Zamestnanec a súčasne klient banky Pankki S sa v roku 2014 dozvedel, že iní zamestnanci tejto banky sa v období od 1. novembra 2013 do 31. decembra 2013 niekoľkokrát oboznámili s jeho osobnými údajmi. Keďže tento zamestnanec, ktorý bol medzičasom prepustený zo svojho zamestnania v banke Pankki S, mal pochybnosti o zákonnosti tohto oboznamovania sa s údajmi, 29. augusta 2018 požiadal túto banku, aby mu oznámila totožnosť osôb, ktoré sa oboznámili s jeho údajmi, presné dátumy, kedy k tomu došlo, ako aj účely spracúvania uvedených údajov.

Pankki S vo svojej odpovedi z 30. augusta 2018 odmietla oznámiť totožnosť zamestnancov, odmietla poskytnúť informáciu o totožnosti zamestnancov, ktorí vykonali operácie, ktorých predmetom bolo oboznámenie sa s údajmi, a to z toho dôvodu, že tieto informácie predstavujú osobné údaje týchto zamestnancov. Pankki S však poskytla spresnenia týkajúce sa týchto prípadov oboznámenia sa s údajmi, ktoré vykonalo jej oddelenie vnútorného auditu, pričom uviedla, že klient banky, ktorého bol žiadateľ poradcom, bol veriteľom osoby, ktorá mala také isté priezvisko ako žiadateľ. Banka si teda chcela overiť, či žiadateľ a dlžník boli jednou a tou istou osobou a či mohol existovať prípadný vzťah neprípustného stretu záujmov. Pankki S dodala, že odpoveď na túto otázku vyžadovala spracovanie predmetných údajov, pričom spresnila, že každý zamestnanec banky, ktorý spracúval tieto údaje, podal na oddelenie vnútorného auditu vyhlásenie týkajúce sa dôvodov tohto spracúvania údajov. Banka okrem toho uviedla, že tieto oboznámenia sa s údajmi umožnili vylúčiť akékoľvek podozrenie zo stretu záujmov, pokiaľ ide o žiadateľa.

Žiadateľ sa obrátil na fínsky Úrad osoby zodpovednej za ochranu osobných údajov, aby banke Pankki S uložil povinnosť poskytnúť mu požadované informácie. Po zamietnutí tejto žiadosti podal žiadateľ žalobu na Správny súd pre východné Fínsko, ktorý požiadal Súdny dvor o výklad článku 15 všeobecného nariadenia o ochrane údajov (GDPR)1.

Súdny dvor vo svojom dnešnom rozsudku v prvom rade poznamenal, že GDPR, ktoré je účinné od 25. mája 2018, sa uplatňuje na žiadosť podanú po tomto dátume v prípade, keď sa táto žiadosť týka operácií spracúvania osobných údajov uskutočnených pred dňom nadobudnutia účinnosti GDPR.

Súdny dvor ďalej konštatoval, že GDPR sa má vykladať v tom zmysle, že informácie týkajúce sa oboznamovania sa s osobnými údajmi osoby, ktoré sa týkajú dátumov a účelov týchto operácií predstavujú informácie, ktoré má táto osoba právo získať od prevádzkovateľa. GDPR však takéto právo nezakotvuje, pokiaľ ide o informácie týkajúce sa totožnosti zamestnancov, ktorí vykonali tieto operácie v súlade s pokynmi prevádzkovateľa, okrem prípadu, keď sú tieto informácie nevyhnutné na to, aby sa dotknutej osobe umožnilo účinne uplatňovať práva, ktoré jej priznáva toto nariadenie, a pod podmienkou, že sa zohľadnia práva a slobody týchto zamestnancov. V prípade konfliktu medzi na jednej strane výkonom práva na prístup, ktoré zaručuje potrebný účinok práv, ktoré GDPR priznáva dotknutej osobe, a na druhej strane právami alebo slobodami iných, je totiž potrebné vyvážiť predmetné práva a slobody. Pokiaľ je to možné, mal by sa zvoliť spôsob, ktorý nezasiahne do týchto práv alebo slobôd.

Napokon Súdny dvor rozhodol, že okolnosť, že prevádzkovateľ vykonáva bankovú činnosť v rámci regulovanej činnosti a že osoba, ktorej osobné údaje boli spracované ako údaje klienta prevádzkovateľa, bola u tohto prevádzkovateľa aj zamestnaná, v zásade nemá vplyv na rozsah práva, ktoré má táto osoba. UPOZORNENIE: Návrh na začatie prejudiciálneho konania umožňuje súdom členských štátov v rámci sporu, ktorý rozhodujú, položiť Súdnemu dvoru otázky o výklade práva Únie alebo o platnosti aktu práva Únie. Súdny dvor nerozhoduje vnútroštátny spor. Vnútroštátnemu súdu prináleží, aby rozhodol právnu vec v súlade s rozhodnutím Súdneho dvora. Týmto rozhodnutím sú rovnako viazané ostatné vnútroštátne súdne orgány, na ktoré bol podaný návrh s podobným problémom.

1 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1).

Zdroj: Riaditeľstvo pre komunikáciu
Sekcia pre tlač a informácie curia.europa.eu
TLAČOVÉ KOMUNIKÉ č. 107/23
V Luxemburgu 22. júna 2023
Rozsudok Súdneho dvora vo veci C-579/21 | Pankki S