Az információkhoz való hozzáférési jog terjedelme
Az EU GDPR-rendeletének a személyesadat-kezelés egyik speciális kérdéskörére vonatkozó előírásait vette górcső alá az unió bírósága egy finn ügy kapcsán született ítéletében.
A szerző az alábbiakban az Európai Unió Bíróságának (EUB, Luxembourg) a J. M. kontra Apulaistietosuojavaltuutettu-ügyben hozott ítéletét[1] ismerteti. A szóban forgó eljárásban az előzetes döntéshozatal iránti kérelmet a kelet-finnországi közigazgatási bíróság (Itä‑Suomen hallinto‑oikeus) terjesztette a luxembourgi taláros testület elé a személyesadat-kezelés egyik speciális kérdéskörében.
I. Bevezetés
A finnországi alapeljárás indoka az a körülmény volt, hogy egy pénzügyi szervezet alkalmazottja és egyidejűleg ügyfele arra kérte e pénzintézetet, hogy tájékoztassa őt azoknak a személyazonosságáról, akik egy belső vizsgálat keretében betekintettek a személyes adataiba. Miután a szervezet ezt megtagadta tőle, a megfelelő jogorvoslati lehetőségeket igénybe véve a kelet-finnországi közigazgatási bírósághoz fordult.
E bíróság ugyanakkor az (EU) 2016/679-os rendeletének[2] értelmezésére irányuló előzetes döntéshozatal iránti kérelmet nyújtott be az EUB-hoz, melynek az érintett meghatározott személyes adatainak kezelésével kapcsolatos információkhoz való hozzáférési jogáról kellett döntenie. Az eljárás tárgyát az EU általános adatvédelmi rendelete, a GDPR 4. cikkének 1. pontja értelmében vett „személyes adat” fogalmának értelmezése, valamint az érintettnek a 15. cikk (1) bekezdésében biztosított, az adatkezelő által gyűjtött személyes adataihoz való hozzáférési joga képezte.
A rendelet 4. cikkének 1. pontja szerint „személyes adat” az azonosított, vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
A 15. cikk szerint az érintett jogosult az adatkezelőtől visszajelzést kapni arról, személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra is, hogy hozzáférést kapjon a személyes adatokhoz és az adatkezelés céljához, az érintett személyes adatok kategóriáihoz, valamint a címzettekhez vagy azok kategóriáihoz. E cikk alapján nem egyértelmű azonban, hogy az adatkezelő által a rendelet 24. cikkének (1) bekezdése szerinti kötelezettsége keretében gyűjtött információk – amelyekből kiderül az érintett személyes adatait kezelő személyek személyazonossága és a személyes adatok kezelésének időpontja – a 15. cikk (1) bekezdése szerinti olyan információknak minősülnek-e, amelyekhez az érintett jogosult hozzáférni, vagy kizárólag a személyes adatokat kezelő személyek személyes adatainak minősülnek.
Az előterjesztő finn bíróság szerint az eljárás tárgyát a GDPR 4. cikkének 1. pontja értelmében vett „személyes adat” fogalmának értelmezése, valamint az érintettnek a 15. cikk (1) bekezdésében biztosított ama joga képezi, hogy hozzáférést kérjen az adatkezelő által gyűjtött olyan személyes adataihoz, melyekhez az érintett nem jogosult hozzáférni.
A rendelet 15. cikkének (1) bekezdése szerint az érintett jogosult az adatkezelőtől visszajelzést kapni arról, személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy a személyes adatokhoz, továbbá az alábbi információkhoz is hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) ama címzettek vagy azok kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket.
A rendelet 24. cikkének (1) bekezdése értelmében az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik.
Ezzel összefüggésben és a továbbiakra is tekintettel rögzíteni kell, hogy e rendelet 99. cikkének (1) bekezdése értelmében e rendeletet 2018. május 25-étől kell alkalmazni.
II. A tényállás
Ami az ügy előzményét illeti, 2014-ben J. M., a Pankki S (egy finn lakossági szövetkezeti bank) alkalmazottja és egyben ügyfele tudomást szerzett arról, hogy a 2013. november 1. és 2013. december 31. közötti időszakban a pénzintézet személyi állományának tagjai az ügyféladataiba több alkalommal is betekintettek.
Mivel kétségei voltak a betekintés jogszerűségével kapcsolatban, 2018. május 29‑én J. M. – akit időközben elbocsátottak a Pankki S-nél betöltött állásából – arra kérte volt munkáltatóját, hogy közölje vele az ügyféladataiba betekintő személyek személyazonosságát, a betekintések pontos időpontját és az adatkezelés célját. A 2018. augusztus 30-ai válaszában a Pankki S a GDPR 4. cikkének 7. pontja szerinti adatkezelői minőségében megtagadta a betekintést végző alkalmazottak nevének közlését azzal az indokkal, hogy ezek az információk eme alkalmazottak személyes adatainak minősülnek.
Válaszában pontosította, hogy a belső ellenőrzési részlege az utasításai alapján milyen betekintéseket végzett. Ismertette, hogy a bank egyik ügyfele, akinek J. M. az ügyféltanácsadója volt, egy olyan személy hitelezője volt, aki szintén J. M. vezetéknevét viseli, ezért tisztázni kívánta, hogy az eljárás felperese és a szóban forgó adós egy és ugyanazon személy-e, és hogy esetleg olyan kapcsolatban állnak-e, amely összeférhetetlenséget eredményezhet. A Pankki S szerint a kérdés tisztázása J. M. adatainak kezelését is szükségessé tette, és a bank minden egyes alkalmazottja, aki ezeket az adatokat kezelte, nyilatkozatot adott a belső ellenőrzési részlegnek az adatkezelés indokairól. A bank továbbá kijelentette, hogy az adatbetekintéseknek köszönhetően sikerült eloszlatni J. M.-mel kapcsolatban az összeférhetetlenség gyanúját.
J. M. a GDPR 4. cikkének 21. pontja értelmében vett felügyeleti hatósághoz, a finn adatvédelmi tisztviselői hivatalhoz (Tietosuojavaltuutetun Toimisto) fordult azzal, hogy kötelezzék a Pankki S-t a kért információk továbbítására. A 2020. augusztus 4-ei határozatával a finn adatvédelmi tisztviselő helyettese (Apulaistietosuojavaltuutettule) elutasította J. M. kérelmét. Kifejtette, az ilyen kérelem arra irányul, hogy lehetővé tegye számára az adatait kezelő alkalmazottak naplófájljaihoz való hozzáférést, a döntéshozatali gyakorlata szerint azonban az ilyen fájlok nem az érintettre, hanem az érintett adatait feldolgozó alkalmazottakra vonatkozó személyes adatoknak minősülnek.
E határozattal szemben J. M. keresetet nyújtott be a kérdést előterjesztő kelet-finnországi közigazgatási bírósághoz. Utóbbi emlékeztetett arra, hogy a GDPR 15. cikke előírja az érintett ama jogát, hogy hozzáférést kapjon az adatkezelőtől a rá vonatkozó kezelt adatokhoz, valamint tájékoztatást kapjon többek között az adatkezelés céljairól és az adatok címzettjeiről. A kérdést előterjesztő bíróság arra kereste a választ, hogy az adatkezelési műveletek során keletkezett, az ilyen információkat – többek között az adatkezelő alkalmazottainak személyazonosságát – tartalmazó naplófájlok közlése a GDPR 15. cikkének hatálya alá tartozik-e, mivel e fájlok szükségesnek bizonyulhatnak az érintett számára annak megítéléséhez, hogy az adataival kapcsolatban végzett adatkezelés jogszerű volt-e.
E körülményekre tekintettel a kelet-finnországi közigazgatási bíróság az eljárását felfüggesztette és előzetes döntéshozatal céljából Luxembourghoz fordult.
III. Az eset értékelése
III.1. Az EUB által elsőként az előterjesztő bíróság negyedik kérdését vizsgálta, mellyel arra várt választ, hogy az általános adatvédelmi rendelet 99. cikkének (2) bekezdésével összefüggésben értelmezett 15. cikke alkalmazandó-e az e rendelkezésben említett, információkhoz való hozzáférés iránti kérelemre, ha a kérelemmel érintett adatkezelési műveleteket az említett rendelet alkalmazásának kezdőnapját megelőzően végezték, de a kérelmet eme időpontot követően nyújtották be.
E kérdés kapcsán tett megállapítása szerint a GDPR 99. cikkének (2) bekezdése értelmében az általános adatvédelmi rendeletet 2018. május 25-étől kell alkalmazni.
A jelen ügyben tárgyalt személyesadat-kezelésre 2013. november 1. és 2013. december 31. között, tehát az általános adatvédelmi rendelet alkalmazásának kezdőnapját megelőzően került sor. J. M. eme időpontot követően 2018. május 29-én nyújtotta be a tájékoztatás iránti kérelmét a Pankki S-hez. J. M. arra irányuló kérelme, hogy közöljék vele az ügyben érintett információkat, az általános adatvédelmi rendelet 15. cikkének (1) bekezdéséhez kapcsolódott, amely előírja az érintett ama jogát, hogy hozzáférést kaphasson az adatkezelés tárgyát képező, rá vonatkozó személyes adatokhoz, valamint az e rendelkezésben említett információkhoz.
Az EUB e tekintetben emlékeztetett arra, hogy az eljárási szabályokat általában azok hatálybalépésétől kezdve kell alkalmazni, az anyagi jogi szabályokat viszont úgy kell értelmezni, hogy azok a hatálybalépésüket megelőzően keletkezett és véglegesen megszerzett jogi helyzetekre csak annyiban vonatkoznak, amennyiben szövegükből, céljukból és rendszertani elhelyezkedésükből világosan következik, hogy ilyen hatály tulajdonítható nekik[3].
Értelmezése szerint e rendelkezés nem vonatkozik az érintett személyes adatait érintő adatkezelés jogszerűségi feltételeire, mivel csupán az érintett személy ama jogának terjedelmét pontosítja, hogy hozzáférést kapjon a rendelkezésben foglalt adatokhoz és információkhoz. E joghely az érintettek számára eljárási jellegű jogot biztosít arra vonatkozóan, hogy személyes adataik kezeléséről információkat kapjanak. Mint eljárási szabályt ezt a rendelkezést alkalmazni kell a rendelet alkalmazásának kezdőnapját követően benyújtott hozzáférés iránti kérelmekre, így J. M. kérelmére is[4].
III.2. Az előterjesztő bíróság az EUB által együttesen vizsgált első és második kérdésével arra várt választ, hogy a GDPR 15. cikkének (1) bekezdését úgy kell-e értelmezni, miszerint az érintett személyes adataiba való betekintésekkel kapcsolatos, a betekintések időpontjára és céljaira, valamint a betekintést végző természetes személyek személyazonosságára vonatkozó információk olyan információknak minősülnek, amelyeket az érintett e rendelkezés alapján jogosult megkapni az adatkezelőtől.
Az EUB emlékeztetett arra, a GDPR 15. cikke (1) bekezdésében foglaltak szerint az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, miszerint személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy hozzáférést kapjon az említett személyes adatokhoz, valamint többek között az azon címzettek vagy címzettek kategóriáira vonatkozó információkhoz, akikkel, illetve amelyekkel ezeket a személyes adatokat közölték vagy közölni fogják[5].
A GDPR e cikkének (1) bekezdésében szereplő fogalmakat a rendelet 4. cikke határozza meg.
E cikk 1. pontja szerint a személyes adat fogalmába beletartozik „az azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ”, továbbá e rendelkezés pontosítja, hogy „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.
A „bármely információ” kifejezés a jogalkotó azon célját tükrözi, hogy e fogalomnak olyan tág jelentést adjon, amely potenciálisan magában foglal minden típusú információt, legyen az akár objektív, akár vélemény vagy értékelés formájában megjelenő szubjektív információ, feltéve, hogy az a szóban forgó személyre „vonatkozik”[6].
Valamely információ akkor vonatkozik egy azonosított vagy azonosítható természetes személyre, ha az információ a tartalmánál, céljánál vagy hatásánál fogva egy azonosítható személyhez kapcsolódik[7]. A személyek „azonosítható” jellegét illetően a GDPR (26) preambulumbekezdése pontosította, hogy figyelembe kell venni „minden olyan módszert […] – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja”.
Ebből következően a „személyes adatok” fogalmának tág meghatározása nem csupán az adatkezelő által megszerzett és tárolt adatokra terjed ki, hanem magában foglalja az azonosított vagy azonosítható személyre vonatkozó személyes adatok kezeléséből származó valamennyi információt is[8].
Miként az EUB az „adatkezelésnek” a GDPR 4. cikkének 2. pontjában meghatározott fogalmát illetően megállapította, a „bármely művelet” kifejezés használatával az uniós jogalkotó e fogalomnak tág jelentést kívánt adni, a személyes adatokon vagy adatállományokon végzett műveletek nem kimerítő felsorolását alkalmazva, amely felsorolás magában foglalja többek között a gyűjtést, a rögzítést, a tárolást vagy a betekintést[9].
Miként a GDPR 4. cikkének 9. pontja pontosította, a „címzett” alatt „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e”.
E tekintetben az EUB már kimondta, az érintettnek joga van ahhoz, hogy az adatkezelőtől tájékoztatást kapjon azokról a konkrét címzettekről, akikkel a rá vonatkozó személyes adatokat közölték, vagy közölni fogják[10]. Így tehát a GDPR 15. cikke (1) bekezdésének szó szerinti elemzéséből és az ott szereplő fogalmakból az következik, hogy az e rendelkezés által az érintett számára biztosított hozzáférési jog esetében széles a köre azoknak az információknak, amelyeket az adatkezelőnek az érintett számára meg kell adnia[11].
E tekintetben a GDPR 12. cikkének (1) bekezdése pontosította, hogy az adatkezelőnek az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni, kivéve, ha az érintett szóbeli tájékoztatást kér. Ez a rendelkezés, amely az átláthatóság elvének kifejeződése, annak biztosítására irányul, miszerint az érintett olyan helyzetben legyen, hogy teljes mértékben megértse a részére megküldött információkat[12].
A fenti rendszertani értelmezésből következik, hogy a GDPR 15. cikkének (1) bekezdése egyike ama rendelkezéseknek, amelyek célja annak biztosítása, hogy a személyes adatok kezelésének módjai az érintett számára átláthatók legyenek. A hozzáférési jog terjedelmének eme értelmezését a rendelet célkitűzései is alátámasztják[13]. A rendelet elsősorban arra irányul, hogy biztosítsa a természetes személyek következetes és magas szintű védelmét az unión belül, valamint, hogy megerősítse és részletesen meghatározza az érintettek jogait.
Továbbá a saját személyes adatokhoz és a GDPR 15. cikkének (1) bekezdésében foglalt egyéb információkhoz való hozzáférés joga mindenekelőtt arra irányul, hogy az érintett tudomást szerezzen adatai kezeléséről és ellenőrizhesse annak jogszerűségét. Ebből következően minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, továbbá, ha lehetséges, azt, a személyes adatok kezelése milyen időtartamra vonatkozik, a személyes adatok címzettjeit, azt, hogy a kezelésük milyen logika alapján történt.
E tekintetben az EUB emlékeztetett korábbi ítéletére, melyben kimondta, a GDPR 15. cikkében biztosított hozzáférési jognak lehetővé kell tennie az érintett számára, hogy megbizonyosodjon arról, a rá vonatkozó személyes adatok helyesek, és azokat jogszerűen kezelik[14]. Különösen, e hozzáférési jog szükséges ahhoz, hogy az érintett adott esetben gyakorolhassa a helyesbítéshez, a törléshez („az elfeledtetéshez való jog”) és az adatkezelés korlátozásához való jogát, amely jogokat a GDPR 16., 17., illetve 18. cikke biztosítja számára, továbbá a személyes adatok kezelése elleni tiltakozáshoz való, a GDPR 21. cikkében biztosított jogát, valamint a GDPR 79. és 82. cikkében biztosított kártérítési igényét, amennyiben kár érte[15].
A GDPR 15. cikkének (1) bekezdése egyike azon rendelkezéseknek, amelyek célja annak biztosítása, hogy a személyes adatok kezelésének módjai átláthatók legyenek az érintett számára[16], amely átláthatóság nélkül az érintett nem tudná megítélni az adatkezelés jogszerűségét, és lehetővé teszi számára a rendelet 16–18., 21., 79. és 82. cikkében előírt előjogok gyakorlását.
Luxembourg szerint a felek között nem volt vitatott, hogy a felperes személyes adatait érintő betekintési műveletek a GDPR 4. cikkének 2. pontja értelmében vett „adatkezelésnek” minősülnek, így e rendelet 15. cikkének (1) bekezdése értelmében nemcsak az e személyes adatokhoz való hozzáférésre, hanem az utóbbi rendelkezésben említett, e műveletekkel kapcsolatos információk vele való közlésére is jogot keletkeztetnek. A J. M. által kért információkat illetően a betekintési műveletek időpontjainak közlése alkalmas arra, hogy az érintett visszajelzést kapjon arról, a személyes adatait egy adott időpontban ténylegesen kezelték. Ezenkívül, mivel a jogszerűségre vonatkozóan a GDPR 5. és 6. cikkében előírt feltételeknek az adatkezelés időpontjában kell teljesülniük, ez az időpont olyan tényezőnek minősül, amely lehetővé teszi az adatkezelés jogszerűségének ellenőrzését. Továbbá rögzítette, hogy a rendelet 15. cikke (1) bekezdésének a) pontja kifejezetten említi az adatkezelések céljaival kapcsolatos tájékoztatást. Végül a 15. cikk (1) bekezdésének c) pontja előírja, hogy az adatkezelő tájékoztatja az érintettet azokról a címzettekről, akikkel az adatait közölték[17].
Konkrétan az adatkezelő naplófájljait illetően az azokban szereplő információk másolatának közlése szükségesnek bizonyulhat azon kötelezettség teljesítéséhez, hogy a GDPR 15. cikkének (1) bekezdésében említett valamennyi információhoz való hozzáférést biztosítsák az érintett számára, valamint, hogy biztosítsák a tisztességes és átlátható adatkezelést, lehetővé téve ezáltal az érintett számára az általános adatvédelmi rendeletből eredő jogainak teljes körű érvényesítését.
Ugyanis először is a naplófájlokból kiderül az adatkezelés fennállása, amely olyan információnak minősül, amelyhez az érintettnek a GDPR 15. cikkének (1) bekezdése értelmében hozzáférést kell kapnia. Ezenkívül tájékoztatást adnak a betekintési műveletek gyakoriságáról és intenzitásáról, lehetővé téve ezáltal az érintett számára, hogy megbizonyosodjon arról, az elvégzett adatkezelést valóban az adatkezelő által megjelölt célok indokolják. Másodszor, a naplófájlok tartalmazzák a betekintési műveleteket végző személyek személyazonosságára vonatkozó információkat.
A jelen ügyben az eljárás tárgyát képező betekintési műveleteket végző személyek a Pankki S alkalmazottai, akik a Pankki S irányítása alatt és utasításainak megfelelően jártak el. Bár a GDPR 15. cikke (1) bekezdésének c) pontjából kétségtelenül az következik, az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon azokról a címzettekről vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, az adatkezelő alkalmazottai nem tekinthetők a GDPR 15. cikke (1) bekezdésének c) pontja értelmében vett, „címzetteknek”, amennyiben az adatkezelő irányítása alatt és utasításainak megfelelően kezelnek személyes adatokat[18].
Miként arra a luxembourgi főtanácsnok az indítványában rámutatott: „A címzett fogalma nem foglalja magában a jogi személy azon alkalmazottjait, akik a jogi személy számítógépes rendszerét használva a jogi személy igazgatóságának utasításai alapján valamely ügyfél személyes adataiba betekintenek. Amikor ezek az alkalmazottak az adatkezelő közvetlen irányítása alatt járnak el, önmagában e tény alapján nem minősülnek az adatok „címzettjeinek”[19]. E tekintetben az EUB hangsúlyozta, a GDPR 29. cikkének megfelelően az adatkezelő irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti.
Mindemellett a naplófájlokban szereplő, az érintett személyes adataiba való betekintést végző személyekre vonatkozó információk a GDPR 4. cikkének 1. pontjában szereplő olyan információknak minősülhetnek, amelyek lehetővé tehetik az érintettnek ellenőrizni az adatait érintő adatkezelés jogszerűségét és különösen meggyőződnie arról, hogy az adatkezelési műveleteket ténylegesen az adatkezelő irányítása alatt és utasításainak megfelelően végezték.
Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a naplófájlokban szereplő információk lehetővé teszik azon alkalmazottak azonosítását, akik adatkezelési műveleteket végeztek, és ezen alkalmazottaknak az a GDPR 4. cikkének 1. pontja értelmében vett személyes adatait tartalmazzák. Az EUB szerint, ha feltételezzük is, hogy az adatkezelő alkalmazottainak személyazonosságára vonatkozó információknak az érintettel való közlése szükségesnek bizonyulhat ahhoz, miszerint az érintett meggyőződjön személyes adatai kezelésének jogszerűségéről, sértheti az alkalmazottak jogait és szabadságait.
Az ügybeni körülmények között az egyrészt az a GDPR által az érintett számára elismert jogok hatékony érvényesülését biztosító hozzáférési jog gyakorlása, másrészt pedig mások jogai vagy szabadságai közötti összeütközés esetén mérlegelni kell a szóban forgó jogokat és szabadságokat. Ahol lehetséges, olyan módot kell választani, amely nem sérti mások jogait vagy szabadságait, de szem előtt kell tartani, e megfontolások „nem eredményezhetik azt, hogy az érintettől minden információt megtagad[ja]nak”, mint az a GDPR (63) preambulumbekezdéséből kitűnik[20].
Azonban J. M. nem a Pankki S. azon alkalmazottainak személyazonosságára vonatkozó információk közlését kérte, akik a személyes adataiba való betekintést végezték – arra hivatkozva, hogy azok valójában nem az adatkezelő irányítása alatt és utasításainak megfelelően jártak el –, hanem a betekintések céljára vonatkozóan a Pankki S. által közölt információk valóságtartalmában kételkedett.
Az EUB szerint ilyen körülmények között, ha az érintett úgy ítélné meg, az adatkezelő által közölt információk nem elegendők ahhoz, hogy eloszlassák a személyes adataival kapcsolatos adatkezelés jogszerűségét illetően felmerült kétségeit, az a GDPR 77. cikkének (1) bekezdése alapján panaszt nyújthat be a felügyelő hatósághoz, amely a rendelet 58. cikke (1) bekezdésének a) pontja értelmében jogosult arra, hogy az adatkezelőtől bekérje a rendelkezésére álló összes olyan információt, amely az érintett panaszának elbírálásához szükséges[21].
III.3. Az előterjesztő bíróság harmadik kérdése arra irányult, miszerint az a körülmény, hogy egyrészt az adatkezelő szabályozott feladat keretében banki tevékenységet folytat, másrészt pedig az a személy, akinek az adatkezelő ügyfeleként a személyes adatait kezelték, az adatkezelő munkavállalója is volt, releváns-e a GDPR 15. cikkének (1) bekezdésében számára elismert hozzáférési jog terjedelmének meghatározása szempontjából.
Válaszában az EUB a GDPR 15. cikkének (1) bekezdésében előírt hozzáférési jog hatályát illetően hangsúlyozta, a rendelet egyetlen rendelkezése sem tesz különbséget az adatkezelő tevékenységeinek jellege vagy azon személy jogállása alapján, akinek a személyes adatait kezelik.
A Pankki S tevékenységének szabályozott jellegét illetően rögzítette, a GDPR 23. cikke kétségtelenül lehetővé teszi a tagállamok számára, hogy jogalkotási intézkedések útján korlátozzák a rendelet 15. cikkében foglalt kötelezettségek és jogok hatályát, az előzetes döntéshozatalra utaló határozatból azonban nem tűnik ki, hogy a Pankki S tevékenységére ilyen jogszabály vonatkozna[22].
Mivel az a tény, hogy J. M. egyidejűleg a Pankki S ügyfele és munkavállalója is volt, az EUB megállapítása szerint – a GDPR célkitűzéseire, valamint az érintettet megillető, hozzáférési jog terjedelmére is tekintettel – az a kontextus, amelyben az érintett a GDPR 15. cikkének (1) bekezdésében említett információkhoz kért hozzáférést, nem befolyásolhatja e jog terjedelmét.[23]
IV. Az Európai Unió Bíróságának ítélete
A fenti indokok alapján a luxembourgi taláros testület a következőképpen határozott.
1) Az általános adatvédelmi rendelet 15. cikkének a 99. cikke (2) bekezdésével összefüggő értelmezése szerint e rendelkezés alkalmazandó az e jogszabályban említett, az információkhoz való hozzáférés iránti kérelemre, ha ez utóbbival összefüggő adatkezelési műveleteket az említett rendelet alkalmazásának kezdőnapját megelőzően végezték, de a kérelmet eme időpont után nyújtották be.
2) A 2016/679 rendelet 15. cikkének (1) bekezdése értelmében az érintett személyes adataiba való betekintésekkel kapcsolatos, a betekintések időpontjára és céljaira vonatkozó információk olyan információknak minősülnek, amelyeket az érintett e rendelkezés alapján jogosult megkapni az adatkezelőtől. E rendelkezés ezzel szemben nem biztosít ilyen jogot az adatkezelő ama alkalmazottainak személyazonosságára vonatkozó információk tekintetében, akik a betekintéseket az adatkezelő irányítása alatt és utasításainak megfelelően végezték – kivéve, ha eme információk elengedhetetlenek ahhoz, hogy az érintettnek lehetővé tegyék a rendelet által részére biztosított jogok tényleges gyakorlását, azzal a feltétellel, miszerint figyelembe veszik eme alkalmazottak jogait és szabadságait is.
3) A 2016/679 rendelet 15. cikkének (1) bekezdése szerint az a körülmény, miszerint az adatkezelő szabályozott feladat keretében banki tevékenységet folytat, és hogy az a személy, akinek az adatkezelő ügyfeleként a személyes adatait kezelték, az adatkezelő munkavállalója is volt, főszabály szerint nem befolyásolja az e személyt e rendelkezés alapján megillető jog terjedelmét.
A cikk a Wolters Kluwer Hungary termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.
Lábjegyzetek:
[1] A 2023. június 22-ei J. M. kontra a Apulaistietosuojavaltuutettu-, C‑579/21. sz. ügy. Ítélet ECLI:EU:C:2023:501 (Ítélet)
[2] A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló (EU) 2016/679 rendelet (általános adatvédelmi rendelet, GDPR)
[3] A 2021. június 15‑ei Facebook Ireland és társai-ítélet, C‑645/19, EU:C:2021:483, 100. pont
[4] Ítélet 34. pont
[5] A 2023. január 12‑ei Österreichische Post- [A személyes adatok címzettjeire vonatkozó információk] ítélet, C‑154/21, EU:C:2023:3, 46. pont
[6] A 2023. május 4‑ei Österreichische Datenschutzbehörde és CRIF-ítélet, C‑487/21, EU:C:2023:369, 23. pont
[7] Österreichische Datenschutzbehörde-ítélet, 24. pont
[8] Österreichische Datenschutzbehörde-ítélet, 26. pont
[9] Österreichische Datenschutzbehörde-ítélet, 27. pont
[10] Österreichische Post-ítélet, 46. pont
[11] Ítélet 49. pont
[12] Österreichische Datenschutzbehörde-ítélet, 38. pont
[13] Ítélet 54. pont
[14] Österreichische Datenschutzbehörde-ítélet, 34. pont
[15] Österreichische Datenschutzbehörde-ítélet, 35. pont
[16] Österreichische Post-ítélet, 42. pont
[17] Ítélet 62. pont
[18] Ítélet 73. pont
[19] Manuel Campos Sánchez-Bordona főtanácsnoknak a J. M. és az Apulaistietosuojavaltuutettu; Pankki- S C-579/21. sz. ügyben tett indítványa (Indítvány) 63. pont
[20] Österreichische Datenschutzbehörde-ítélet, 44. pont
[21] Ítélet 82. pont
[22] Ítélet 87. pont
[23] Ítélet 89. pont