Ciąg składający się z kombinacji liter i znaków, taki jak TC String (Transparency and Consent String), zawierający informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie dotyczących go danych osobowych przez dostawców stron internetowych lub aplikacji, a także przez brokerów takich danych i przez platformy reklamowe, stanowi dane osobowe w rozumieniu tego przepisu w zakresie, w jakim – gdy za pomocą rozsądnie prawdopodobnych sposobów można go powiązać z identyfikatorem, takim jak w szczególności adres IP urządzenia owego użytkownika – umożliwia on identyfikację osoby, której dane dotyczą.

Rzecznik Generalny uznał, że prawo Unii Europejskiej należy interpretować w ten sposób, że nie stoi ono na przeszkodzie uregulowaniu krajowemu pozwalającemu na przechowywanie danych przez dostawców usług łączności elektronicznej i na uzyskanie dostępu do nich przez organ administracyjny, któremu powierzono ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw w Internecie, ograniczonego do danych dotyczących tożsamości cywilnej odpowiadających adresom IP, tak aby organ ten mógł zidentyfikować posiadaczy tych adresów podejrzanych o popełnienie tych naruszeń i aby mógł podjąć w razie potrzeby działania wobec nich, bez poddania tego dostępu uprzedniej kontroli sądu lub niezależnego organu administracyjnego, jeśli te dane stanowią jedyny środek dochodzenia pozwalający na identyfikację osoby, której adres ten był przypisany w chwili popełnienia naruszenia.

Zasada celowości nie stoi na przeszkodzie rejestracji i przechowywaniu przez administratora danych w bazie danych stworzonej w celu przeprowadzania testów i korygowania błędów danych osobowych zgromadzonych wcześniej i przechowywanych w innej bazie, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, dla których dane osobowe zostały pierwotnie zebrane.

Ogólne i niezróżnicowane zatrzymywanie danych o ruchu przez operatorów świadczących usługi łączności elektronicznej przez okres roku od daty ich zarejestrowania nie jest dozwolone, jako środek zapobiegawczy, do celów zwalczania przestępstw związanych z nadużyciami na rynku, w tym wykorzystywania informacji poufnych.

Europejski Trybunał Sprawiedliwości Unii Europejskiej dnia 1 sierpnia 2022 r. wydał orzeczenie wyjaśniające, w którym wskazuje, iż pośrednie ujawnienie danych dotyczących orientacji seksualnej jest chronione na mocy art. 9 RODO.

Wyrok w sprawie monitorowania e-mail poczty personelu

TSUE stwierdził, że dyrektywa o handlu elektronicznym nie stoi na przeszkodzie temu, aby nakazano dostawcy usług hostingowych przerwanie naruszenia prawa lub zapobieżenie mu, w szczególności poprzez usunięcie informacji o bezprawnym charakterze lub poprzez uniemożliwienie dostępu do nich

TSUE przyznał, że w sytuacji gdy operator wyszukiwarki uwzględnia wniosek o usunięcie linków na podstawie wskazanych przepisów, jest on zobowiązany do usunięcia owych linków nie ze wszystkich wersji swojej wyszukiwarki, ale z tych wersji wyszukiwarki, które odpowiadają wszystkim państwom członkowskim. W przypadku gdy osoba, której dane dotyczą skorzysta z prawa do bycia zapomnianym, z listy wyników wyświetlanej w wyszukiwarce w następstwie wyszukiwania według imienia i nazwiska tej osoby, trzeba usunąć linki prowadzące do stron, zawierających informacje na temat tej osoby.

Operator wyszukiwarki jest administratorem danych osobowych w zakresie czynności przetwarzania jakim jest odsyłanie do strony zawierającej dane osobowe i wyświetlanie tego linku na liście wyników. Tym samym podlega regulacji przepisów o ochronie danych osobowych, w tym w zakresie spełniania przesłanek legalizacyjnych przetwarzania i zakazu przetwarzania danych osobowych wrażliwych

Zgoda użytkownika witryny internetowej na instalowanie i udostępnianie plików cookie na jego urządzeniu, która została udzielona za pomocą domyślnie zaznaczonego okienka wyboru, którego zaznaczenie użytkownik ten musi usunąć, aby odmówić udzielenia zgody, nie jest ważna.

Operator witryny internetowej wyposażonej w przycisk „Lubię to” Facebooka może być wspólnie z Facebookiem administratorem w odniesieniu do gromadzenia i przekazywania Facebookowi danych osobowych osób odwiedzających jego witrynę. Trybunał podkreślił, że operator witryny internetowej jako (współ) administrator musi przekazać w momencie gromadzenia danych pewne informacje tym osobom odwiedzającym stronę internetową.

Trybunał doszedł do wniosku że nagrywanie policjantów podczas wykonywania przez nich czynności służbowych (przyjmowania zeznań) oznacza przetwarzanie danych osobowych i podlega pod przepisy RODO. Jednocześnie jednak przyznał, że można pod pewnymi warunkami być zwolnionym z obowiązku stosowania przepisów o ochronie danych na zasadach wyjątku dziennikarskiego

Trybunał doszedł do wniosku że pojęcie administratora danych obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym. Administrator fanpage’a i Facebook mogą wspólnie ponosić odpowiedzialność za przetwarzanie danych użytkowników fanpage’a.

1. Article 15(1) of Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), as amended by Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter of Fundamental Rights of the European Union, must be interpreted as precluding national legislation which, for the purpose of fighting crime, provides for general and indiscriminate retention of all traffic and location data of all subscribers and registered users relating to all means of electronic communication.

Dynamiczny adres protokołu internetowego zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby.

Artykuł 4 ust. 3 rozporządzenia nr 2252/2004 należy interpretować w ten sposób, iż nie wymaga on od państw członkowskich zagwarantowania, że dane biometryczne, które zostały pobrane i są przechowywane zgodnie z przepisami tego rozporządzenia, nie będą pobierane, przetwarzane i wykorzystywanie w celach innych niż wydawanie paszportów lub dokumentów podróży

Artykuł 8 ust. 3 lit. e) dyrektywy 2004/48/WE należy interpretować w ten sposób, że stoi on na przeszkodzie przepisowi krajowemu takiemu jak ten w postępowaniu głównym, który zezwala instytucji bankowej, w sposób nieograniczony i bezwarunkowy, na odmowę udzielenia informacji, w kontekście art. 8 ust. 1 lit. c) tej dyrektywy, dotyczącej nazwiska i adresu posiadacza rachunku, z powołaniem się na tajemnicę bankową.

Artykuły 10, 11 i 13 dyrektywy 95/46/WE stoją na przeszkodzie środkom krajowym, takim jak rozpatrywane w postępowaniu głównym, które pozwalają organowi administracji publicznej państwa członkowskiego na przekazywanie danych osobowych innemu organowi administracji publicznej i na ich dalsze przetwarzanie, bez informowania osób, których dane dotyczą, o tymże przekazaniu i przetwarzaniu.

Transgraniczny przepływ danych osobowych jest koniecznym warunkiem rozwoju handlu międzynarodowego; ochrona osób, jaką niniejsza dyrektywa gwarantuje we Wspólnocie, nie stanowi przeszkody dla przekazywania danych osobowych do państw trzecich, które zapewniają odpowiedni stopień ochrony; prawidłowość [odpowiedniość] stopnia ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazywania danych lub zestawu takich operacji. Z drugiej strony należy zakazać przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony.

Wykorzystywanie systemu kamer przechowującego zapis obrazu osób na sprzęcie nagrywającym w sposób ciągły, takim jak dysk twardy, zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu, który to system monitoruje również przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu art. 3 ust. 2 dyrektywy 95/46/WE .