TSUE: czy sąd udostępniający dane ma prawo monitorować zgodność z RODO

W tej sprawie Trybunał Sprawiedliwości Unii Europejskiej będzie odpowiadała na bardzo ciekawe pytania skierowane do niego przez pewien Bułgarski sąd rejonowy.

Pamiętają Państwo o sprawie wycieku ogromnej liczby rekordów – ponad 6 000 000 (tj. ponad 82% wszystkich obywateli tego kraju) – z bułgarskiej Krajowej Agencji ds. Przychodów Skarbowych (NAP).

Za to popełnione naruszenie Komisija za zasztita na licznite danni (komisja ds. ochrony danych osobowych), będąca w Bułgarii głównym organem nadzorczym, o którym mowa w art. 51 RODO, nałożyła na NAP grzywnę. Wydano 20 obligatoryjnych nakazów w celu przyjęcia przez NAP środków  technicznych i organizacyjnych, tak aby zapobiec wyciekom danych w przyszłości.

Obecnie NAP wszczęła kontrolę dotyczącą obywatela Bułgarii w przedmiocie uchylania się od płacenia podatku dochodowego jako osoba fizyczna. NAP ustaliła, że podatnik ten posiadał siedem rachunków bankowych w różnych bułgarskich instytucjach finansowych.

Zwróciła się ona do niego o przedstawienie danych dotyczących sald na jego rachunkach bankowych na dzień 1 stycznia 2020 r. i dzień 31 grudnia 2021 r. lub o złożenie oświadczenia, że wyraża zgodę na ujawnienie tajemnicy bankowej.

Ponieważ podatnik ten nie przedstawił wspomnianych danych ani wymaganego oświadczenia, NAP złożyła do sądu odsyłającego wniosek o udzielenie zezwolenia na ujawnienie tajemnicy bankowej dotyczącej sald na tych rachunkach bankowych.

Sąd Rejonowy, który zadał pytania prejudycjalne, miał za zadanie rozpoznać wniosek NAP o udzielenie nakazu ujawnienia tajemnicy bankowej.

Jednak Sąd ten nabrał pewnych wątpliwości  – dotyczyły one tego, czy odbiorca danych tj. NAP będzie gwarantować bezpieczeństwo tak pozyskanych danych osobowych. Sąd ten wskazał, że:

nie ma informacji na temat tego, czy przyczyny, które doprowadziły do bezprawnej publikacji danych osobowych, zostały usunięte, a także jakie środki podjęła NAP, aby zapobiec dalszym zagrożeniom tego rodzaju.

TSUE zmierzy się z udzieleniem odpowiedzi na następujące pytania czy:

organ sądowy, który zezwala innemu organowi państwowemu na dostęp do danych dotyczących sald na rachunkach bankowych podatników, określa cele lub sposoby przetwarzania danych osobowych, w związku z czym jest „administratorem” danych osobowych?

organ sądowy, który zezwala innemu organowi państwowemu na dostęp do danych dotyczących sald na rachunkach bankowych podatników, jest odpowiedzialny za monitorowanie stosowania tego rozporządzenia, w związku z czym ma status „organu nadzorczego” w odniesieniu do tych danych?

organ sądowy, który zezwala innemu organowi państwowemu na dostęp do danych dotyczących sald na rachunkach bankowych podatników, jest zobowiązany – w przypadku istnienia informacji wskazujących na wcześniejsze naruszenie bezpieczeństwa danych osobowych przez organ, któremu ma zostać udzielony dostęp – do zażądania informacji o podjętych środkach ochrony danych i do dokonania oceny adekwatności tych środków przy podejmowaniu decyzji w sprawie udzielenia dostępu?

gdy w prawie krajowym jednego z państw Unii przewidziano, że określone kategorie danych mogą zostać ujawnione wyłącznie po uzyskaniu zezwolenia sądu, sąd udzielający tego zezwolenia jest zobowiązany z urzędu do zapewnienia ochrony podmiotów, których dane ujawnia, poprzez zobowiązanie organu publicznego żądającego dostępu do danych, co do którego wiadomo, że dopuścił się naruszenia bezpieczeństwa danych osobowych i udzielonych mu wiążących zaleceń organu określonego w art. 51 ust. 1 RODO, do przedstawienia informacji dotyczących wykonania nałożonych na niego w decyzji administracyjnej środków, o których mowa w art. 58 ust. 2 lit. d) RODO?