CLARIFICĂRI CJUE PRIVIND APLICAREA GDPR

 

Hotărârea CJUE în cauza C-579/21 – Pankki S

Curtea de Justiție a Uniunii Europene a constatat în cauza C-579/21 Pankki S faptul că orice persoană are dreptul de a cunoaște data și motivele consultării datelor sale cu caracter personal.

Faptul că operatorul de date este implicat în activități bancare nu are niciun efect asupra domeniului de aplicare a acestui drept.

În 2014, un angajat al băncii Pankki S, care era, în același timp, client al acestei bănci, a aflat că datele sale cu caracter personal fuseseră consultate de către alți membri ai personalului băncii, în mai multe rânduri, între 1 noiembrie și 31 decembrie 2013. Întrucât avea îndoieli cu privire la legalitatea acestor consultări, angajatul respectiv, care între timp fusese concediat din postul său în cadrul Pankki S, a solicitat Pankki S, la 29 mai 2018, să îi comunice identitatea persoanelor care au consultat datele sale de client, datele exacte ale consultărilor și scopurile în care au fost prelucrate aceste date.

În răspunsul său din 30 august 2018, Pankki S a refuzat să comunice identitatea angajaților care efectuaseră operațiunile de consultare pe motiv că aceste informații constituiau date cu caracter personal ale angajaților respectivi. Pe de altă parte, Pankki S a furnizat detalii suplimentare cu privire la operațiunile de consultare, efectuate de departamentul său de audit intern, precizând că un client al băncii în privința căruia reclamantul era consilier era creditor al unei persoane care purta, de asemenea, numele de familie al reclamantului. Banca respectivă ar fi dorit astfel să clarifice dacă reclamantul și debitorul în cauză erau una și aceeași persoană și dacă ar fi putut exista un conflict de interese nepermis. Pankki S a adăugat că clarificarea acestei chestiuni a necesitat prelucrarea datelor în cauză, precizând că fiecare membru al personalului băncii care a prelucrat aceste date a făcut o declarație în fața departamentului de audit intern cu privire la motivele care au stat la baza prelucrării acestor date. În plus, banca a precizat că aceste consultări au permis să se excludă orice suspiciune de conflict de interese în legătură cu reclamantul.

Reclamantul s-a adresat Biroului de supraveghere a protecției datelor din Finlanda, solicitând obligarea Pankki S să îi comunice informațiile solicitate. Întrucât această cerere a fost respinsă, reclamantul a introdus o acțiune în fața Tribunalului Administrativ din Finlanda de Est, care a solicitat Curții de Justiție să interpreteze articolul 15 din Regulamentul general privind protecția datelor (RGPD).

În hotărârea pronunțată la data de 22.06.2023, Curtea constată, în primul rând, că GDPR, care este aplicabil de la 25 mai 2018, se aplică unei cereri formulate după această dată, atunci când această cerere privește o operațiune de prelucrare a datelor cu caracter personal efectuată înainte de data la care GDPR a devenit aplicabil.

În continuare, Curtea apreciază că GDPR trebuie interpretat în sensul că informațiile referitoare la operațiunile de consultare efectuate asupra datelor cu caracter personal ale unei persoane vizate și privind datele și scopurile acestor operațiuni constituie informații pe care această persoană are dreptul să le obțină de la operator. În schimb, GDPR nu prevede un astfel de drept în ceea ce privește informațiile referitoare la identitatea angajaților care au efectuat aceste operațiuni în conformitate cu instrucțiunile operatorului, cu excepția cazului în care aceste informații sunt esențiale pentru a permite persoanei vizate să își exercite în mod efectiv drepturile care îi sunt conferite de regulament și cu condiția să se țină seama de drepturile și libertățile acestor angajați. În cazul unui conflict între, pe de o parte, exercitarea unui drept de acces care asigură eficacitatea drepturilor conferite persoanei vizate de RGPD și, pe de altă parte, drepturile sau libertățile altor persoane, va trebui să se stabilească un echilibru între drepturile și libertățile în cauză. Ori de câte ori este posibil, ar trebui să se aleagă mijloace de comunicare a datelor cu caracter personal care nu încalcă drepturile sau libertățile altora.

În sfârșit, Curtea statuează că faptul că operatorul exercită o activitate bancară și acționează în cadrul unei activități reglementate și că persoana vizată ale cărei date cu caracter personal au fost prelucrate în calitate de client al operatorului a fost, de asemenea, angajat al acestuia nu are, în principiu, niciun efect asupra sferei de aplicare a dreptului conferit acestei persoane.

Hotărârea CJUE poate fi accesată aici.

AI PUTEA FI INTERESAT ȘI DE: