Každá osoba má právo znát datum a důvody nahlížení do svých osobních údajů.
Rozhodnutí Soudního dvora Evropské unie ve věci C-579/21 | Banka Pankki S
Každá osoba má právo znát datum a důvody nahlížení do svých osobních údajů.
Skutečnost, že správce údajů se zabývá bankovním podnikáním, nemá vliv na rozsah tohoto práva.
Okolnosti
V roce 2014 se zaměstnanec banky Pankki S, který byl zároveň zákazníkem této banky, dozvěděl, že jeho osobní údaje byly konzultovány dalšími členy personálu banky několikrát mezi 1. listopadem a 31. prosincem 2013. Jelikož měl pochybnosti ohledně zákonnosti těchto konzultací, zaměstnanec Pankki S, který byl mezitím propuštěn ze své pozice v bance, požádal 29. května 2018, aby mu byla sdělena totožnost osob, které konzultovaly jeho zákaznické údaje, přesná data konzultací a účely, pro které byly tyto údaje zpracovávány.
V odpovědi ze dne 30. srpna 2018 odmítla banka Pankki S zveřejnit totožnost zaměstnanců, kteří provedli konzultační operace s odůvodněním, že tyto informace představují osobní údaje těchto zaměstnanců. Na druhé straně Pankki S poskytla další podrobnosti o konzultačních operacích provedených svým interním auditním oddělením, uvádějí, že zákazníkem banky, kterého byl žadatel klientem, byl věřitel se stejným příjmením jako žadatel. Banka tedy chtěla objasnit, zda žadatel a dotyčný dlužník jsou jednou a tou samou osobou a zda mohlo dojít k neoprávněnému střetu zájmů. Banka Pankki S dodala, že objasnění tohoto problému vyžadovalo zpracování dotčených údajů, přičemž uvedla, že každý člen personálu banky, který tyto údaje zpracoval, učinil pro interní auditní oddělení prohlášení o důvodech zpracování těchto údajů. Banka dále uvedla, že tyto konzultace umožnily vyloučit jakékoli podezření na střet zájmů v souvislosti se žadatelem.
Žadatel se obrátil na Úřad pro ochranu osobních údajů ve Finsku, a žádal, aby banka Pankki S poskytla požadované informace. Jelikož byla tato jeho žádost zamítnuta, žadatel podal žalobu před Správním soudem východního Finska, který se obrátil na Soudní dvůr Evropské unie s žádostí o výklad článku 15 nařízení GDPR.
Stanovisko
Ve svém dnešním rozsudku soud nejprve konstatuje, že nařízení GDPR, které je platné od 25. května 2018, se vztahuje na žádosti podané po tomto datu, pokud se tyto žádosti týkají operací zpracování osobních údajů provedených před datem, kdy se GDPR začalo používat.
Dále soud rozhoduje, že GDPR je třeba vykládat tak, že informace týkající se konzultačních operací prováděných na osobních údajích subjektu údajů a týkající se dat a účelů těchto operací představuje informace, které má dotyčná osoba právo získat od správce údajů. Na druhé straně GDPR neupravuje takové právo týkající se totožnosti zaměstnanců, kteří tyto operace prováděli podle pokynů správce údajů, s výjimkou případů, kdy jsou tyto informace nezbytné pro umožnění dotčené osobě účinně uplatnit práva, která jí uděluje toto nařízení, a za předpokladu, že jsou zohledněna práva a svobody těchto zaměstnanců. V případě konfliktu mezi právem na přístup, který zajišťuje účinnost práv dotčených osob podle GDPR, a právy nebo svobodami ostatních osob musí být dosaženo rovnováhy mezi dotčenými právy a svobodami. Pokud je to možné, je třeba vybrat prostředky komunikace osobních údajů, které neporušují práva nebo svobody ostatních osob.
Soudní dvůr nakonec rozhodl, že skutečnost, že správce (banka) vykonává bankovní činnost a jedná v rámci regulované činnosti a že subjekt údajů (dotčený), jehož osobní údaje byly zpracovávány v případě jako zákazníka správce, a byl rovněž zaměstnancem tohoto správce (banky), nemá v zásadě žádný vliv na rozsah práva přiznaného tomuto subjektu údajů.