Súdny dvor dňa 22.6.2023 rozhodol vo veci „C-579/21 | Pankki S“, kde posudzoval hranice práva dotknutej osoby na prístup k jej osobným údajom podľa článku 15 GDPR.
Zamestnanec a súčasne klient istej fínskej banky sa dozvedel, že iní zamestnanci tejto banky sa v období od 1. novembra 2013 do 31. decembra 2013 niekoľkokrát oboznámili s jeho osobnými údajmi, ktoré o ňom banka spracúvala. Po prepustení z pracovného pomeru nadobudol pochybnosti o zákonnosti tohto spracúvania vrátane oboznamovania sa s údajmi.
Dňa 29.08.2018 požiadal banku, aby mu oznámila totožnosť osôb, ktoré sa oboznámili s jeho údajmi. Zároveň požadoval informáciu o dátumoch, kedy k tomu došlo, ako aj o účeloch spracúvania uvedených údajov.
Banka mu vo svojej odpovedi zo dňa 30.08.2018 odmietla poskytnúť informácie o totožnosti svojich zamestnancov, ktorí spracovateľské operácie vykonali, čo zdôvodnila ochranou osobných údajov týchto osôb. Iné požadované informácie žiadateľovi v zásade poskytla.
Vyvstala tak otázka o rozsahu práva na prístup dotknutej osoby k osobným údajom podľa článku 15 GDPR, ako aj o aplikovateľnosti tohto Nariadenia na danú situáciu, keďže k spracovateľským operáciám došlo ešte v roku 2013, ďaleko pred účinnosťou GDPR.
Ako prvú tak Súdny dvor posudzoval otázku, či sa na žiadosť o prístup k informáciám podľa článku 15 GDPR uplatňuje toto nariadenie, ak sa spracovateľské operácie, ktorých sa žiadosť týka, vykonali ešte pred dňom nadobudnutia účinnosti GDPR, pričom však žiadosť o prístup bola podaná po tomto dni.
Súdny dvor rozhodol, že na tieto situácie sa GDPR vzťahuje. Podľa generálneho advokáta aj Súdneho dvora článok 15 priznáva dotknutým osobám právo procesnej povahy, spočívajúce v získaní informácií o spracúvaní ich osobných údajov. Ako procesné pravidlo sa toto ustanovenie uplatňuje na žiadosť o prístup k informáciám, ak bola táto podaná po účinnosti Nariadenia a to aj v prípade, ak k spracovateľským operáciám došlo pred účinnosťou GDPR.
Ďalej sa Súdny dvor zaoberal otázkou, či informácie, týkajúce sa operácií vykonaných pri oboznamovaní sa s osobnými údajmi osoby, ktoré sa týkajú dátumov a účelov týchto operácií, ako aj totožnosti fyzických osôb, ktoré tieto operácie vykonali, predstavujú informácie, ktoré má dotknutá osoba právo získať od prevádzkovateľa v zmysle článku 15 GDPR.
Podľa Súdneho dvora informácie, týkajúce sa oboznamovania s osobnými údajmi konkrétnej osoby, ktoré sa týkajú dátumov a účelov týchto operácií, sa majú na základe žiadosti podľa článku 15 GDPR dotknutej osobe poskytnúť. Poskytnutie týchto informácií je nevyhnutné na splnenie povinnosti umožniť dotknutej osobe prístup ku všetkým informáciám uvedeným v článku 15 ods. 1 GDPR. Dotknutá osoba má právo na spravodlivé a transparentné spracúvanie, a uplatnenie tohto práva jej umožní overiť si zákonnosť spracúvania prevádzkovateľom (body 62 a 69).
Iné je to však s totožnosťou fyzických osôb, ktoré tieto operácie vykonali.
Hoci má dotknutá osoba právo získať informácie o konkrétnych príjemcoch, ktorým boli alebo budú poskytnuté osobné údaje, ktoré sa jej týkajú (bod 48), zamestnancov prevádzkovateľa, vykonávajúcich spracovateľské operácie podľa jeho pokynov a pod jeho vedením, nemožno považovať za „príjemcov“ v zmysle článku 15 ods. 1 písm. c) nariadenia GDPR (bod 73). Súd tiež zdôraznil, že právo na prístup by sa v súlade s recitálom 63 nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb.
Právo na ochranu osobných údajov nie je absolútnym právom a musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami. Aj za predpokladu, že by poskytnutie informácií týkajúcich sa totožnosti zamestnancov prevádzkovateľa dotknutej osobe bolo pre túto osobu potrebné na účely uistenia sa o zákonnosti spracúvania jej osobných údajov, mohlo by stále ísť o zásah do práv a slobôd týchto zamestnancov.
Za týchto podmienok v prípade konfliktu medzi výkonom práva na prístup na jednej strane a právami alebo slobodami iných na druhej strane, je potrebné dotknuté práva a slobody vyvážiť. Pokiaľ je to možné, mali by sa zvoliť také podmienky, ktoré nezasahujú do práv alebo slobôd iných, pričom treba zohľadniť skutočnosť, že výsledkom zohľadnenia takých úvah by nemalo byť odmietnutie poskytnutia informácií dotknutej osobe (body 78-80).
Výnimkou z uvedeného sú situácie, keď sú tieto informácie nevyhnutné na to, aby sa dotknutej osobe umožnilo účinne uplatniť práva, ktoré jej priznáva GDPR, a pod podmienkou, že sa zohľadnia práva a slobody týchto zamestnancov (bod 83).
