Het Europees Hof van Justitie benadruk in haar uitspraak in de zaak C-579/21 het recht op informatie om te weten wanneer en waarom zijn persoonsgegevens worden geraadpleegd, zoals vastgelegd in artikel 15 van de GDPR.
Het feit dat de gegevensbeheerder zich bezighoudt met bankzaken heeft geen invloed op de reikwijdte van dat recht.
Hoewel het HvJ-EU het recht op inzage tot informatie over gegevensraadpleging erkende, stelde het wel dat het bekendmaken van de identiteit van de werknemers afhangt van de noodzaak voor de effectieve uitoefening van de rechten van de betrokkene en het respecteren van de rechten van de werknemers.
De aard van de verwerkingsverantwoordelijke als bank en de dubbele rol van de werknemer hadden geen invloed op het recht van de betrokkene op toegang tot zijn gegevens.
Onderzoek naar mogelijke belangenverstrengeling van bankmedewerker: Inzage in klantgegevens en verwerkingsdoeleinden
J.M. is in dienst van een Finse bank en is tegelijkertijd ook klant van die bank. Tussen 1 november en 31 december 2013 hebben vier medewerkers van de Bank of Finland een bezoek gebracht aan J.M. voor inspectie. Deze medewerkers beschikken over de klantgegevens van J.M. Deze gegevens zijn verwerkt omdat zijn naam naar voren kwam bij het verwerken van de gegevens van een andere klant van de bank. J.M was zowel relatiebeheerder als vertegenwoordiger van de bank bij de klant en had daarbij ook een persoonlijke schuld aan deze klant. Als gevolg hiervan dachten de vier medewerkers van de bank dat er mogelijk sprake was van een ongeoorloofde belangenverstrengeling.
Bankmedewerkers vs. klant in het kader van GDPR
J.M. heeft de bank gevraagd om de loggegevens van vier medewerkers in het dataverwerkingssysteem van de bank in te zien. Met zijn inspectieverzoek zou J.M. onder meer te weten komen waarom hij ontslagen is bij de bank.
De bank wees het verzoek af en concludeerde dat de loggegevens de “persoonlijke gegevens” waren van de vier bankmedewerkers en niet van J.M. Dergelijke loggegevens zouden daarom niet vallen onder de reikwijdte van de toegangsrechten van de GDPR. Het geschil tussen de bank en J.M. kwam uiteindelijk bij de verwijzende nationale rechter terecht.
EU-HvJ wordt gevraagd om verduidelijking: Recht op inzage in loggegevens onder de GDPR
De verwijzende rechter verzoekt het EU-HvJ om verduidelijking over het recht op inzage tot persoonsgegevens overeenkomstig artikel 15, lid 1 van de GDPR. De rechter wil weten of de gegevens die de verwerkingsverantwoordelijke heeft verzameld, waaruit de identiteit van de personen die de persoonsgegevens van de betrokken hebben verwerkt en het tijdstip van verwerking van die persoonsgegevens blijken (“loggegevens”), moeten worden beschouwd als ‘informatie’ in de zin van artikel 15, lid 1 van de GDPR, waartoe betrokkene een recht op inzage heeft.
Uitspraak
HvJ-EU: Recht op inzage in persoonsgegevens onder de GDPR beperkt tot informatie over raadplegingen en doeleinden
Het HvJ merkte op dat de GDPR ook van toepassing is op een verzoek dat betrekking heeft op een verwerking van persoonsgegevens voor de inwerkingtreding van de GDPR.
Het HvJ-EU oordeelde ook dat de GDPR duidelijk stelt dat informatie over raadplegingen die operatoren hebben uitgevoerd over de persoonsgegevens van een betrokkene en over de data en doeleinden van die operaties, informatie betreft waarover de betrokkene het recht heeft deze te verkrijgen van de verwerkingsverantwoordelijke.
De GDPR voorziet daarentegen niet in een dergelijk recht met betrekking tot informatie over de identiteit van de werknemers die deze handelingen hebben uitgevoerd in overeenstemming met de instructies van de verwerkingsverantwoordelijke, tenzij die informatie essentieel is om de betrokkene in staat te stellen de rechten, die hem op grond van de GDPR zijn toegekend, uit te voeren en op voorwaarde dat er rekening wordt gehouden met de rechten en vrijheden van die werknemers.
HvJ-EU: Balans tussen recht op inzage en rechten/vrijheden van anderen onder de GDPR
In het geval van een conflict tussen enerzijds de uitoefening van een recht op inzage dat de doeltreffendheid verzekert van de rechten die door de GDPR aan de betrokkene worden verleend en anderzijds de rechten of vrijheden van anderen, zal er een evenwicht moeten worden gevonden tussen de verschillende rechten en vrijheden van de betrokkenen. Waar mogelijk moeten middelen voor het doorgeven van persoonsgegevens worden gekozen die geen inbreuk maken op de rechten of vrijheden van anderen.
Ten slotte oordeelde het Hof dat het feit dat de verwerkingsverantwoordelijke bankiert en handelt in het kader van een gereguleerde activiteit en dat de betrokkene, wiens persoonsgegevens zijn verwerkt, in zijn hoedanigheid van klant van de verwerkingsverantwoordelijke, ook een werknemer is van die verwerkingsverantwoordelijke, in beginsel geen invloed heeft op de reikwijdte van het aan die betrokkene toegekende recht.
Conclusie
Het EU-HVJ heeft met deze uitspraak een belangrijk verduidelijking gebracht betreffende het recht op inzage voor betrokkenen. Als u vragen heeft omtrent uw recht op inzage, contacteer dan een erkend DPO.
