Vec C‑579/21
Konanie začaté na návrh J.M.
(návrh na začatie prejudiciálneho konania, ktorý podal Itä‑Suomen hallinto‑oikeus)
Rozsudok Súdneho dvora (prvá komora) z 22. júna 2023
„Návrh na začatie prejudiciálneho konania – Spracúvanie osobných údajov – Nariadenie (EÚ) 2016/679 – Články 4 a 15 – Rozsah práva na prístup k informáciám uvedeným v článku 15 – Informácie obsiahnuté v denných záznamoch generovaných spracovateľským systémom (log data) – Článok 4 – Pojem ‚osobný udaj‘ – Pojem ‚príjemca‘ – Časová pôsobnosť“
1. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Časová pôsobnosť – Právo dotknutej osoby na prístup k osobným údajom, ktoré sa jej týkajú – Žiadosť o prístup predložená po dni, keď nariadenie nadobudlo účinnosť – Spracovanie údajov vykonané pred dňom, keď nariadenie nadobudlo účinnosť – Uplatniteľnosť nariadenia
(Nariadenie Európskeho parlamentu a Rady 2016/679, článok 15 a článok 99 ods. 2)
(pozri body 30 – 36, bod 1 výroku)
2. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Právo dotknutej osoby na prístup k osobným údajom, ktoré sa jej týkajú – Informácie o operáciách, ktorých predmetom bolo oboznámenie sa s týmito údajmi – Pojem – Informácie týkajúce sa dátumov a účelov týchto operácií – Zahrnutie – Informácie o totožnosti osôb, ktoré vykonali tieto operácie – Zamestnanci prevádzkovateľa, ktorí tieto operácie vykonali na základe jeho poverenia – Vylúčenie – Výnimka – Rozsah
(Nariadenie Európskeho parlamentu a Rady 2016/679, článok 15 ods. 1)
(pozri body 39 – 49, 52 – 59, 61, 62, 69 – 76, 79 – 83, bod 2 výroku)
3. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Právo dotknutej osoby na prístup k osobným údajom, ktoré sa jej týkajú – Informácie o operáciách, ktorých predmetom bolo oboznámenie sa s týmito údajmi – Informácie týkajúce sa dátumov a účelov týchto operácií – Prevádzkovateľ zaoberajúci sa regulovanou činnosťou – Dotknutá osoba, ktorá je klientom aj zamestnancom tohto prevádzkovateľa – Neexistencia vplyvu na rozsah jej práva na prístup
(Nariadenie Európskeho parlamentu a Rady 2016/679, článok 15 ods. 1)
(pozri body 85 – 89, bod 1 výroku 3 výroku)
Zhrnutie
J.M. bol zamestnancom a klientom fínskej bankovej inštitúcie. V roku 2014 sa dozvedel, že zamestnanci tejto inštitúcie sa počas roka 2013 niekoľkokrát oboznámili s jeho vlastnými klientskými údajmi. Keďže J.M., ktorý bol medzičasom prepustený zo svojho zamestnania v tejto bankovej inštitúcii a mal pochybnosti o zákonnosti tohto oboznamovania sa s údajmi, požiadal túto bankovú inštitúciu, aby mu oznámila totožnosť osôb, ktoré sa oboznámili s jeho klientskými údajmi, presné dátumy, kedy k tomu došlo, ako aj účely spracúvania uvedených údajov.
Banková inštitúcia ako prevádzkovateľ(1) mu odmietla poskytnúť informáciu o totožnosti zamestnancov, ktorí vykonali operácie, ktorých predmetom bolo oboznámenie sa s údajmi, z toho dôvodu, že tieto informácie predstavovali osobné údaje týchto zamestnancov. Spresnila, že operácie, ktorých predmetom bolo oboznámenie sa s údajmi, vykonalo podľa jej pokynov jej oddelenie vnútorného auditu v rámci vyšetrovania týkajúceho sa potenciálneho stretu záujmov medzi J.M. a iným klientom.
J.M. sa tak obrátil na fínsky dozorný orgán so žiadosťou, aby mu oznámil totožnosť osôb, ktoré sa oboznámili s jeho klientskými údajmi. Po zamietnutí tejto žiadosti z toho dôvodu, že denné záznamy zamestnancov, ktorí spracúvali jeho údaje, predstavujú osobné údaje týchto zamestnancov, sa J.M. obrátil na vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania. Tento súd sa pýtal, či sa na poskytnutie denných záznamov vytvorených pri spracovateľských operáciách, ktoré obsahujú informácie týkajúce sa účelov a príjemcov spracúvania, ako aj totožnosť osôb, ktoré vykonali tieto operácie – v prejednávanej veci zamestnancov prevádzkovateľa – vzťahuje článok 15 GDPR.
Súdny dvor vo svojom rozsudku rozhodol o časovej pôsobnosti článku 15 GDPR v kontexte žiadosti o prístup k informáciám, na ktoré sa vzťahuje toto ustanovenie, podanej po nadobudnutí účinnosti tohto nariadenia. Súdny dvor okrem toho spresnil rozsah práva dotknutej osoby získať od prevádzkovateľa prístup ku spracúvaným údajom, ktoré sa jej týkajú, ako aj k informáciám týkajúcich sa týchto údajov.(2)
Posúdenie Súdnym dvorom
Súdny dvor v prvom rade rozhodol, že článok 15 GDPR sa uplatňuje na žiadosť o prístup k informáciám uvedeným v tomto ustanovení, ak spracovateľské operácie, ktorých sa týka táto žiadosť, boli vykonané pred dňom, keď toto nariadenie nadobudlo účinnosť, ale žiadosť bola podaná po tomto dni. Článok 15 ods. 1 GDPR sa totiž netýka podmienok zákonnosti spracúvania osobných údajov dotknutej osoby, ale len spresňuje rozsah práva tejto osoby na prístup k údajom a informáciám, o ktoré žiada. Toto ustanovenie teda priznáva dotknutým osobám právo procesnej povahy spočívajúce v získaní informácií o spracúvaní ich osobných údajov. Ako procesné pravidlo sa uplatňuje na žiadosti o prístup k informáciám podané od nadobudnutia účinnosti tohto nariadenia, ako je žiadosť J.M.
V druhom rade Súdny dvor zdôraznil, že informácie o operáciách, ktorých predmetom je oboznámenie sa s osobnými údajmi osoby, ktoré sa týkajú dátumov a účelov týchto operácií, predstavujú informácie, ktoré má táto osoba právo získať od prevádzkovateľa podľa článku 15 ods. 1 GDPR.
V prvom rade z gramatickej analýzy tohto ustanovenia a pojmov, ktoré obsahuje, vyplýva, že právo na prístup, ktoré toto ustanovenie priznáva dotknutej osobe, sa vyznačuje širokým rozsahom informácií, ktoré prevádzkovateľ musí poskytnúť tejto osobe.
Ďalej z kontextu, do ktorého toto ustanovenie patrí, vyplýva, že jeho cieľom je zabezpečiť transparentnosť spôsobu spracúvania osobných údajov vo vzťahu k dotknutej osobe, bez ktorej by táto osoba nebola schopná posúdiť zákonnosť spracovania jej údajov.
Tento výklad rozsahu práva na prístup stanoveného v článku 15 ods. 1 GDPR napokon potvrdzujú ciele sledované týmto nariadením, medzi ktoré patrí potreba zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb v rámci Únie, ako aj cieľ umožniť dotknutej osobe uistiť sa o tom, že osobné údaje, ktoré sa jej týkajú, sú správne, a že sa spracúvajú zákonným spôsobom.
Pokiaľ ide o informácie, ktoré J.M. požadoval, Súdny dvor uviedol po prvé, že operácie, ktorých predmetom bolo oboznámenie sa s osobnými údajmi J.M., predstavujú „spracúvanie“,(3) takže zakladajú právo J.M. na prístup k týmto údajom, ako aj právo na to, aby mu boli poskytnuté informácie súvisiace s týmito operáciami.(4) Súdny dvor zdôraznil, že oznámenie dátumov operácií, ktorých predmetom bolo oboznámenie sa s údajmi, predovšetkým umožňuje dotknutej osobe získať potvrdenie o tom, že v danom okamihu skutočne boli jej osobné údaje spracúvané. Okrem toho spresnil, že informovanie o účeloch spracúvania je výslovne stanovené v GDRP(5), a že GDPR stanovuje, že prevádzkovateľ informuje dotknutú osobu o príjemcoch osobných údajov, ktorým boli jej údaje poskytnuté.(6)
Pokiaľ ide o oznámenie všetkých týchto informácií poskytnutím denných záznamov týkajúcich sa predmetných spracovateľských operácií, Súdny dvor po druhé spresnil, že poskytnutie kópie informácií nachádzajúcich sa v týchto súboroch sa môže ukázať ako potrebné na splnenie povinnosti prevádzkovateľa poskytnúť dotknutej osobe prístup ku všetkým informáciám uvedeným v článku 15 ods. 1 GDPR a zabezpečiť spravodlivé a transparentné spracúvanie jej údajov.
Na jednej strane tieto denné záznamy neodhaľujú len skutočnosť, že prebehlo spracovanie údajov,(7) ale tiež informujú o frekvencii a intenzite oboznamovania sa s údajmi. Umožňujú tak dotknutej osobe ubezpečiť sa o tom, že vykonané spracovanie je skutočne odôvodnené účelmi, ktoré uviedol prevádzkovateľ.
Na druhej strane tieto súbory obsahujú informácie o totožnosti osôb, ktoré sa s údajmi oboznámili. Hoci v prejednávanej veci má dotknutá osoba právo získať od prevádzkovateľa informácie týkajúce sa príjemcov alebo kategórií príjemcov, ktorým osobné údaje boli alebo budú poskytnuté,(8) zamestnancov prevádzkovateľa nemožno považovať za „príjemcov“,(9) keď spracúvajú osobné údaje na základe poverenia prevádzkovateľa a v súlade s jeho pokynmi. Oznámenie informácií týkajúcich sa totožnosti týchto zamestnancov dotknutej osobe by tak aj za predpokladu, že by bolo potrebné na to, aby sa ubezpečila o zákonnosti spracúvania jej osobných údajov, mohlo zasahovať do práv a slobôd týchto zamestnancov, pokiaľ tieto informácie samy osebe obsahujú osobné údaje týchto zamestnancov. V tomto prípade treba vyvážiť právo dotknutej osoby na prístup k údajom s právami a slobodami iných. Súdny dvor preto dospel k záveru, že článok 15 ods. 1 nariadenia GDPR nezakotvuje právo osoby, ktorej údaje sa spracúvajú, na to, aby od prevádzkovateľa získala prístup k informáciám týkajúcim sa totožnosti zamestnancov tohto prevádzkovateľa, ktorí vykonali tieto operácie pod jeho dohľadom a v súlade s jeho pokynmi, okrem prípadu, keď sú tieto informácie nevyhnutné na to, aby sa dotknutej osobe umožnilo účinne uplatniť práva, ktoré jej priznáva toto nariadenie a aj v tomto prípade pod podmienkou, že sa zohľadnia práva a slobody týchto zamestnancov.
V treťom a poslednom rade Súdny dvor konštatoval, že okolnosti, že prevádzkovateľ vykonáva bankovú činnosť v rámci regulovanej činnosti, a že osoba, ktorej osobné údaje boli spracúvané ako údaje klienta prevádzkovateľa, bola tiež zamestnaná u tohto prevádzkovateľa, v zásade nemajú vplyv na rozsah práva, ktoré má táto osoba podľa článku 15 ods. 1 GDPR. Pokiaľ totiž ide o pôsobnosť tohto práva, nariadenie nerozlišuje podľa povahy činností prevádzkovateľa alebo postavenia osoby, ktorej osobné údaje sa spracúvajú.