KOMUNIKAT PRASOWY nr 107/23 Luksemburg, 22 czerwca 2023 r. Wyrok Trybunału w sprawie C-579/21 | Pankki S
Każdy ma prawo wiedzieć, kiedy i dlaczego były przeglądane jego dane osobowe.
Okoliczność, że administrator prowadzi działalność bankową nie ma wpływu na zakres tego prawa.
Pracownik i klient banku Pankki S w 2014 r., dowiedział się, że jego dane osobowe były wielokrotnie przeglądane przez innych pracowników banku w okresie od 1 listopada do 31 grudnia 2013 r. Podejrzewając, że owo przeglądanie nie było zgodne z prawem, pracownik ten, który w międzyczasie został zwolniony z pracy w Pankki S, w dniu 29 maja 2018 r. zwrócił się do tego banku o podanie mu tożsamości osób, które przeglądały jego dane, dokładnych dat tego przeglądania oraz celów przetwarzania wspomnianych danych. W odpowiedzi z 30 sierpnia 2018 r. Pankki S odmówił podania tożsamości pracowników, którzy dokonali operacji przeglądania, ze względu na to, że informacje te stanowiły dane osobowe tych pracowników.
Jednakże Pankki S udzielił wyjaśnień na temat tych operacji przeprowadzonych przez jego dział audytu wewnętrznego, wskazując, że pewien klient banku, dla którego wnioskodawca był doradcą klienta, był wierzycielem osoby noszącej również nazwisko rodowe wnioskodawcy. Bank chciał więc wyjaśnić kwestię, czy wnioskodawca i rzeczony dłużnik są jedną i tą samą osobą oraz czy mógł istnieć ewentualnie niestosowny konflikt interesów. Bank stwierdził, że przeglądanie to pozwoliło wykluczyć wszelkie podejrzenie o konflikt interesów w stosunku do wnioskodawcy.
W związku z powyższym Wnioskodawca zwrócił się do inspektora ochrony danych w Finlandii o nakazanie Pankki S udzielenia mu żądanych informacji. Ponieważ żądanie to zostało odrzucone, wnioskodawca wniósł skargę do sądu administracyjnego dla Finlandii Wschodniej, który zwrócił się do Trybunału Sprawiedliwości o dokonanie wykładni art. 15 ogólnego rozporządzenia o ochronie danych (RODO) tj.:. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1.
W wyroku TSUE stwierdził, że RODO, mające zastosowanie od 25 maja 2018 r. stosuje się do żądania złożonego po tej dacie, gdy żądanie to dotyczy operacji przetwarzania danych osobowych przeprowadzonych przed datą rozpoczęcia stosowania RODO. Następnie Trybunał stwierdził, że RODO należy interpretować w ten sposób, że informacje dotyczące operacji przeglądania danych osobowych danej osoby, dotyczące dat i celów tych operacji, stanowią informacje, które osoba ta ma prawo uzyskać od administratora. Natomiast RODO nie ustanawia takiego prawa w odniesieniu do informacji dotyczących tożsamości pracowników, którzy przeprowadzili te operacje zgodnie z poleceniami administratora, chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem, że uwzględnione zostaną prawa i wolności tych pracowników. W istocie, w przypadku kolizji między, z jednej strony, wykonywaniem prawa dostępu zapewniającego skuteczność praw przyznanych przez RODO osobie, której dane dotyczą, a z drugiej strony prawami lub wolnościami innych osób, konieczne będzie wyważenie rozpatrywanych praw i wolności. W miarę możliwości należy wybrać sposób przekazania, który nie narusza tych praw lub wolności.
Trybunał orzekł, że okoliczność, iż administrator prowadzi działalność bankową regulowaną, i że osoba, której przetwarzane były dane osobowe jako klienta administratora, była również pracownikiem tego banku, nie ma co do zasady wpływu na zakres prawa przysługującego tej osobie.
Szerzej: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-06/cp230107pl.pdf (dostęp: 8.09.2023 r.).