Prawo dostępu z art. 15 RODO jest często realizowane poprzez żądanie kopii danych osobowych czy też informacji, w jakim celu dane te są przetwarzane. Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 22 czerwca 2023 r. wskazał jak interpretować ten przepis.
Okoliczności wyroku
W roku 2014 pracownik, który był jednocześnie klientem banku Pankki S, dowiedział się, że inni pracownicy banku wielokrotnie przeglądali jego dane osobowe między 1 listopada, a 31 grudnia 2013 roku. W międzyczasie został zwolniony z pracy. Jednak podejrzewał, że wgląd ten stanowił naruszenie prawa, w dniu 29 maja 2018 roku zwrócił się do banku o ujawnienie tożsamości osób, które przeglądały jego dane, dokładnych dat tych dostępów oraz celów, dla których były one przetwarzane. Bank odmówił ujawnienia tożsamości pracowników. Uznał, że te informacje stanowią ich dane osobowe. Wskazał jednak, że przeglądanie danych osobowych wnioskodawcy odbyło się w ramach audytu wewnętrznego, gdyż bank pragnął wyjaśnić, czy dany pracownik i wierzyciel, którzy mieli to samo nazwisko rodowe, są tą samą osobą oraz czy istnieje ewentualny konflikt interesów.
Były pracownik ze względu na odmowę wskazania osób, które miały dostęp do jego danych, złożył skargę do fińskiego organu nadzorczego, aby organ ten nakazał udzielenie wskazanych informacji. Jego żądanie zostało ponownie odrzucone. Organ stwierdził, że pliki dziennika osób, które przetwarzały dane osobowe skarżącego, zgodnie z praktyką tego urzędu, odnoszą się jedynie do wewnętrznego wykazu pracowników wykonujących operacje przetwarzania u administratora. Po kolejnej odmowie skarżący odwołał się do sądu, który złożył w tej sprawie pytanie prejudycjalne do TSUE.
Czego można żądać?
W swoich rozważaniach Trybunał definitywnie stwierdził, że prawo dostępu nie dotyczy tożsamości pracowników, którzy wykonali operacje przetwarzania zgodnie z poleceniem administratora. Te informacje mogą być ujawnione jedynie w sytuacji, w której są niezbędne do skutecznej realizacji praw wynikających z RODO i uwzględniają jednocześnie prawa i wolności pracowników mających dostęp do danych. W przypadku kolizji tych dwóch praw konieczne jest ich wyważenie, jeśli jest to możliwe, należy wybrać taki sposób wykonania prawa dostępu, aby nie naruszał praw i wolności personelu.
TSUE ponadto stwierdził, że fakt prowadzenia przez administratora regulowanej działalności bankowej i okoliczność, że skarżący był pracownikiem tego banku, nie ma żadnego wpływu na zakres przysługującego mu prawa dostępu. Kontekst, w jakim dana osoba żąda dostępu do informacji, nie może bowiem wpływać na zakres tego prawa.
Kto przegląda moje dane osobowe?
Przypadki, w których będzie można poznać tożsamość osób, które dokonały operacji przetwarzania na naszych danych osobowych, będą zatem niezwykle rzadkie. Trudno będzie też pogodzić takie żądanie z ochroną prywatności jednostki. Jednakże TSUE doprecyzował, że prawo dostępu dotyczy również informacji, kiedy dokładnie nasze dane były przetwarzane. Nie zostało jednak wyjaśnione, czy w związku z tym administratorzy powinni prowadzić kolejny rejestr, co z pewnością generowałoby dodatkowe nakłady czasu i kosztów.
Źródło:
