Chodzi o wyrok Trybunału Sprawiedliwości UE z 22 czerwca br. w sprawie C-579/21. W 2014 r. pracownik, będący jednocześnie klientem banku Pankki S, dowiedział się, że jego dane osobowe były wielokrotnie przeglądane przez innych pracowników banku w okresie od 1 listopada do 31 grudnia 2013 r. Podejrzewając, że owo przeglądanie nie było zgodne z prawem, pracownik ten, który w międzyczasie został zwolniony z pracy w Pankki S, 29 maja 2018 r. zwrócił się do tego banku o podanie mu tożsamości osób, które przeglądały jego dane, dokładnych dat tego przeglądania oraz celów przetwarzania wspomnianych danych.

Zobacz PROCEDURĘ: Realizacja wniosku osoby, której dane dotyczą, o udzielenie informacji (prawo dostępu do danych osobowych) >>

W odpowiedzi z 30 sierpnia 2018 r. Pankki S odmówił podania tożsamości pracowników, którzy dokonali operacji przeglądania, ze względu na to, że informacje te stanowiły dane osobowe tych pracowników. Jednakże Pankki S udzielił wyjaśnień na temat tych operacji przeprowadzonych przez jego dział audytu wewnętrznego, wskazując, że pewien klient banku, dla którego wnioskodawca był doradcą klienta, był wierzycielem osoby noszącej również nazwisko rodowe wnioskodawcy. Bank chciał więc wyjaśnić kwestię, czy wnioskodawca i rzeczony dłużnik są jedną i tą samą osobą oraz czy mógł istnieć ewentualnie niestosowny konflikt interesów. Pankki S dodał, że udzielenie odpowiedzi na to pytanie wymagało przetwarzania omawianych danych, wyjaśniając, że każdy z pracowników banku, który przetwarzał te dane, złożył w dziale audytu wewnętrznego oświadczenie co do przyczyn tego przetwarzania. Ponadto bank stwierdził, że przeglądanie to pozwoliło wykluczyć wszelkie podejrzenie o konflikt interesów w stosunku do wnioskodawcy. Wnioskodawca zwrócił się do inspektora ochrony danych w Finlandii o nakazanie Pankki S udzielenia mu żądanych informacji. Ponieważ żądanie to zostało odrzucone, wnioskodawca wniósł skargę do sądu administracyjnego dla Finlandii Wschodniej, który zwrócił się do Trybunału Sprawiedliwości o dokonanie wykładni art. 15 ogólnego rozporządzenia o ochronie danych (RODO).

Zobacz również: W UE powstaną przepisy ułatwiające interpretację RODO >>

Zobacz też: Administrator musi ujawnić dane osobowe odbiorców. Omówienie wyroku TS z dnia 12 stycznia 2023 r., C‑154/21 (Österreichische Post) >>

Ochrona danych klientów i pracowników banku

Trybunał zauważył przede wszystkim, że RODO, mające zastosowanie od 25 maja 2018 r. stosuje się do żądania złożonego po tej dacie, gdy żądanie to dotyczy operacji przetwarzania danych osobowych przeprowadzonych przed datą rozpoczęcia stosowania RODO. Następnie Trybunał stwierdził, że RODO należy interpretować w ten sposób, że informacje dotyczące operacji przeglądania danych osobowych danej osoby, dotyczące dat i celów tych operacji, stanowią informacje, które osoba ta ma prawo uzyskać od administratora. Natomiast RODO nie ustanawia takiego prawa w odniesieniu do informacji dotyczących tożsamości pracowników, którzy przeprowadzili te operacje zgodnie z poleceniami administratora, chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem, że uwzględnione zostaną prawa i wolności tych pracowników. W istocie, w przypadku kolizji między, z jednej strony, wykonywaniem prawa dostępu zapewniającego skuteczność praw przyznanych przez RODO osobie, której dane dotyczą, a z drugiej strony prawami lub wolnościami innych osób, konieczne będzie wyważenie rozpatrywanych praw i wolności. W miarę możliwości należy wybrać sposób przekazania, który nie narusza tych praw lub wolności. Wreszcie Trybunał orzekł, że okoliczność, iż administrator prowadzi działalność bankową regulowaną, i że osoba, której przetwarzane były dane osobowe jako klienta administratora, była również pracownikiem tego banku, nie ma co do zasady wpływu na zakres prawa przysługującego tej osobie.