A Bíróság C-579/21. sz. ügyben 2023. 06. 22-én hozott ítélete egy olyan helyzettel foglalkozott, amikor a bank alkalmazottja és egyben ügyfele 2014-ben értesült arról, hogy a bank más alkalmazottai többször megismerték személyes adatait. A munkavállalót később elbocsátották a munkaköréből, az említett ok miatt kétségei voltak a többi munkavállaló személyes adatainak megismertetése jogszerűségével kapcsolatban. A fentiek értelmében felkérte a bankot, hogy tájékoztassa a személyes adatait megismerő munkatársak kilétéről, a tudomásszerzés pontos időpontjáról és a személyes adatai kezelésének céljáról.
A bank megtagadta a munkavállaló tájékoztatását a személyes adatait megismerő alkalmazottak kilétéről, arra hivatkozva, hogy ezek az adatok ezen alkalmazottak személyes adatait jelentik.
A bank ügyfele, akinek a kérelmező tanácsadója volt, a kérelmezővel megegyező vezetéknévvel rendelkező személy hitelezője volt. A bank azt vizsgálta, hogy a kérelmező és a hitelfelvevő egy és ugyanaz a személy-e, és fennállhat-e megengedhetetlen összeférhetetlenségi kapcsolat. Emiatt a banknak a probléma megoldása során személyes adatok feldolgozására volt szükség, amely szerint a bank minden személyes adatot feldolgozó munkatársa nyilatkozatot nyújtott be a belső ellenőrzési osztálynak az adatkezelés indokairól, amely lehetővé tette a kérelmező összeférhetetlenségének gyanújának kizárását.
A kérelmező a finnhez fordult, hogy adja át neki a kért információkat. A Személyes Adatok Védelméért Felelős Hivatal a kérelmező kérelmét elutasította. Az említett okból a kérelmező a Közigazgatási Bírósághoz fordult. A Közigazgatási Bíróság az általános adatvédelmi rendelet (GDPR) 15. cikkének értelmezését kérte a Bíróságtól.
A Bíróság megállapította, hogy az érintettnek joga van az említett tájékoztatást az üzemeltetőtől megszerezni a személyes adatok megismeréséhez kapcsolódó, a személyes adatok kezelésének adataira és céljaira vonatkozó információkra vonatkozóan.
Az Általános Adatvédelmi Rendelet (GDPR) nem tartalmaz ilyen jogot azon munkavállalók személyazonosságának megismerésére vonatkozóan, akik a személyes adatok kezelését az üzemeltető utasításai szerint végezték.
Abban az esetben, ha az érintettnek az Általános Adatvédelmi Rendeletben (GDPR) foglalt jogainak hatékony gyakorlásához ilyen információra van szükség, az üzemeltető köteles azt az érintett rendelkezésére bocsátani.
Abban az esetben, ha ütközés áll fenn egyrészt az Általános Adatvédelmi Rendelet (GDPR) által az érintett számára biztosított hozzáférési jog gyakorlása, másrészt mások jogai vagy szabadságai között. Olyan módszert kell alkalmazni, amely nem sérti mások jogait és szabadságait.
