2018-06-05
WYROK W SPRAWIE C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH  (link curia.europa.eu PL)
1) pojęcie „administratora danych” w rozumieniu tego przepisu obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym
2) w przypadku gdy przedsiębiorstwo z siedzibą poza Unią Europejską ma kilka oddziałów w różnych państwach członkowskich, organ nadzorczy państwa członkowskiego może wykonywać uprawnienia przyznane mu przez art. 28 ust. 3 tej dyrektywy w stosunku do oddziału tego przedsiębiorstwa, znajdującego się na terytorium tego państwa członkowskiego
3) gdy organ nadzorczy państwa członkowskiego zamierza wykonać w stosunku do podmiotu mającego siedzibę na terytorium tego państwa członkowskiego uprawnienia interwencyjne, o których mowa w art. 28 ust. 3 tej dyrektywy, z powodu naruszeń przepisów o ochronie danych osobowych popełnionych przez administrującą tymi danymi osobę trzecią mającą siedzibę w innym państwie członkowskim, ów organ nadzorczy jest właściwy do dokonania oceny, w sposób niezależny od organu nadzorczego tego ostatniego państwa członkowskiego, zgodności z prawem takiego przetwarzania danych i może wykonywać przysługujące mu uprawnienia interwencyjne w stosunku do podmiotu mającego siedzibę na jego terytorium bez uprzedniego zwrócenia się do organu nadzorczego drugiego państwa członkowskiego o podjęcie działań.

2017-12-20
WYROK W SPRAWIE C-434/16 Peter Nowak przeciwko Data Protection Commissioner (link curia.europa.eu PL)
Pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego i ewentualnie naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi stanowią dane osobowe tej przystępującej do egzaminu osoby, do których ma ona co do zasady prawo dostępu

2017-05-04
WYROK W SPRAWIE C-13/16 Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde przeciwko Rīgas pašvaldības SIA Rīgas satiksme (link curia.europa.eu PL)
Artykuł 7 lit. f) dyrektywy 95/46/WE należy interpretować w ten sposób, że nie nakłada on obowiązku przekazania danych osobowych osobie trzeciej, aby umożliwić jej dochodzenie odszkodowania przed sądem cywilnym za szkodę wyrządzoną przez osobę objętą ochroną tych danych. Jednakże art. 7 lit. f) tej dyrektywy nie stoi na przeszkodzie takiemu przekazaniu na podstawie prawa krajowego.

2017-03-09
OŚWIADCZNIE PRASOWE
WYROK W SPRAWIE C-398/15Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce przeciwko Salvator Mannim (link curia.europa.eu PL)/
Trybunał uznał, że nie istnieje prawo do bycia zapomnianym w odniesieniu do danych osobowych figurujących w rejestrze spółek. Jednakże po upływanie wystarczająco długiego czasu od rozwiązania danej spółki państwa członkowskie mogą przewidzieć ograniczony dostęp osób trzecich do takich danych w wyjątkowych przypadkach.

2017-01-25
WYROK W SPRAWIE C-375/15 BAWAG PSK Bank przeciwko Verein für Konsumenteninformation (link curia.europa.eu PL)?
Artykuł 41 ust. 1 i art. 44 ust. 1 dyrektywy 2007/64/WE w sprawie usług płatniczych w ramach rynku wewnętrznego, w związku z art. 4 pkt 25 dyrektywy 2007/64 należy interpretować w ten sposób, że zmiany w informacjach i warunkach, o których mowa w art. 42 omawianej dyrektywy, oraz zmiany w umowie ramowej, które dostawca usług płatniczych przekazuje użytkownikowi tych usług przez skrzynkę poczty elektronicznej na stronie internetowej bankowości elektronicznej, można uznać za dostarczone na trwałym nośniku w rozumieniu tych przepisów tylko wtedy, gdy zostaną spełnione poniższe dwie przesłanki:
– rzeczona strona internetowa daje temu użytkownikowi możliwość przechowywania informacji adresowanych osobiście do niego w sposób umożliwiający dostęp do nich
i odtworzenie ich w niezmienionej postaci we właściwym okresie, bez możliwości jednostronnego wprowadzenia przez tego dostawcę lub przez innego przedsiębiorcę zmian
do ich treści, oraz
– jeżeli użytkownik usług płatniczych jest zmuszony wejść na tę stronę internetową, aby zapoznać się z nowymi informacjami, przekazaniu tych informacji towarzyszy aktywne
zachowanie dostawcy usług płatniczych zmierzające do podania do wiadomości użytkownika istnienia i dostępności tych informacji na wskazanej stronie internetowej.
Jeżeli użytkownik usług płatniczych jest zmuszony wejść na taką stronę internetową, aby zapoznać się z rozpatrywanymi informacjami, są one temu użytkownikowi jedynie udostępnione w rozumieniu art. 36 ust. 1 zdanie pierwsze dyrektywy 2007/64, zmienionej dyrektywą 2009/111, gdy przekazanie tych informacji nie idzie w parze z takim aktywnym zachowaniem dostawcy usług płatniczych.

2016-10-19
WYROK W SPRAWIE C‑582/14 Patrick Breyer (link curia.europa.eu PL)
1) Artykuł 2 lit. a) dyrektywy 95/46/WE należy interpretować w ten sposób, że dynamiczny adres protokołu internetowego zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby.
2) Artykuł 7 lit. f) dyrektywy 95/46 należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu państwa członkowskiego, na podstawie którego dostawca usług medialnych online może gromadzić i wykorzystywać dane osobowe użytkownika tych usług – w braku jego zgody – tylko wtedy, jeżeli takie gromadzenie i wykorzystywanie są konieczne do umożliwienia konkretnego skorzystania ze wspomnianych usług przez tego użytkownika i zafakturowania kosztów takiego korzystania, przy czym cel polegający na zapewnieniu ogólnej funkcjonalności tychże usług nie może uzasadniać korzystania z tych danych po zakończeniu przeglądania danych mediów.

2016-01-28
SUMMARIES OF EU COURT DECISIONS RELATING TO DATA PROTECTION 2000-2015

2014-05-13
WYROK W SPRAWIE C‑131/12 Google Spain SL, Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD), Mario Costeja González (link curia.europa.eu PL)
1) Artykuł 2 lit. b) i d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w taki sposób, że po pierwsze, prowadzoną przez wyszukiwarki internetowe działalność, która polega na zlokalizowaniu informacji opublikowanych lub zamieszczonych w Internecie przez osoby trzecie, indeksowaniu ich w sposób automatyczny, czasowym przechowywaniu takich informacji i wreszcie udostępnianiu ich internautom w sposób uporządkowany zgodnie z określonymi preferencjami, w sytuacji gdy informacje takie zawierają dane osobowe, należy uznać za „przetwarzanie danych osobowych” w rozumieniu art. 2 lit. b) tej dyrektywy, oraz po drugie, że operatora tej wyszukiwarki internetowej należy uznać za „administratora” odpowiedzialnego za przetwarzanie danych w rozumieniu tego art. 2 lit. d).
2) Artykuł 4 ust. 1 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że przetwarzanie danych osobowych ma miejsce w ramach działalności gospodarczej prowadzonej przez zakład administratora danych odpowiedzialnego za to przetwarzanie na terytorium danego państwa członkowskiego w rozumieniu tego przepisu, jeśli operator wyszukiwarki internetowej ustanawia w danym państwie członkowskim oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych oferowanych za pośrednictwem tej wyszukiwarki, a działalność tego oddziału lub tej spółki zależnej jest skierowana do osób zamieszkujących to państwo.
3) Artykuł 12 lit. b) oraz art. 14 akapit pierwszy lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że ustanowione w tych przepisach normy są przestrzegane, a przewidziane w nich warunki rzeczywiście spełnione wówczas, gdy operator wyszukiwarki internetowej jest zobowiązany do usunięcia z wyświetlanej listy wyników wyszukiwaniamającego za punkt wyjścia imię i nazwisko danej osoby linków do publikowanych przez osoby trzecie stron internetowych zawierających dotyczące tej osoby informacje, również w przypadku gdy to imię czy nazwisko czy też te informacje nie zostały uprzednio czy też jednocześnie usunięte z tych stron internetowych, i, w odpowiednim przypadku, nawet jeśli ich publikacja na tych stronach jest zgodna z prawem.
4) Artykuł 12 lit. b) i art. 14 akapit pierwszy lit. a) dyrektywy 95/46 należy interpretować w taki sposób, że w ramach oceny tego, czy spełnione zostały warunki zastosowania tych przepisów, należy w szczególności przeanalizować kwestię, czy osoba, której dotyczą dane, ma prawo do tego, aby dana dotycząca jej informacja nie była już, w aktualnym stanie rzeczy, powiązana z jej imieniem i nazwiskiem poprzez listę wyświetlającą wyniki wyszukiwania mającego za punkt wyjścia to imię i nazwisko, przy czym stwierdzenie, iż takie prawo przysługuje, pozostaje bez związku z tym, czy zawarcie na tej liście wyników wyszukiwania danej informacji wyrządza szkodę tej osobie. Ponieważ osoba ta może, ze względu na przysługujące jej i przewidziane w art. 7 i 8 karty prawa podstawowe, zażądać, aby dana informacja nie była już podawana do wiadomości szerokiego kręgu odbiorców poprzez zawarcie jej na takiej liście wyników wyszukiwania, prawa te są co do zasady nadrzędne nie tylko wobec interesu gospodarczego operatora wyszukiwarki internetowej, lecz również wobec interesu, jaki ten krąg odbiorców może mieć w znalezieniu rzeczonej informacji w ramach wyszukiwania prowadzonego w przedmiocie imienia i nazwiska tej osoby. Taka sytuacja nie ma jednak miejsca, jeśli ze szczególnych powodów, takich jak rola odgrywana przez tę osobę w życiu publicznym, należałoby uznać, że ingerencja w prawa podstawowe tej osoby jest uzasadniona nadrzędnym interesem tego kręgu odbiorców polegającym na posiadaniu, dzięki temu zawarciu na liście, dostępu do danej informacji.

2003-11-06
WYROK W SPRAWIE C‑101/01 Bodil Lindqvist (link curia.europa.eu PL)
1) Operacja polegająca na zamieszczeniu na stronie internetowej danychróżnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi „przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany” w rozumieniu art. 3 ust. 1 dyrektywy 95/46/WE
2) Takie przetwarzanie danych osobowych nie jest objęte żadnym z wyłączeń określonych w art. 3 ust. 2 dyrektywy 95/46.
3) Informacja, że dana osoba doznała urazu stopy i przebywa na zwolnieniu lekarskim w niepełnym wymiarze, stanowi dane osobowe dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46.
4) „Przekazywanie danych do państw trzecich” w rozumieniu art. 25 dyrektywy 95/46 nie ma miejsca, w przypadku gdy osoba, która znajduje się w jednym z państw członkowskich, zamieszcza na stronie internetowej, przechowywanej przez dostawcę usług hostingowych mającego swoją siedzibę w tym samym państwie lub w innym państwie członkowskim, dane osobowe, czyniąc je w ten sposób dostępnymi dla każdego, kto połączy się z Internetem, w tym również dla osób, które znajdują się w państwie trzecim.

2017-05
POJĘCIE DANYCH OSOBOWYCH W OGÓLNYM ROZPORZĄDZENIU O OCHRONIE DANYCH OSOBOWYCH
– glosa do wyroku TSUE z 19.10.2016. r. w sprawie C-582/14 Prtick Breyer
Autor: Paweł Litwiński, Warszawa, 2017, Europejski Przegląd Sądowy nr 5/2017 (140) Wolters Kluwer Poslka S.A. s. 49

2013-01-28
UDOSTĘPNIANIE DANYCH OSOBOWYCH NA POTRZEBY POSTĘPOWAŃ CYWILNYCH
Autor: Paweł Litwiński, Toruń, 2016, ITC Law Review, nr 1/2013, s. 24-37