Má subjekt údajů právo na poskytnutí kopie celých dokumentů obsahujících jeho osobní údaje, nebo stačí poskytnout kopii samotných údajů? A záleží na tom, za jakým účelem subjekt žádá o právo na přístup? Pohled ÚOOÚ a SDEU se v tomto rozchází.
V předchozím čísle Zpravodaje jsme se podrobněji podívali na některé výsledky analytické činnosti ÚOOÚ. Díky výroční zprávě jsme se dozvěděli poměrně zajímavé informace o oblastech, v nichž může být plnění právních povinností z pohledu GDPR komplikované. Proto je žádoucí vědět, jaký názor v těchto oblastech zastává ÚOOÚ (i když nemusí být závazný).
Jednou z posledních oblastí, o níž ÚOOÚ informoval, je otázka práva na přístup, respektive otázka, kde končí povinnost správce zpřístupnit veškeré osobní údaje, včetně dokumentace, která osobní údaje obsahuje, a v jakých případech může správce takovou žádost odmítnout. Této otázce se věnoval také Soudní dvůr EU, který řešil spor mezi chorvatskou bankou a tamním dozorovým úřadem ohledně povinnosti zpřístupnit osobní údaje.
Co si myslí ÚOOÚ
Sám ÚOOÚ tuto otázku otevřel v souvislosti se svou analytickou činností, kde posuzoval žádost o poskytnutí kopie přepisu telefonních hovorů. Mimo jiné v rámci výroční zprávy k této otázce uvedl následující: „V této souvislosti je vhodné uvést, že obsahem práva na přístup k osobním údajům podle ustanovení článku 15 obecného nařízení, jímž je podle ustanovení článku 15 odst. 3 obecného nařízení rovněž poskytnutí kopie zpracovávaných osobních údajů, není míněno poskytnutí kopií všech kompletních dokumentů, např. smluv, obsahujících osobní údaje. V určitých případech je postačující uvedení konkrétního soupisu zpracovávaných osobních údajů spolu s vymezením, ve kterých dokumentech jsou předmětné osobní údaje uvedeny.“
Platí tedy defaultně pravidlo, že právo na přístup se nevztahuje na smlouvy, jež obsahují osobní údaje? Pravděpodobně ano. Je však bezpečné se tím beze zbytku řídit? Pravděpodobně ne.
Případ chorvatské banky
V roce 2018 a 2019 požádalo několik zákazníků banky Hypo Alpe Adria Bank, respektive Addiko Bank, o kopie dokumentů, které obsahují jejich osobní údaje. Jmenovitě se zákazníci domáhali úvěrových smluv, splátkových kalendářů, dokumentů o změnách úrokových sazeb a výpisů z účtu. Motivací zákazníků bylo zajistit za účelem obhajoby právních nároků proti předmětné bance veškerou možnou dokumentaci osobních údajů, které má banka k dispozici.
Tyto žádosti však byly ze strany banky zamítnuty s poukázáním na povinnost uchovávat předmětné dokumenty dle zákona. Tím se však klienti nenechali odradit a obrátili se na dozorový úřad v oblasti ochrany osobních údajů, který konstatoval porušení článku 15 odst. 3 GDPR a uložil bance pokutu ve výši 1,1 milionu chorvatských kun (v přepočtu se jedná asi o 147 tisíc eur).
Bance se samozřejmě předmětné rozhodnutí nelíbilo, a proto se obrátila na správní soud v Záhřebu s odůvodněním, které se nápadně blíží textaci ÚOOÚ uvedené výše, a sice že subjekty údajů mají nárok pouze na kopii osobních údajů, nikoliv však dokumentů, které tyto údaje obsahují. Banka dále argumentovala tím, že právo na přístup slouží pouze k ověření zákonnosti zpracování ze strany banky.
I když SDEU v roce 2014 (tedy před příchodem GDPR) judikoval, že obecně nárok na poskytnutí původních dokumentů v tehdejším právním rámci oporu neměl, považoval záhřebský soud za vhodné obrátit se na SDEU s otázkami, zda má správce povinnost poskytnout kopii dokumentu obsahujícího osobní údaje a zda správce může odmítnout takovou žádost v případě, že je motivována jinými důvody než ověřením zákonnosti zpracování osobních údajů.
Subjekt údajů může uplatnit právo na přístup z jakéhokoliv důvodu
Jak se k tomu postavil SDEU?
Hned první otázka je pro nás klíčová – SDEU rozhodoval o tom, zda povinnost dle čl. 15 odst. 3 GDPR znamená povinnost poskytnout kopii celých dokumentů, které osobní údaje obsahují, nebo pouze kopii těchto osobních údajů jako takových.
SDEU hned na začátku připomněl poměrně logickou věc, a sice že při výkladu ustanovení evropského práva je potřeba přihlédnout nejen k jeho znění, ale také k celkovému kontextu a cílům předmětných ustanovení. Omezovat se pouze na jazykový výklad v okamžiku, kdy cílem GDPR je co největší standard ochrany osobních údajů subjektu údajů, není úplně vhodná cesta.
Předmětné otázce se již věnovalo několik rozhodnutí SDEU (nejcitovanější věc byla C-307/22), přičemž SDEU k tomu uvedl následující: „Dále, co se týče kontextu, do něhož toto ustanovení zapadá, soud rovněž rozhodl, že článek 15 GDPR nelze interpretovat tak, že v odstavci 3, první věta, zavádí právo odlišné od práva stanoveného v odstavci 1 tohoto článku. Dále bylo upřesněno, že pojem ‚kopie‘ se nevztahuje na dokument jako takový, ale na osobní údaje, které obsahuje a které musí být kompletní. Kopie tedy musí obsahovat všechny osobní údaje, které jsou předmětem zpracování.“
To však neznamená, že správce může jednoduše žádost subjektu údajů odmítnout. SDEU totiž zopakoval, že smyslem čl. 15 GDPR je posílení práv subjektu údajů, které má subjektům údajů zajistit, aby osobní údaje, jež se jich týkají, byly přesné a byly zpracovávány zákonným způsobem. Kromě toho kopie osobních údajů, které jsou předmětem zpracování a jež musí správce poskytnout podle článku 15, odstavec 3, první věta GDPR, musí obsahovat všechny charakteristiky, které umožňují dotčené osobě účinně uplatňovat její práva podle GDPR, a musí tedy tyto údaje reprodukovat věrně a úplně. Pravdou totiž je, že stále platí ustanovení čl. 12 GDPR, jež klade požadavky na správce, co se týče srozumitelnosti a jednoznačnosti v okamžiku, kdy se vypořádává s žádostmi subjektu údajů v rámci uplatnění jejich práv.
Dle SDEU tak právo na kopii osobních údajů zahrnuje povinnost poskytnout subjektu údajů věrnou a srozumitelnou reprodukci všech těchto údajů. Toto právo zahrnuje povinnost poskytnout kopie výňatků z dokumentů, nebo dokonce celé dokumenty, které obsahují mimo jiné tyto údaje, pokud je poskytnutí takových kopií nezbytné pro to, aby dotčená osoba mohla účinně uplatňovat práva, jež jí poskytuje GDPR.
SDEU tak v odpovědi na první otázku vlastně nabízí trochu jinou odpověď, než o které psal ve výroční zprávě ÚOOÚ. SDEU totiž říká, že „právo subjektu údajů získat kopii osobních údajů, které se jí týkají a které jsou předmětem zpracování, zahrnuje povinnost poskytnout této osobě věrnou a srozumitelnou reprodukci všech těchto údajů. Toto právo zahrnuje povinnost poskytnout kopii celých dokumentů, které obsahují mimo jiné tyto údaje, pokud je poskytnutí takové kopie nezbytné k tomu, aby dotčená osoba mohla ověřit přesnost a úplnost těchto údajů a aby byla zajištěna jejich srozumitelnost“.
Motivace žádosti
Může subjekt údajů žádat o kopie i bez motivace ověřit zákonnost zpracování? V tomto případě se můžeme již omezit na jednoduchou odpověď. Může. GDPR totiž nepodmiňuje uplatnění práva na přístup jakýmkoliv zdůvodněním. Banka zde zvolila poměrně zajímavou argumentaci, kterou opřela o doslovný výklad bodu 63 preambule GDPR, jež zní následovně: „Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost.“
SDEU však v tomto bodě zopakoval poměrně jednoznačnou věc, na kterou se však velmi často zapomíná, a sice že ustanovení preambule nejsou závazná, nota bene je nelze vykládat v rozporu s ustanoveními samotného nařízení jako takového. Nelze tak jednoduše odmítnout žádost o přístup s odůvodněním, že žádost zjevně nesměřuje vůči ověření zákonnosti daného zpracování, ale ve skutečnosti sleduje cíl jiný.
Co si z toho odnést?
I když SDEU nedal jednoznačnou odpověď, zda má správce povinnosti vždy poskytnout smlouvu či jiný dokument, který obsahuje osobní údaje, vyvrátil nám určitou míru bezpečí, již bychom po přečtení textace ÚOOÚ mohli mylně nabýt. Odmítnout poskytnout subjektu údajů kopii dokumentů, které obsahují jeho osobní údaje, bez dalšího není úplně možné. Vždy bude záležet na konkrétní situaci s tím, že je odpovědností správce, aby jeho odpověď na žádost plnila svůj účel a subjekt údajů tak mohl ověřit úplnost a správnost zpracovávaných údajů. S ohledem na skutečnost, že definice osobních údajů je poměrně dost široká, může správce s odůvodněním neposkytnutí kopie kompletní dokumentace celkem bojovat.
Comments