Kan je de identiteit opvragen van werknemers van de verwerkingsverantwoordelijke die je persoonsgegevens hebben geraadpleegd? Hof van Justitie oordeelt op 22 juni 2023 (LegalNews)

Auteur: Marc Vandecasteele (LegalNews)

De feiten

Een werknemer en daarnaast ook klant van een financiële instelling heeft die financiële instelling verzocht hem in kennis te stellen van de identiteit van de personen die zijn persoonsgegevens hadden geraadpleegd in het kader van een intern onderzoek. Geconfronteerd met de weigering van de instelling om hem die informatie te verstrekken, heeft hij de beschikbare rechtsmiddelen aangewend en is zijn zaak uiteindelijk in behandeling genomen door de Itä-Suomen hallinto-oikeus (bestuursrechter Oost-Finland).

Deze rechter heeft het Hof verzocht om een prejudiciële beslissing over de uitlegging van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG.

De visie van de advocaat-generaal

De advocaat-generaal wijst erop dat het kan gebeuren dat een werknemer de door de verwerkingsverantwoordelijke vastgestelde procedures niet volgt en zich op eigen initiatief onrechtmatig toegang verschaft tot gegevens van klanten of van andere werknemers. In die situatie zou de oneerlijke werknemer niet namens en ten behoeve van de verwerkingsverantwoordelijke handelen.

In zoverre zou de oneerlijke werknemer kunnen worden aangemerkt als een „ontvanger” aan wie (in figuurlijke zin) – al is het door eigen hand en daardoor onrechtmatig – persoonsgegevens van de betrokkene zijn „verstrekt”, of zelfs als (autonome) verwerkingsverantwoordelijke.

Maar uit de beschrijving van de feiten in de verwijzingsbeslissing en uit de argumenten die de financiële instelling ter terechtzitting heeft aangevoerd, kan worden opgemaakt dat deze instelling haar werknemers toestemming heeft gegeven om, onder haar verantwoordelijkheid, de persoonsgegevens van betrokkene te raadplegen. Die werknemers hebben derhalve de instructies van de verwerkingsverantwoordelijke opgevolgd en namens deze gehandeld. Bijgevolg kunnen zij niet worden aangemerkt als ontvangers in de zin van artikel 15, lid 1, onder c), AVG.

Zoals de financiële instelling ter terechtzitting heeft opgemerkt, vormt de identiteit van individuele werknemers die de verwerking van gegevens van een klant hebben beheerd bijzonder gevoelige informatie uit het oogpunt van hun veiligheid, althans in bepaalde economische sectoren.

Die werknemers kunnen – als zwakste schakel in de bedrijfsketen – worden blootgesteld aan pogingen om druk en invloed uit te oefenen door personen die, als klant van de bank, mogelijk belang hebben bij het personaliseren van hun gesprekspartner, die dan niet langer de financiële instelling zelf is, maar een werknemer of enkele van haar werknemers. Dit kan bijvoorbeeld geschieden wanneer er, door de raadpleging van klantgegevens, follow-up wordt gegeven aan transacties om te voldoen aan de verplichtingen waaraan banken zijn onderworpen op het gebied van het voorkomen en bestrijden van criminaliteit op financieel gebied.

Uiteraard kan de klant twijfelen aan de onkreukbaarheid of onpartijdigheid van de natuurlijke persoon die namens de verwerkingsverantwoordelijke betrokken is bij de verwerking van zijn gegevens. Die twijfel zou, mits deze redelijk is, het belang van de klant bij het kennisnemen van de identiteit van de werknemer kunnen rechtvaardigen met het oog op de uitoefening van zijn recht om zich tot die werknemer te wenden.

Gelet op de gevoeligheid van die informatie botst het belang om kennis te nemen van de identiteit van de werknemer met het niet minder onbetwistbare belang van beheerders van verwerkingen bij het behouden van de vertrouwelijkheid van de identiteit van hun werknemers en met het recht van die werknemers op bescherming van hun eigen gegevens. Het evenwichtspunt wordt naar zijn mening bereikt door bemiddeling van de toezichthoudende autoriteit, als scheidsrechter tussen deze twee met elkaar conflicterende belangen.

In omstandigheden als die in casu zal het dus de toezichthoudende autoriteit moeten zijn die, vanuit haar onpartijdige positie, beoordeelt of de twijfels over het handelen van werknemers van de bankinstelling zodanig gegrond en consistent zijn dat het opofferen van de vertrouwelijkheid van hun identiteit gerechtvaardigd is.

Lees hier de conclusie van de advocaat-generaal

De visie van het Hof van Justitie

Artikel 15, lid 1, AVG aldus moet worden uitgelegd dat de informatie met betrekking tot de raadplegingen van de persoonsgegevens van een persoon, over de datums en de doeleinden van deze raadplegingen, informatie is met betrekking waartoe deze persoon krachtens deze bepaling het recht heeft van de verwerkingsverantwoordelijke inzage te verlangen. Die bepaling voorziet daarentegen niet in een dergelijk recht wat de informatie betreft over de identiteit van de werknemers van die verwerkingsverantwoordelijke die onder zijn gezag en overeenkomstig zijn instructies deze raadplegingen hebben verricht, tenzij die informatie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen en mits rekening wordt gehouden met de rechten en vrijheden van die werknemers.

Artikel 15, lid 1, AVG aldus worden uitgelegd dat de omstandigheid dat de verwerkingsverantwoordelijke in het kader van een gereglementeerde activiteit een bankactiviteit uitoefent en dat de persoon van wie in zijn hoedanigheid van klant van de verwerkingsverantwoordelijke de persoonsgegevens zijn verwerkt, ook werknemer was bij deze verwerkingsverantwoordelijke, in beginsel niet van invloed is op de omvang van het recht van deze persoon op grond van deze bepaling.

Lees hier het arrest van het Hof van Justitie van 22 juni 2023