Dana 15. prosinca 2022., nezavisni odvjetnici („AG”) Suda Europske unije („CJEU”) izdali su dva odvojena mišljenja u predmetima C‑487/21 i C‑579/21 o pravu na pristup, sukladno članku 15. GDPR-a.
Prvi slučaj odnosi se na pravilno tumačenje i primjenu članka 15. stavka 3., koji dopušta ispitaniku da, između ostalog, dobije „kopiju” svojih osobnih podataka.
Drugi slučaj odnosi se na to uključuje li pravo pristupa pravo na dobivanje informacija o identitetu zaposlenika voditelja obrade koji obrađuju osobne podatke ispitanika u okviru svog radnog odnosa.
Prvi slučaj (C-487/21)
Tužitelj je od društva koje obavlja konzultantske poslove (agencija) zatražio kopiju svojih osobnih podataka. Agencija je podnositelju zahtjeva dostavila tražene informacije u agregiranom obliku, bez slanja ikakvih e-poruka ili izvadaka iz baze podataka u kojima su podaci pronađeni. Tužitelj je podnio pritužbu austrijskom nadzornom tijelu navodeći da je agencija trebala dostaviti kopiju svih dokumenata, uključujući e-poštu ili izvatke iz baze podataka koji sadrže osobne podatke. Nadzorno tijelo odbacilo je tužbu, zanijekavši da je došlo do kršenja GDPR prava na pristup.
Tužitelj se žalio austrijskim sudovima.
Nadležni austrijski sud pitao je CJEU mora li se pravo na dobivanje kopije osobnih podataka koji se obrađuju, u skladu s člankom 15. stavkom 3., tumačiti usko u skladu s člankom 15. stavkom 1. ili daje posebno pravo na primanje preslike informacija, što bi uključivalo preslike dokumenata ili izvoda iz baze podataka u kojima se obrađuju osobni podaci.
AG je, između ostalog, iznio sljedeće mišljenje u vezi s pravom pristupa:
„Kopija osobnih podataka“, u skladu s člankom 15. stavkom 3. GDPR-a, relevantna je reprodukcija podataka ispitanika „riječ po riječ“ i mora biti predstavljena u razumljivom obliku kako bi ispitaniku omogućila ostvarivanje prava na pristup osobnim podacima. Točan oblik preslike utvrđuje se od slučaja do slučaja, uzimajući u obzir okolnosti slučaja.
Izraz "informacija" u okviru članka 15. stavka 3. GDPR-a odnosi se na informacije iz točaka 15. (a) do (h) GDPR-a, u vezi s osobnim podacima koji se obrađuju. Kao takva ista se ne odnosi na metapodatke o obradi osobnih podataka, koji bi proširili pravo pristupa sadržano u GDPR-u.
Prema AG-u:
Članak 15. stavak 1. utvrđuje predmet i opseg prava na pristup, pri čemu ispitanik može pitati obrađuju li se njegovi osobni podaci ili ne, i ako da, dobiti informacije navedene u točkama (a) do ( h) članka 15. GDPR-a; i
Članak 15. stavak 3. GDPR-a propisuje oblik u kojem voditelj obrade mora učiniti dostupnim osobne podatke, ponajprije u obliku preslike. Kao takvo, pravo na dobivanje kopije osobnih podataka nije neovisno pravo, već se mora tumačiti u svjetlu svrhe prava na pristup, a to je omogućiti nositelju podataka ostvarivanje dodatnih prava sadržanih u GDPR ( npr. pravo na ispravak, pravo na brisanje, pravo na prigovor).
AG navodi da članak 15. stavak 3. GDPR-a ne daje "opće pravo pristupa" informacijama, kao što je potpuna kopija dokumenta koji sadrži osobne podatke ili izvadak iz baze podataka. Međutim, AG smatra da to ne znači da voditelj obrade ne bi trebao pružiti dokumente ili izvatke iz baza podataka koje sadrže osobne podatke, kada bi bilo potrebno osigurati da su osobni podaci razumljivi, u skladu s člankom 15. stavkom 3. GDPR-a. Nadalje, u spomenutim je okolnostima pravo na dobivanje kopije osobnih podataka ograničeno i ne bi trebalo negativno utjecati na prava i slobode drugih, što uključuje zaštitu poslovne tajne i prava intelektualnog vlasništva. Kao takvi, voditelji obrade moraju uspostaviti ravnotežu, ako postoji sukob između pristupa osobnim podacima i prava trećih strana.
Drugi predmet (C‑579/21)
U ovom slučaju radi se o zaposleniku banke, koji je tražio informacije o identitetu i pozicijama zaposlenika banke koji su razmatrali njegove osobne podatke tijekom interne istrage. Banka je odbila podnositelju zahtjeva dati tražene podatke, zbog čega je podnositelj zahtjeva iznio predmet finskom nadzornom tijelu. Nadzorno tijelo je odbilo tužbu i uložena je žalba na slučaj sudovima EU.
Prvo, pravi se razlika između informacija koje predstavljaju osobne podatke i informacija koje se samo tiču obrade osobnih podataka (npr. svrha obrade i predmet). AG navodi da se informacije koje je tužitelj zatražio odnose samo na postupke obrade, a ne na osobne podatke tužitelja, u skladu s člankom 4. stavkom 1. GDPR-a. Zbog navedenog tužitelj ne može dobiti podatke o zaposlenicima banke.
Osim toga, AG napominje da, kada zaposlenik djeluje pod "izravnom nadležnošću" svog poslodavca, on/ona neće biti klasificiran kao "primatelj" osobnih podataka (prema članku 15(1)(c) GDPR), i tako da njihov identitet ne mora biti otkriven podnositelju zahtjeva radi transparentnosti. Međutim, to nije slučaj za zaposlenike koji djeluju mimo uputa voditelja obrade, a koji bi se sami po sebi smatrali primateljima i voditeljima obrade osobnih podataka.
AG smatra da interes tužitelja u pogledu identiteta zaposlenika koji obrađuju osobne podatke treba uravnotežiti s (i) interesom voditelja obrade u zaštiti identiteta zaposlenika i (ii) zaštitom osobnih podataka zaposlenika. AG je smatrao da Nadzorno tijelo može odlučiti otkriti njihov identitet samo ako postoji dovoljno sumnje u zakonitost radnji zaposlenika voditelja obrade.
Kao posljednju točku, AG ponavlja da GDPR ispitaniku ne daje pravo saznati identitet zaposlenika koji obrađuju osobne podatke dok su zaposleni kod voditelja obrade. Međutim, to ne sprječava države članice da usvoje sektorska pravila koja pozivaju na otkrivanje identiteta zaposlenika voditelja obrade. Na primjer, kao što je spomenuto u usmenoj raspravi, Finska predviđa takvo otkrivanje, posebno u pogledu zdravstvenih podataka.
Mišljenje AG-a nije obvezujuće za CJEU, ali može biti utjecajno i često ga se slijedi. Pratite nas dalje za detalje.