ACRESIA

Federální soudní dvůr (Bundesgerichtshof), zveřejnil rozhodnutí upřesňující rozsah žádostí o přístup k osobním údajům (DSAR). Soud rozhodl, že článek 15 obecného nařízení EU o ochraně osobních údajů (GDPR) má širší rozsah, než se v Německu dříve chápalo. Podle rozhodnutí soudu se článek 15 GDPR vztahuje také na již známé informace o subjektu údajů, předchozí korespondenci a poznámky k interním procesům nebo interní komunikaci související se subjektem údajů.

Fakta

Žalovanou stranou byla životní pojišťovna a žadatel (žalobce) jejich pojištěncem. V první instanci žalobce odkázal na zákony před účinností GDPR a případ prohrál; na druhý pokus poslal žádost o přístup k osobním údajům (DSAR) dle článku 15 GDPR a požadoval informace o všech svých osobních údajích, které žalovaná strana uchovává, a své požadavky podrobněji upřesnil. Soud druhého stupně, krajský soud v Kolíně, žalobu zamítl, protože měl za to, že žalovaný poskytl veškeré informace požadované podle článku 15 GDPR. Rozhodl, že žalobce neprokázal neúplnost poskytnutých informací.. Žalobce se proti tomuto rozhodnutí odvolal k federálnímu soudu.

Federální soud rozhodl, že žalovaný na DSAR nereagoval adekvátně, a dále upřesnil rozsah práva na přístup subjektu údajů podle článku 15 GDPR. Soud zejména zdůraznil v rozhodnutí toto:

Omezení pouze na „základní životopisné údaje“ není relevantní
Pokud jde o rozsah práva přstupu subjektu údajů, federální soud odkazuje na právní definici osobních údajů v čl. 4 odst. 1 GDPR. Poukazuje na to, že tento termín je třeba vykládat široce a neomezuje se pouze na citlivé nebo soukromé informace, ale potenciálně zahrnuje všechny druhy informací, objektivní i subjektivní, ve formě stanovisek nebo hodnocení, za předpokladu, že se tyto informace týkají subjektu údajů. Jde tedy o situaci, kdy lze informaci spojit s konkrétní osobou díky jejímu obsahu, účelu nebo dopadu.

Znalost inforrmací subjektem údajů není relevantní
Federální soud dále uvádí, že subjekt údajů může uplatnit své právo přístupu i na konkrétní korespondenci  mezi stranami (včetně osobních údajů). Podle bodu 63 odůvodnění 63 věty 1 GDPR má právo na přístup zajistit, že „subjekt údajů je o zpracování informován a mohl si ověřit jeho zákonnost“. Navíc z bodu 63 odůvodnění 1 a čl. 12 odst. 5 věty druhé GDPR vyplývá, že o informace lze žádat opakovaně. Subjekt údajů proto mohl požádat o poskytnutí informací, i když je mu známa předchozí korespondence.

Právo přístupu se týká také osobních údajů zahrnutých v „interních procesech“
Federální soud také rozhodl, že musí být rovněž poskytnuty informace vedené v interních poznámkách žalovaného, například o zdravotním stavu subjektu údajů nebo o vyjádřeních subjektu údajů v telefonních rozhovorech. Prohlášení žalovaného, že se jednalo o „interní procesy“, je irelevantní. Znění ani účel čl. 15 odst. 1 GDPR nestanoví, že osobní údaje lze dělit na interní a externí.

Posouzení právního rámce nepředstavuje osobní údaje
Závěrem federální soud odkazuje na judikaturu ESD (rozsudek ze dne 17. července 2014, čj. C-141/12 a C-372/12), podle kterého právní analýza, i když může obsahovat osobní údaje, nepředstavuje osobní údaje jelikož se jedná o informace o posouzení a aplikaci práva na situaci subjektu údajů, za předpokladu, že je poskytnut souhrn uchovávaných informací o osobních údajích. Právní posouzení plateb provizí provedených správcem třetím stranám, přestože obsahovalo jména subjektů údajů, není podle judikatury ESD relevantním obsahem žádosti o přístup k osobním údajům.

Německý federální soud upustil od postoupení rozhodnutí ESD na základě toho, že definice toho, co představuje „osobní údaje“, je jasně upravena judikaturou ESD.

Závěr

Svým rozhodnutím federální soud rozšířil rozsah informací, které musí být v Německu poskytnuty v reakci na žádost o přístup k osobním údajům (DSAR).

Rozsudek federálního soudu není nijak překvapivý, protože pouze objasňuje a upřesňuje, že musí být poskytnuty všechny osobní údaje týkající se subjektu údajů. Organizace proto musí na žádosti subjektů údajů reagovat poskytnutím komplexních informací, které budé vyžadovat vyšší úsilí. To také přináší riziko, že žádosti o přístup k osobním údajům (DSAR) budou použity k „lovu“ důkazů ve vedlejších sporech a nárocích. V tomto ohledu se společnostem doporučuje pečlivě prozkoumat možná omezení a vyloučení žádosti o přístup subjektu údajů z důvodu nepřiměřenosti nebo převažujících práv a svobod třetích stran. Například by zaměstnavatelé mohli požadovat, aby zaměstnanci upřesnili činnost zpracování nebo informace, které žádají, místo aby poskytovali všechny informace. Federální soud se k těmto otázkám nevyjádřil a velmi pravděpodobně se v blízké budoucnosti stanou předmětem sporů mezi subjekty údajů a správci.

Zdroj