych dotyczących każdego beneficjenta, bez wprowadzenia rozróżnienia według odpowiednich kryteriów, takich jak okresy, w których otrzymali tę pomoc, jej częstość czy też rodzaj i wysokość. Istotą orzeczenia było zbadanie czy publikacja danych w tym przypadku odpowiadała celom interesu ogólnego uznanego przez Unię lub potrzebom ochrony praw i wolności innych osób. Co do zasady publikacja danych o otrzymanych środkach jest uzasadniona w celu społecznej kontroli ich wydawania. Z drugiej strony w odniesieniu do osób fizycznych złamano zasadę proporcjonalności. Instytucje Unii nie dochowały wszelkich starań aby odpowiednio wyważyć interesów przejrzystości oraz ochrony danych osobowych osób otrzymujących środki w ramach WPR.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=79001&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745649

Trybunał Sprawiedliwości Unii Europejskiej sprawie C‑70/10 Scarlet Extended SA Przeciwko Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM)

Belgijskie stowarzyszenie autorów, kompozytorów oraz wydawców wydało dostawcy usług internetowych (ISP) nakaz filtrowania wszystkich połączeń peer-to-peer, wszystkich użytkowników w celach zapobiegawczych, bez ograniczeń w czasie oraz na koszt ISP. TS UE orzekł, że ochrona praw własności intelektualnej musi być wyważona z ochroną praw jednostek. System filtrowania nie może stanowić ogólnego nadzoru. W tym przypadku doszło do naruszenia praw użytkowników odnośnie ochrony danych osobowych oraz prawa do swobodnego wysyłania oraz otrzymywania informacji w Internecie. System taki zagrażałaby także swobodzie działalności gospodarczej. Z tych względów TS UE uznał że system taki stoi w sprzeczności z dyrektywami: 2000/31/WE; 2001/29/WE, 2004/48/WE, 95/46 WE oraz 2002/58/WE interpretowanymi łącznie.  

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=115202&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745691

Trybunał Sprawiedliwości Unii Europejskiej w sprawie C‑468/10 i C‑469/10 Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) (C‑468/10) ,Federación de Comercio Electrónico y Marketing Directo (FECEMD) (C‑469/10) przeciwko Administración del Estado.

Art.7 f) Dyrektywy 95/46 WE ustanawia dwie przesłanki, które muszą być spełnione łącznie, aby przetwarzanie danych było legalne. Po pierwsze przetwarzanie jest konieczne dla  potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub [lub osób trzecich, którym dane są ujawniane. Pod drugie podstawowe prawa i wolności osoby podlegają odpowiedniej ochronie. W hiszpańskim prawie dodano do tego trzeci warunek, że dane te muszą być upowszechnione wcześniej. Sąd orzekł że taka zmiana brzmienia artykułu jest niedopuszczalna. Art. 5 dopuszcza ustanowienie bardziej szczegółowych warunków ustalania legalności przetwarzania danych osobowych jednak nie mogą ich zmieniać. Sąd stwierdził również, że Art.7 f) z uwagi na wystarczającą szczegółowość jest bezpośrednio skuteczny co oznacza, że jednostki mogą się na niego powoływać przed sądami w przypadku niewłaściwej implementacji dyrektywy lub jej braku.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=115205&pageIndex=0&doclang=PL&mode=doc&dir=&occ=first&part=1&cid=745704

Sąd do spraw Służby Publicznej w sprawie F-46/09, kandydat na pracownika kontraktowego w Parlamencie Europejskim przeciwko Parlament Europejski (orzeczenie z dnia 5 lipca 2011)

Sprawa dotyczyła decyzji PE z dnia 19 XII.2008 o wycofaniu oferty pracy dla Skarżącej. Była ona oparta na niepomyślnym wyniku badań lekarskich. Skarżąca podniosła szereg zarzutów, m.in. co do oparcia się PE na wcześniejszych badaniach przeprowadzonych przez Komisję Europejską, które zostały wykonane, gdy skarżąca chciała pracować dla tej instytucji.  W części wyroku dotyczącej ochrony danych SSP odniósł się do kwestii legalności przekazania danych medycznych z KE do PE na potrzeby postępowania rekrutacyjnego. Badając ten aspekt w świetle Rozporządzenia 45/2001 sąd zauważył iż zgodnie z Art. 4.1 cel przetwarzania danych może być zmieniony tylko wtedy jeśli zmiana celu jest dozwolona wyraźnie przez wewnętrzne przepisy instytucji lub organów Unii. Celem badania przez KE była jej własna procedura rekrutacyjna, więc użycie badań na potrzeby PE było zmianą celu. W postępowaniu Sąd ustalił, że taka sytuacja nie była przewidziana w żadnym akcie wydanym przez KE lub Parlament. Ponadto osoba nie została w ogóle poinformowana o tym przekazaniu co jest wymagane przez Art. 27. Następnie sąd zbadał czy przekazanie takich danych było „konieczne” zgodnie z Art. 10 Rozporządzenia 45/2001. Sąd uznał, że można było zastosować inne środki przed zwróceniem się do KE m.in. wezwać skarżącą do przedstawienia określonych informacji na temat swej historii zdrowia oraz zlecić przeprowadzenie koniecznych badań lekarskich własnym służbom. Co więcej wyniki badań KE miałyby ważne przez 1 rok a zostały przekazane do PE po upłynięciu tego okresu. Wobec powyższych argumentów Sąd uchylił sporną decyzję oraz zasądził 25000 Euro odszkodowania dla Skarżącej.

Dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=106842&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=1110613

Trybunał Sprawiedliwości Unii Europejskiej: Sprawa C-614/12 (Orzeczenie z dnia 16 października 2012 r.)

Sprawa dotyczyła rzekomo niewłaściwej implementacji przez Austrię art. 28 ust. 1 dyrektywy 95/46/WE stanowiącego, że organ lub organy, które mają być powołane w celu kontroli stosowania przepisów przyjętych na mocy powyższej dyrektywy „postępują w sposób całkowicie niezależny przy wykonywaniu powierzonych im funkcji”. Komisja Europejska (dalej KE) przedstawiła trzy zarzuty, dotyczące: statusu członka zarządzającego Komisji ds. Ochrony Danych (dalej DSK), który jest jednocześnie urzędnikiem federalnym, braku odrębności organizacyjnej DSK w stosunku do Urzędu Kanclerskiego oraz prawa przysługującego Kanclerzowi Austrii do uzyskania informacji na temat wszelkich aspektów zarządzania tym urzędem. Trybunał poparł wszystkie zarzuty KE. Odnośnie zarzutu pierwszego, DSK jest 6-ścio osobowym kolegialnym urzędem, przy czym członek zarządzający, odpowiedzialny za bieżące sprawy urzędu, jest urzędnikiem federalnym. W związku z tym, zdaniem Trybunału, „niezależnie od tego do jakiego organu federalnego należy członek zarządzający DSK, bezspornie istnieje pomiędzy nim oraz rzeczonym organem federalnym stosunek służbowy umożliwiający przełożonemu tegoż członka zarządzającego nadzorowanie jego działalności.” Istotny w tym zakresie jest fakt, że zgodnie z ustawą - prawo o służbie urzędniczej (dalej BDB), „przełożony ma szerokie uprawnienia kontrole względem urzędników należących do jego departamentu.” Tymczasem art. 28 ust. 1 dyrektywy 95/46/WE „stoi na przeszkodzie nadzorowi służbowemu, jakiemu podlega ów członek (…)”, choćby z tego względu, że przełożony ma wpływ na jego awans co mogłoby prowadzić do „przewidywalnego posłuszeństwa”. Jeśli chodzi o zarzut drugi, Urząd Kanclerski zapewnia DSK konieczne wyposażenie i personel. W związku z tym w skład urzędu DSK wchodzą urzędnicy Urzędu Kanclerskiego, którzy podlegają nadzorowi służbowemu tej ostatniej instytucji. Jak wskazano powyżej „taki nadzór ze strony państwa jest nie do pogodzenia z wymogiem niezależności”. W odniesieniu do zarzutu trzeciego, zdaniem Trybunału prawo do uzyskania informacji przez Kanclerza Austrii „może spowodować poddanie DSK bezpośredniemu wpływowi” Kanclerza. Istotne jest tutaj także to, że „że prawo do uzyskania informacji jest bardzo szerokie gdyż dotyczy „wszelkich aspektów zarządzania [DSK] i po drugie, że jest ono bezwarunkowe.” W związku z powyższym Trybunał uznał, że „Republika Austrii uchybiła zobowiązaniom, które ciążą na niej na mocy art. 28 ust. 1 akapit drugi dyrektywy 95/46.”

Wyrok dostępny pod adresem: http://curia.europa.eu/juris/document/document.jsf?text=&docid=128563&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=359958

Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie retencji danych (sprawy połączone C-203/15 i C-698/15)

W dniu 21 grudnia 2016 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawach połączonych C-203/15 Tele2 Sverige AB/ Post-ochtelestyrelsen i C-698/15 Secretary of State for the Home Department/Tom Watson i in., w którym stwierdził, że państwa członkowskie nie mogą nakładać na operatorów telekomunikacyjnych ogólnego obowiązku zatrzymywania danych.

TSUE wskazał, że prawo UE zabrania masowego zatrzymywania wszystkich danych dotyczących ruchu w sieci i lokalizacji. Tym niemniej państwa członkowskie mają możliwość wprowadzenia przepisów prawa, które pozwalają na retencję niektórych danych w celu zwalczania poważnej przestępczości. Jednak możliwość zatrzymania danych, zarówno w odniesieniu do zakresu danych, środków komunikacji, osób, których dane dotyczą, a także okresu retencji, musi być ograniczona tylko do tego co jest bezwzględnie konieczne. Dodatkowo prawo krajowe musi przewidywać warunki dostępu organów krajowych do zatrzymanych danych, w tym uprzednią kontrolę dostępu przez niezależny organ oraz obowiązek przechowywania danych na terytorium UE.

Należy przypomnieć, że TSUE w wyroku w sprawie Digital Rights Ireland z 2014 r. stwierdził nieważność dyrektywy 2006/24/WE w sprawie zatrzymywania generowanych lub przetworzonych danych w związku ze świadczeniem ogólnie dostepnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE, tzw. dyrektywy retencyjnej, gdyż ingerencja w prawa podstawowe wynikająca z ogólnego obowiązku zatrzymywania danych o ruchu oraz danych dotyczących lokalizacji wykracza poza to, co jest bezwzględnie konieczne. W następstwie wydania wyroku Digital Rights Ireland do TSUE wpłynęły dwie sprawy dotyczące nałożonego w Szwecji i w Zjednoczonym Królestwie na podmioty świadczące usługi telekomunikacyjne ogólnego obowiązku zatrzymywania danych dotyczących łączności elektronicznej, który to obowiązek został ustanowiony w unieważnionej dyrektywie retencyjnej.

W konsekwencji TSUE orzekł w tych sprawach, że krajowe przepisy prawne państw członkowskich, które przewidują masowe zatrzymywanie wszystkich danych o ruchu i lokalizacji są niezgodne z prawem Unii Europejskiej. Jednocześnie TSUE wskazał, że wszystkie przyjęte środki krajowe dotyczące zatrzymywania danych i dostępu do nich dla organów ścigania, wchodzą w zakres dyrektywy 2002/58/WE dotyczacej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej tzw. dyrektywa o prywatności. Nalezy przypomnieć, że dyrektywa o prywatności przewiduje mozliwość wprowadzenia pewnych ograniczeń poufności komunikacji, tym niemniej wyjatki te nie moga być regułą i nie mogą dotyczyć wszytskich danych.  

Dodatkowo TSUE uznał ingerencję będącą wynikiem stosowania przepisów krajowych przewidujących zatrzymywanie danych o ruchu i o lokalizacji za szczególnie poważną, ale może ona być uzasadniona ze względu na konieczność zwalczania poważnej przestępczości. Tym niemniej przepisy krajowe  mogą ustanawiać obowiązek indywidualnego zatrzymywania danych w celu zwalczania poważnej przestępczości, pod warunkiem, że takie zatrzymywanie w zakresie dotyczącym danych podlegających zatrzymywaniu, stosowanych środków łączności, kręgu zaangażowanych osób oraz przyjętego okresu przechowywania danych − nie będzie wykraczać poza to, co jest absolutnie konieczne.

 Zdaniem Trybunału wszystkie przyjęte w tym względzie przepisy muszą być jednoznaczne i szczegółowe oraz przewidywać gwarancje wystarczające do tego, aby chronić te dane przed ryzykiem ich nadużycia. W szczególności takie przepisy powinny opierać się na obiektywnych elementach umożliwiających namierzenie osób, których dane mogą mieć związek z poważną przestępczością. W zakresie dotyczącym dostępu odpowiednich organów krajowych do przechowywanych danych TSUE stwierdził, że przepisy krajowe nie mogą ograniczać się do ustanowienia jedynie  wymogu, by dostęp ten uwzględniał jeden z realizowanych przez dyrektywę celów, polegający na prowadzeniu walki z poważną przestępczością. Muszą one też ustanawiać materialne i proceduralne warunki takiego dostępu. Przepisy te powinny opierać się na obiektywnych kryteriach umożliwiających określenie okoliczności i warunków przyznania dostępu do tych danych właściwym organom krajowym.

Uwzględniając cel polegający na zwalczaniu poważnej przestępczości, dostęp ten może co do zasady zostać przyznany jedynie odnośnie do danych dotyczących osób podejrzewanych o planowanie, popełnianie czy też dopuszczenie się już poważnego przestępstwa bądź też zaangażowanych w taki czy inny sposób w takie przestępstwo. Trybunał uznał ponadto za istotne, aby dostęp do przechowywanych danych podlegał, za wyjątkiem pilnych przypadków, uprzedniej kontroli sprawowanej przez sąd lub inny niezależny organ.

Uwzględniając ilość tych danych, ich znaczenie oraz niebezpieczeństwo związane z uzyskaniem bezprawnego do nich dostępu, przepisy krajowe powinny ustanawiać obowiązek ich przechowywania na obszarze Unii, a także – obowiązek ich nieodwracalnego niszczenia po upływie okresu ich przechowywania.

Pełna treść wyroku w języku angielskim dostępna jest na stronie internetowej Trybunału Sprawiedliwości.