Każdy ma prawo uzyskać wiedzę o sposobach i celach przetwarzania jego danych osobowych, w tym odbiorcach danych. Czy zatem wynikające z art. 15 ust. 1 RODO prawo dostępu obejmuje informacje o nazwiskach osób przetwarzających dane w imieniu administratora? Czy jednak osoba upoważniona do przetwarzania nie jest odbiorcą danych?
wyrok Trybunału Sprawiedliwości UE z 22 czerwca 2023 r. w/s Pankki S (C-579/21)
1) [Art. 15 ust. 1 RODO] ma zastosowanie do żądania udzielenia dostępu do informacji, gdy operacje przetwarzania, których dotyczy to żądanie, zostały przeprowadzone przed datą rozpoczęcia stosowania RODO, ale żądanie zostało złożone po tej dacie.
2) [Prawo dostępu przysługujące osobie, której dane dotyczą] należy interpretować w ten sposób, że
informacje dotyczące operacji przeglądania danych osobowych danej osoby odnoszące się do dat i celów tych operacji stanowią informacje, które osoba ta ma prawo uzyskać od administratora na podstawie tego przepisu. Natomiast przepis ten nie ustanawia takiego prawa w odniesieniu do informacji dotyczących tożsamości pracowników wspomnianego administratora, którzy przeprowadzili te operacje z jego upoważnienia i zgodnie z jego poleceniami, chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem że uwzględnione zostaną prawa i wolności tych pracowników.
3) [Prawo dostępu przysługujące osobie, której dane dotyczą] należy interpretować w ten sposób, że okoliczność, iż administrator prowadzi działalność bankową regulowaną i że osoba, której dane osobowe jako klienta administratora były przetwarzane, była również pracownikiem tego administratora, nie ma co do zasady wpływu na zakres prawa przysługującego tej osobie na podstawie tego przepisu.
Sprawa zaczęła się od złożonego przez pracownika (i klienta) banku wniosku o udzielenie informacji jakie jego dane osobowe były przeglądane i przez kogo (dla jasności: rzecz zaczęła się w 2013 r., a chodziło także o wewnętrzne procedury związane z monitoringiem poczty elektronicznej i oceną wiarygodności pracownika).
Pracodawca (wówczas już ex) wyjaśnił, iż dane były przetwarzane w celu analizy istnienia potencjalnego konfliktu interesów, ale też uznał, że prawo dostępu nie obejmuje ani informacji o wewnętrznych protokołach i ewidencji dokumentujących przeglądanie danych osobowych, ani danych osobowych osób, które dane osobowe przetwarzają — i odmówił podania nazwisk swych pracowników.
art. 15 ust. 1 lit. c) RODO
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione (…);
Ten pogląd podtrzymał fiński PUODO, zatem sprawa trafiła do sądu, który w trybie prejudycjalnym zapytał TSUE o to:
- czy prawo żądania informacji o odbiorcach danych obejmuje także tożsamość osób, które mają wgląd w dane osobowe w imieniu pracodawcy?
- czy w sprawie ma znaczenie, że chodzi o bank jako instytucję prowadzącą działalność regulowaną, a skarżący był zarówno jego pracownikiem, jak i klientem?
- czy w sprawie ma znaczenie, że sytuacja miała miejsce przed 25 maja 2018 r., ale sprawa zaczęła się po wejściu w życie RODO?
W wydanym wczoraj wyroku Trybunał Sprawiedliwości stwierdził, iż:
- przepisy RODO mają zastosowanie od 25 maja 2018 r., zatem — biorąc pod uwagę, że przetwarzanie miało miejsce wcześniej, ale zainteresowany wszczął procedurę po tej dacie — należy przyjąć, iż co do zasady mężczyzna mógł skorzystać z uprawnień wynikających z rozporządzenia (por. „Co było, a nie jest, nie pisze się w rejestr (czyli czy można się jeszcze skarżyć na naruszenie „sprzed RODO”?)”);
- prawo dostępu do informacji o przetwarzaniu danych osobowych ma na celu umożliwienie ustalenia przez osobę zainteresowaną, czy jego dane były przetwarzane w sposób prawidłowy, także po to, by osoba taka mogła skorzystać z dalszych uprawnień wynikających z RODO;
- stąd też prawo dostępu obejmuje m.in. informacje o odbiorcach danych (wyrok TSUE z 12 stycznia 2023 r., C‑154/21), a także informacje o datach i celach przeglądania danych; zatem administrator powinien przekazać „kopie” stosownych dokumentów — w tym pliki dziennika przetwarzania, które są częścią rejestru czynności przetwarzania (art. 30 RODO) — jeśli te informacje mogą pomóc w ustaleniu, czy dane były przetwarzane w sposób zgodny z prawem;
- aczkolwiek pracownik administratora, jako osoba upoważniona do przetwarzania na polecenie administratora, nie jest odbiorcą danych, ponieważ jemu dane nie są ujawniane (art. 4 pkt 9 RODO), a przekazanie danych osobowych pracownika administratora mogłoby niekorzystnie wpłynąć na jego prawa (z naruszeniem art. 15 ust. 4 RODO);
Nawet jeśli udzielenie informacji dotyczących tożsamości pracowników administratora osobie, której dotyczy przetwarzanie, byłoby niezbędne tej osobie, aby upewnić się, czy jej dane osobowe są przetwarzane zgodnie z prawem, to może ono jednak negatywnie wpływać na prawa i wolności tych pracowników.
- toteż prawo dostępu nie pozwala domagać się udostępnienia danych osobowych osób fizycznych, które przetwarzają dane osobowe z upoważnienia administratora;
- natomiast okoliczność tę może zbadać organ nadzorczy, po wniesieniu przez zainteresowaną osobę stosownej skargi;
- odnośnie natomiast statusu prawnego banku, TSUE stwierdził, iż przepisy RODO o prawie dostępu nie rozróżniają ani charakteru administratora, ani charakteru osoby, której dane są przetwarzane (klient / pracownik) — ograniczenie takie może wprawdzie wynikać z art. 23 RODO, jednak prawo fińskie takich wyłączeń nie przewiduje.