Bank nie musi zdradzać, kto zaglądał do danych klienta

Konsument zawsze ma prawo zażądać od banku informacji o przetwarzaniu jego danych, nawet jeśli wcześniej sam w nim pracował. Czym innym są jednak informacje o przetwarzaniu, czym innym informacje o tożsamości osób, które miały dostęp do danych osobowych – uznał Trybunał Sprawiedliwości Unii Europejskiej.

Pracownik banku był jednocześnie jego klientem. Jeszcze będąc zatrudnianym w tej firmie, dowiedział się, że współpracownicy zaglądali do jego danych. Po zwolnieniu postanowił sprawdzić, kto konkretnie miał dostęp do informacji na jego temat i po co je przetwarzano. Uzyskał odpowiedź wyłącznie na drugie pytanie – bank wyjaśnił, że klient banku, któremu doradzał zwolniony pracownik, miał wierzyciela o takim samym jak on nazwisku, dlatego weryfikowano, czy nie ma konfliktu interesów. Ekspracodawca odmówił natomiast wskazania, jakie konkretnie osoby przetwarzały dane osobowe. Fiński sąd, który bada tę sprawę, postanowił poprosić o pomoc w interpretacji przepisów RODO.

W jednym z pytań prejudycjalnych sąd prosi o wskazówki, czy fakt zatrudnienia danej osoby u administratora danych ma wpływ na jej uprawnienia dotyczące prawa dostępu do informacji na temat przetwarzania. TSUE uznał, że jedno z drugim nie ma nic wspólnego. Celem RODO jest ochrona praw osoby, której dane są przetwarzane. Nie zmienia tego też fakt, że administratorem jest bank.

„Żaden przepis rozporządzenia nie wprowadza rozróżnienia w zależności od charakteru działalności administratora lub statusu osoby, której dane osobowe są przetwarzane” – podkreślił TSUE.

Odpowiadając na kolejne pytania, przypomniał, że przewidziane w art. 15 ust. 1 RODO prawo dostępu obejmuje szeroki zakres informacji, które administrator danych musi przekazać na żądanie zainteresowanego. Przepis ten ma zapewnić przejrzystość przetwarzania danych. Nie oznacza to natomiast prawa do żądania dowolnych informacji.

Tym bardziej, jak podkreślił TSUE, że motyw 63 RODO zakłada, że korzystanie z prawa dostępu do informacji nie może negatywnie wpływać na prawa lub wolności innych osób. Tak zaś mogłoby się stać, gdyby były pracownik dowiedział się, którzy z jego kolegów mieli dostęp do danych na jego temat.

„Z powyższych rozważań wynika, że art. 15 ust. 1 RODO należy interpretować w ten sposób, iż informacje dotyczące operacji przeglądania danych osobowych danej osoby odnoszące się do dat i celów tych operacji stanowią informacje, które osoba ta ma prawo uzyskać od administratora na podstawie tego przepisu. Natomiast przepis ten nie ustanawia takiego prawa w odniesieniu do informacji dotyczących tożsamości pracowników wspomnianego administratora, którzy przeprowadzili te operacje z jego upoważnienia i zgodnie z jego poleceniami, chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem, że uwzględnione zostaną prawa i wolności tych pracowników” – zaznaczył TSUE.©℗

orzecznictwo