Rozsudok Súdneho dvora vo veci C-579/21 z 22.06.2023 sa zaoberal situáciou, kedy zamestnanec a súčasne Klient banky sa v roku 2014 dozvedel, že iní zamestnanci banky sa niekoľkokrát oboznámili s jeho osobnými údajmi. Zamestnanec bol neskôr prepustený zo svojho zamestnania, z uvedeného dôvodu mal pochybnosti o zákonnosti oboznamovania iných zamestnancov s jeho osobnými údajmi. V zmysle uvedeného požiadal banku aby mu oznámila totožnosť zamestnancov, ktorí sa oboznámili s jeho osobnými údajmi, presné dátumy, kedy k tomuto oboznámeniu došlo a účel spracúvania jeho osobných údajov.
Banka odmietla zamestnancovi oznámiť totožnosť zamestnancov, ktorí sa oboznámili s jeho osobnými údajmi, z dôvodu, že tieto informácie predstavujú osobné údaje týchto zamestnancov.
Klient banky, ktorého bol žiadateľ poradcom, bol veriteľom osoby, ktorá mala rovnaké priezvisko ako žiadateľ. Banka zisťovala, či žiadateľ a dlžník boli jednou a tou istou osobou a či mohol existovať vzťah neprípustného stretu záujmov. Z uvedeného dôvodu, banka pri vyriešení tejto otázky potrebovala spracovať osobné údaje, pričom uviedla, že každý zamestnanec banky, ktorý spracúval osobné údaje podal na oddelenie vnútorného auditu vyhlásenie týkajúce sa dôvodov spracúvania údajov, čo umožnilo vylúčiť podozrenie zo stretu záujmov žiadateľa.
Žiadateľ sa obrátil na fínsky Úrad osoby zodpovednej na ochranu osobných údajov, aby bola banke uložená povinnosť poskytnúť mu požadované informácie. Úrad osoby zodpovednej na ochranu osobných údajov zamietol žiadateľovu žiadosť. Z uvedeného dôvodu, sa žiadateľ obrátil na Správny súd. Správny súd požiadal súdny dvor o výklad článku 15 Všeobecného nariadenia o ochrane osobných údajov (GDPR).
Súdny dvor uviedol, že informácie týkajúce sa oboznamovania s osobnými údajmi osoby, ktoré sa týkajú dátumov a účelov spracúvania osobných údajov, má dotknutá osoba právo získať uvedené informácie od prevádzkovateľa.
Všeobecné nariadenia o ochrane osobných údajov (GDPR) takéto právo nezahŕňa, pokiaľ ide o informácie týkajúce sa totožnosti zamestnancov, ktorí vykonávali spracúvanie osobných údajov v súlade s pokynmi prevádzkovateľa.
V prípade, že sú takéto informácie nevyhnutné na to, aby dotknutá osoba mohla účinne uplatňovať práva, ktoré sú zahrnuté vo Všeobecnom nariadení o ochrane osobných údajov (GDPR), tak prevádzkovateľ je povinný ich poskytnúť dotknutej osobe.
V prípade konfliktu medzi výkonom práva na prístup, ktoré Všeobecné nariadenia o ochrane osobných údajov (GDPR) priznáva dotknutej osobe na jednej strane a právami alebo slobodami iných na druhej strane. Je potrebné využiť spôsob, ktorý nezasiahne do práv a slobôd iných.
Prinášame týždenný komentár z rôznych oblasti práva, obchodu, podnikania a auditu. Snažíme sa podávať objektívny a nestranný pohľad na aktuálne témy, ktoré hýbu profesionálym svetom.