Wyrok Trybunału w sprawie C-579/21 z 22.06.2023 dotyczył sytuacji, w której pracownik i jednocześnie klient banku dowiedział się w 2014 roku, że inni pracownicy banku kilkukrotnie zapoznali się z jego danymi osobowymi. Pracownik został następnie zwolniony z pracy, gdyż z podanego powodu miał wątpliwości co do legalności udostępniania jego danych osobowych innym pracownikom. W związku z powyższym zwrócił się do banku z prośbą o poinformowanie go o tożsamości pracowników, którzy zapoznali się z jego danymi osobowymi, dokładnych terminach, w których wiedza ta miała miejsce oraz celu przetwarzania jego danych osobowych.
Bank odmówił podania pracownikowi tożsamości pracowników, którzy zapoznali się z jego danymi osobowymi, uzasadniając, że informacja ta stanowi dane osobowe tych pracowników.
Klient banku, dla którego wnioskodawca był doradcą, był wierzycielem osoby noszącej to samo nazwisko co wnioskodawca. Bank sprawdzał, czy wnioskodawca i kredytobiorca to jedna i ta sama osoba oraz czy może zachodzić w związku niedopuszczalny konflikt interesów. Z tego powodu bank przy rozwiązywaniu tej kwestii musiał przetwarzać dane osobowe, stwierdzając, że każdy pracownik banku, który przetwarzał dane osobowe, złożył do działu audytu wewnętrznego oświadczenie dotyczące przyczyn przetwarzania danych, co pozwoliło wykluczyć podejrzenia o konflikt interesów wnioskodawcy.
Skarżący zwrócił się do Fina z prośbą o udzielenie mu żądanych informacji. Urząd Odpowiedzialnego za Ochronę Danych Osobowych odrzucił wniosek wnioskodawcy. Z podanego powodu wnioskodawca wniósł skargę do Sądu Administracyjnego. Sąd Administracyjny zwrócił się do Trybunału Sprawiedliwości o dokonanie wykładni art. 15 ogólnego rozporządzenia o ochronie danych (RODO).
Trybunał Sprawiedliwości stwierdził, że dana osoba ma prawo uzyskać od operatora ww. informację w zakresie informacji związanych z zapoznaniem się z danymi osobowymi tej osoby, co dotyczy danych i celów przetwarzania danych osobowych.
Ogólne rozporządzenie o ochronie danych (RODO) nie przewiduje takiego uprawnienia w zakresie informacji o tożsamości pracowników, którzy przetwarzali dane osobowe zgodnie z poleceniami operatora.
W przypadku, gdy informacje te są niezbędne, aby osoba, której dane dotyczą, mogła skutecznie skorzystać z praw przewidzianych w ogólnym rozporządzeniu o ochronie danych (RODO), operator ma obowiązek ich udzielić osobie, której dane dotyczą.
W przypadku konfliktu pomiędzy realizacją prawa dostępu przyznanego przez Ogólne rozporządzenie o ochronie danych (RODO) osobie, której dane dotyczą, z jednej strony, a prawami lub wolnościami innych osób, z drugiej strony. Konieczne jest zastosowanie metody nie ingerującej w prawa i wolności innych osób.
