Czy bank będący następcą prawnym swojego poprzednika musi spełnić prawo do kopii danych, dotyczących umów zawartych z poprzednim bankiem- wyrok TSUE.
Kontekst sprawy
Wielu klientów chorwackiego Hypo Alpe Adria Bank d.d., którego Addiko Bank jest następcą prawnym, zwróciło się do Addiko Bank o przekazanie im kopii dokumentów zawierających ich dane osobowe, w tym umów kredytowych, które zawarli z pierwszym bankiem: planów spłaty, dokumentów dotyczących zmian stóp procentowych i wyciągów z rachunków. Niektóre z tych żądań były wyraźnie motywowane chęcią klientów do wniesienia roszczenia lub podjęcia działań prawnych przeciwko Addiko Bank.
Bank odrzucił te wnioski, stwierdzając, że przedmiotowe dokumenty, których przechowywanie było wymagane przez prawo i których kopii zażądano, dotyczyły zakończonych stosunków kredytowych. Po złożeniu skarg przez zainteresowanych klientów z powodu odrzucenia ich wniosków przez Addiko Bank, chorwacki organ nadzoru stwierdził, że brak realizacji żądań klientów stanowiło naruszenie art. 15 ust. 3 RODO. Ponieważ bank nie zastosował się do nakazów wydanych przez organ nadzoru w 26 konkretnych przypadkach, urząd nakazała mu zapłatę grzywny administracyjnej w wysokości 1 100 000 HRK (około 146 667 EUR).
Bank odwołał się od tej decyzji do sądu administracyjnego. W odwołaniu wskazywał, że po pierwsze, że art. 15 ust. 3 RODO przyznaje jedynie prawo do kopii przetwarzanych danych osobowych, z wyłączeniem dokumentów je zawierających, a po drugie, że z przepisu tego wynika, w świetle motywu 63 RODO, że prawo dostępu do przetwarzanych danych osobowych ma na celu wyłącznie weryfikację zgodności z prawem przetwarzania tych danych.
W związku z wątpliwościami co do sprawy sąd administracyjny złożył pytania prejudycjalnego do TSUE.
TSUE o prawie do kopii danych
TSUE po pierwsze wskazał, że prawo osoby, której dane dotyczą, do uzyskania kopii danych osobowych oznacza, że należy jej dostarczyć wierną i zrozumiałą reprodukcję wszystkich takich danych. Prawo to oznacza prawo do uzyskania pełnej kopii dokumentów zawierających między innymi wspomniane dane, jeżeli dostarczenie takiej kopii jest konieczne, aby umożliwić podmiotowi danych, sprawdzenie dokładności i kompletności danych oraz zapewnienie, że przekazanie kopie są zrozumiałe.
Następnie TSUE rozwiał wątpliwości, co do tego, czy art. 15 ust. 1 i 3 RODO należy interpretować w ten sposób, że obowiązek dostarczenia osobie, której dane dotyczą, na jej wniosek, kopii dotyczących jej danych osobowych podlegających przetwarzaniu jest wiążący dla administratora, nawet jeżeli wniosek ten jest motywowany celem innym niż cele, o których mowa w motywie 63 RODO. TSUE stwierdził, że biorąc pod uwagę znaczenie, jakie RODO przypisuje prawu dostępu do danych osobowych podlegających przetwarzaniu, zagwarantowanemu w art. 15 ust. 1 RODO, dla osiągnięcia tych celów, wykonywanie tego prawa nie może być uzależnione od warunków, które nie zostały wyraźnie przewidziane przez prawodawców unijnych, takich jak obowiązek powołania się na jedną z podstaw wymienionych w motywie 63 RODO. Oznacza to, że obowiązek dostarczenia osobie, której dane dotyczą, która tego zażąda, kopii dotyczących jej danych osobowych podlegających przetwarzaniu jest wiążący dla administratora, nawet jeżeli żądanie to jest motywowane celem innym niż cele, o których mowa w motywie 63 zdanie pierwsze tego rozporządzenia.
Kopia danych – rozwianie wątpliwości
Wyrok TSUE rozwiewa wątpliwości, co do tego, w jakich przypadkach spełnienie prawa do kopii danych jest zasadne. Administratorzy, którzy otrzymali takie żądanie, będą musieli je spełnić, nawet jeśli podmiot danych żąda kopię danych, aby później np. pozwać administratora. TSUE w swoim wyroku stawia wyżej prawa podmiotu danych niż ochronę interesu administratora.
Źródło: