Всеки има право да научи на коя дата и по какви причини са правени справки с личните му данни Върху обхвата на това право няма отражение обстоятелството, че администраторът на данните извършва банкова дейност, обяви Съдът на ЕС с решение на Съда по дело C-579/21 | Pankki S
Случаят
През 2014 г. един от служителите на банката Pankki S, който същевременно е и неин клиент, научава, че между 1 ноември и 31 декември 2013 г. други членове на персонала на банката неколкократно са правили справки с личните му данни. Тъй като се усъмнява в законосъобразността на тези справки, на 29 май 2018 г. въпросният служител, междувременно уволнен от работата си в Pankki S, подава искане до банката да му съобщи самоличността на хората, които са правили справки с данните му, точните дати на тези справки и целите, с които са обработвани данните му.
В отговора си от 30 август 2018 г. Pankki S отказва да съобщи самоличността на служителите, които са извършили справочните операции, по съображение че тази информация съставлява техни лични данни.
Затова пък Pankki S предоставя сведения за справочните операции, които са били извършени от службата ѝ за вътрешен одит, като посочва, че един от клиентите на банката, на когото жалбоподателят е бил клиентски съветник, е бил кредитор на лице, което има същата фамилия като жалбоподателя. Затова банката искала да изясни дали жалбоподателят и въпросният длъжник са едно и също лице и дали евентуално става дума за недопустими отношения на конфликт на интереси. Pankki S добавя, че за изясняването на случая е било необходимо обработване на въпросните данни и че всеки служител на банката, който е обработвал тези данни, е представил декларация пред службата за вътрешен одит за причините за обработването им. Освен това банката заявява, че тези справки са позволили да се изключи всяко съмнение за конфликт на интереси по отношение на жалбоподателя.
Жалбоподателят се обръща към Службата на надзорника за защита на данните във Финландия с искане да разпореди на Pankki S да му предостави поисканата информация. Тъй като искането му е отхвърлено, жалбоподателят подава жалба до Източнофинландския административен съд, който отправя запитване до Съда за тълкуването на член 15 от Общия регламент относно защитата на данните (ОРЗД)1.
Решението
В днешното си решение Съдът най-напред отбелязва, че ОРЗД, който е в сила от 25 май 2018 г. , се прилага по отношение на съответното искане, ако то е подадено след тази дата, а се отнася до операции по обработване на лични данни, извършени преди датата, от която започва да се прилага ОРЗД.
По-нататък Съдът констатира, че Общият регламент относно защитата на данните (ОРЗД) трябва да се тълкува в смисъл, че информацията за справочни операции с личните данни на дадено лице, която се отнася до датите и целите на тези операции, представлява информация, която лицето има право да получи от администратора.
Обратно, ОРЗД не закрепва подобно право по отношение на информацията за самоличността на служителите, които са извършили тези операции в съответствие с указанията на администратора, освен ако тази информация не е абсолютно необходима, за да може субектът на данните да упражни ефективно правата, които му предоставя Регламентът, и при условие че са взети предвид правата и свободите на тези служители. Всъщност в случай на конфликт между упражняването на правото на достъп, осигуряващо полезния ефект на правата, които ОРЗД предоставя на субекта на данните, от една страна, и правата или свободите на други лица, от друга, трябва да се намери баланс между съответните права и свободи. Доколкото е възможно, трябва да се изберат начини, които не нарушават правата или свободите на другите лица.
Накрая, Съдът постановява, че върху обхвата на правото, с което разполага съответното лице, по принцип няма отражение обстоятелството, че администраторът извършва банкова дейност в регламентиран контекст и че въпросното лице, чиито лични данни са обработени във връзка с качеството му на клиент на администратора, е било и служител на този администратор.
1 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1).