V zadnji sodbi Sodišča EU v zadevi Pankki S (zadeva s področja varstva osebnih podatkov, je sodišče odločilo, da ima vsak posameznik ima pravico vedeti datum in razloge za vpogled v njegove osebne podatke. Dejstvo, da je upravljavec v bančni dejavnosti, nima vpliva na obseg te pravice.
Za kaj je šlo?
Leta 2014 je zaposleni v banki Pankki S, ki je bil hkrati tudi stranka te banke, izvedel, da so njegove osebne podatke večkrat pregledali drugi člani bančnega osebja, in sicer med 1. novembrom in 31. decembrom 2013. Ker je dvomil o zakonitosti teh vpogledov, je ta zaposleni, ki so ga vmes odpustili iz banke, maja 2018 prosil Pankki S, da mu sporoči identiteto oseb, ki so pregledovale njegove podatke, natančne datume vpogledov in namene obdelave teh podatkov.
V odgovoru iz avgusta 2018 je Pankki S zavrnil razkritje identitete zaposlenih, ki so izvedli operacije posvetovanja, saj so te informacije predstavljale osebne podatke teh zaposlenih. Po drugi strani je Pankki S podal dodatne podrobnosti o operacijah posvetovanja, ki jih je izvedel njegov interni revizijski oddelek, in sicer, da je bil stranka banke, za katero je bil vlagatelj svetovalec strank, upnik osebe, ki je imela enak priimek kot vlagatelj. Banka je tako želela pojasniti, ali sta vlagatelj in omenjeni dolžnik ena in ista oseba in ali je lahko prišlo do kakršnega koli nedovoljenega konflikta interesov. Pankki S je dodal, da je pojasnitev tega vprašanja zahtevala obdelavo omenjenih podatkov, pri čemer je navedel, da je vsak član bančnega osebja, ki je obdeloval te podatke, podal izjavo o razlogih za obdelavo teh podatkov. Poleg tega je banka navedla, da so ta posvetovanja omogočila izključitev kakršnih koli sumov na konflikt interesov v zvezi z vlagateljem.
Vlagatelj se je obrnil na finskega DPA, s prošnjo, da bi Pankki S naročil, naj mu posreduje zahtevane informacije. Ker je bil ta zahtevek zavrnjen, je vlagatelj vložil tožbo na Upravno sodišče vzhodne Finske, ki je nato Sodišče EU vprašalo, ali mora banka stranki, ki je tudi zaposlena v banki, razkriti identiteto oseb, ki so pregledovale njegove osebne podatke, datume vpogledov in namene obdelave teh podatkov.
Sodišče EU je odločilo, da mora biti posamezniku, ne glede na to, ali je v bančni dejavnosti, omogočen dostop do vseh njegovih osebnih podatkov v skladu z določbami GDPR. To pomeni, da mora biti posamezniku omogočen dostop do vseh informacij, ki se nanašajo na obdobje in namen obdelave njegovih osebnih podatkov, pa tudi do vseh informacij o prejemnikih ali kategorijah prejemnikov, ki so prejeli ali bodo prejeli te podatke.
Vendar pa Sodišče EU dodaja, da dostop do osebnih podatkov ni absolutna pravica. Po GDPR ta pravica ne sme posegati v pravice in svoboščine drugih.
Tako lahko upravljavec podatkov zavrne razkritje osebnih podatkov, če bi to lahko negativno vplivalo na pravice in svoboščine drugih oseb. To bi lahko vključevalo na primer zaščito osebnih podatkov zaposlenih, ki so pregledovali osebne podatke stranke.
Tako Sodišče EU zaključuje, da banka ni nujno dolžna razkriti identitete oseb, ki so pregledale osebne podatke stranke, če bi to lahko negativno vplivalo na pravice in svoboščine teh oseb. Vendar pa bi morala banka stranki zagotoviti vse ostale informacije, vključno z datumom in namenom obdelave njenih osebnih podatkov.
