Az érintettek jogai nagyon hangsúlyos szerepet kapnak a GDPR-ban. Abban, hogy az adatkezelés átlátható legyen és az érintettek fel tudjanak lépni jogaik és érdekeik védelme érdekében, kiemelt jelentősége van annak, hogy tisztában legyenek az őket érintő adatkezelések részleteivel (ne legyen a felek között információs asszimmetria). Ezt szolgálja a hozzáférési jog, amely alapján az érintett egyrészt tájékoztatást kérhet az őt érintő adatkezelés részleteiről (15. cikk (1) bekezdés), másrészt az adatkezelés tárgyát képező személyes adatok másolatának rendelkezésére bocsátását is kérheti az adatkezelőtől (15. cikk (3) bekezdés).
Az elmúlt időszakban több olyan hatósági és bírósági döntés született, amely a hozzáférési jog értelmezése, terjedelme meghatározása kapcsán kapaszkodóval szolgálhatnak, még akkor is, ha a különböző tagállami hatóságok (és bíróságok) gyakorlata között ellentmondások is felfedezhetők (különösen a másolat rendelkezésre bocsátásának értelmezése kapcsán).
A hatósági és bírósági gyakorlat alakulása mellett érdekesek azok a "kísérletek" is, amelyek egyes adatkezelők hozzáférési joggal kapcsolatos gyakorlatát (pl. a hozzáférési igények során végzett azonosítással kapcsolatban) teszik próbára és a hozzáférési jog igénybevételével elkövethető visszaélések lehetőségét vizsgálják. A témában például a BBC közölt riportot és Belgiumban egy egyetemi tanulmány (Personal Information Leakage by Abusing the GDPR “Right of Access”) is született.
1. A NAIH hozzáférési jogot érintő határozatai
A Nemzeti Adatvédelmi és Információszabadság Hatóság már korábban, a GDPR előtti időkben az érintettek hozzáférési jogának biztosítása mellett foglalt állást (pl. hangfelvételek kiadásával kapcsolatban). A GDPR alkalmazandóvá válását követően több határozatában szerepeltek megállapítások a hozzáférési jog, illetve e jog megsértése kapcsán. A NAIH által a GDPR alapján kiszabott első bírság is a hozzáférési jog biztosításának megtagadásához kapcsolódott.
A hozzáférési jog, mint az átláthatóság biztosításának kiemelten fontos eszköze
A NAIH egy közelmúltban hozott határozatában (NAIH/2019/167/13.) is foglalkozott a hozzáférési jog kérdésével. Ebben a határozatban hangsúlyozza a Hatóság, hogy a hozzáférési jog az átláthatóság biztosításának fontos eszköze (lásd a Határozat (43) pontját):
Az átláthatóságnak az adatkezelés teljes folyamata során érvényesülnie kell. Az átláthatóság elve szerint az érintettek számára átláthatónak kell lennie, hogy mely személyes adataikat, mely adatkezelők, hogyan kezelik. Az erről való meggyőződés egyik módja a hozzáférési jog gyakorlása, amelynek keretében az érintettek ellenőrizni tudják az adatkezelés jogszerűségét.
A Hatóság hangsúlyozta továbbá, hogy a hozzáférési jog keretében "... nem elegendő egyes nyilvántartásokban szereplő adatokról tájékoztatást adni. A tájékoztatásnak valamennyi olyan személyes adatra ki kell terjednie, amely az érintettel összefüggésben az adatkezelő birtokában van, függetlenül attól, hogy az adatok hol és milyen formában állnak a rendelkezésére – panasznyilvántartás, biztonsági mentés, papír alapú vagy elektronikus számviteli bizonylat, levelezés – és azokon milyen adatkezelési műveleteket végez (például tárolás, archiválás, stb.).” (Lásd a Határozat (37) pontját.)
Betekintés vagy másolat kiadása?
Egy, május végén hozott határozatában (NAIH/2019/1859) a NAIH több fontos megállapítást tett a hozzáférési jog keretei és korlátai kapcsán. Az ügyben az adatkezelő a kérelmező kamerafelvételek másolatának rendelkezésére bocsátására irányuló kérelmét megtagadta, arra hivatkozással, hogy azok üzleti titkokat, valamint harmadik személyek képmását is tartalmazzák. A kamerafelvételek megtekintésére vonatkozóan ugyanakkor lehetőséget biztosított volna. A Hatóság a fentiekkel kapcsolatban az alábbi megállapításokat tette: "A felvételekbe való betekintés biztosítása más típusú hozzáférést biztosít a személyes adatokhoz, illetve az üzleti titokhoz, mint az azt tartalmazó felvétel másolatának a Kérelmező rendelkezésre bocsátása. A betekintés – tekintettel arra, hogy a Kérelmező jelen volt a kamerafelvétel készítése során, és így személyesen is találkozott a felvételeken látható harmadik személyekkel – kisebb mértékben korlátozza a felvételen látható harmadik személyek személyes adataik védelméhez való jogát – különösen akkor, ha kitakarásra kerülnek a felvételeken –, mint a felvételek másolatának Kérelmező részére való átadása."
Az adatkezelő úgy nyilatkozott, hogy a betekintés során sem ismerhetné meg a kérelmező az eredeti, módosítás nélküli felvételeket, csak azokat, amelyeken már a védendő adatok és információk kitakarásra kerültek. A kitakarás keretében az adatkezelőnek arra is lehetősége van, hogy harmadik személyek személyes adatain túl azon információkat kitakarja, amelyek álláspontja szerint az üzleti titkát képezik. "Az üzleti titkot képező információk kitakarásával a felvételek elvesztik az üzleti titok jellegüket, mivel önmagában a kérelmező bankfiókban való mozgása nem tekinthető üzleti titoknak, mivel ezen információ semmiféle vagyoni értékkel nem bír. A bankfiókok ügyfélforgalom számára nyitva álló részének a berendezése, az ügyfélteret figyelő kamerák elhelyezése szintén nem minősül üzleti titoknak, mivel az az érintett gazdasági tevékenységet végzők számára is könnyen hozzáférhető információ."
Tekintettel arra, hogy a védett adatok és információk megismerése megakadályozható a felvételek megfelelő kitakarásával, ezért a - kitakarásokkal ellátott felvételről készült - másolat kiadásnak megtagadásával az adatkezelő megsértette a GDPR 15. cikk (3) bekezdését.
A hozzáférési jog korlátai: adatok új szempontok szerinti csoportosítása, új adatok generálása, illetve az adatkezelő általános adatkezelési gyakorlatának bemutatása
A májusi határozatban, hangfelvételek kiadása kapcsán is hozott döntést a Hatóság és megállapította, hogy az adatkezelő nem sértette meg a kérelmező hozzáférési jogát, hiszen a hangfelvételek másolatát biztosította. Ugyanakkor, az adatkezelők szempontjából nagyon fontos megállapítást tett a NAIH, amikor a kérelmező által a hangfelvételekről kért lista kapcsán egyértelműen kimondta az alábbiakat:
A Kérelmező a hangfelvételek másolatának rendelkezésére bocsátása mellett kért egy listát, amelyen általa támasztott szempontrendszer alapján kérte a hangfelvételek felsorolását, rendszerezését. A hatósági eljárás során nem merült fel arra vonatkozó információ, hogy ilyen listával a Kérelmezett rendelkezne, az érintetti hozzáférési joggyakorlás keretében pedig az adatkezelő a rendelkezésére álló adatokról, információkról való tájékoztatásra köteles, és nem kötelezhető arra, hogy olyan adatokat állítson elő, generáljon, amelyekkel egyébként nem rendelkezik. Az adatkezelő nem köteles a személyes adatokkal való további műveletek elvégzésére az érintetti joggyakorlás keretén belül.
A hozzáférési jog kereteivel kapcsolatban szintén fontos megállapítása a Hatóságnak az alábbi:
A Kérelmező azon kérelme, hogy a Kérelmezett adjon tájékoztatást részére a privátbanki telefonhívások kapcsán a rögzített hívások során készült hangfelvételekre vonatkozó adatkezelési körülményekről, nem kifejezetten a közte és a Kérelmezett között zajlott beszélgetésekről készült hangfelvételekre vonatkozott, hanem a Kérelmezett általános gyakorlatára. Tekintettel arra, hogy a hozzáférési jog keretén belül az érintett arról kaphat tájékoztatást, hogy személyes adatai kezelése folyamatban van-e, és ha folyamatban van, annak mik a körülményei, ezért az nem terjed ki a kizárólag az adatkezelő általános adatkezelési gyakorlatáról való tájékoztatásra. [...]
Másolat kiadása mellett ugyanakkor az eredeti példányba történő betekintés biztosítását túlzónak minősítette a Hatóság:
[...]amennyiben egy dokumentumról az adatkezelő [...] másolatot ad az érintettnek, azzal a lehető legteljesebb mértékben biztosítja a hozzáférési jogát, tehát a másolat kiadásán túl a GDPR rendelkezései alapján nem köteles az eredeti dokumentumokba betekintést biztosítani, hacsak erre külön jogszabály nem kötelezi.
Adatok vagy iratok kiadása?
Egy másik, szintén friss határozatban (NAIH/2019/133) azt szögezte le a Hatóság, hogy a "Kérelmező hozzáférési kérelmére a Kérelmezettnek ugyanis nem csak az általa megadott információkat kellett volna rendelkezésre bocsátania, hanem a Kérelmező kérelmének megfelelően a rendelkezésre álló iratmásolatokat is, ugyanis azzal, hogy bizonyos adatokat korábban folyamatosan a jogszabályok alapján a Kérelmező rendelkezésére bocsátott, nem mentesül az általános adatvédelmi rendelet 15. cikke szerinti hozzáférési kérelem teljesítése alól."
Utóbbi megállapítás több szempontból nagyon fontos:
- egyrészt a Hatóság a GDPR 15. cikk (3) bekezdése szerinti "személyes adatok másolatának rendelkezésre bocsátása" alatt iratmásolatot értett (azaz beleérthető annak az iratnak a másolata, amelyben a személyes adat szerepel),
- másrészt az, hogy korábban az adatokat - más jogszabályok alapján - már az érintett rendelkezésére bocsátotta az adatkezelő, nem mentesíti a hozzáférési jog gyakorlása során a kérelem teljesítése alól.
Ahogy az alábbiakban látni fogjuk, a fentieknél szűkebb, az adatkezelői kötelezettségeket megszorítóbban értelmező jogértelmezéseket találhatunk más európai uniós adatvédelmi hatóságok és bíróságok gyakorlatában.
2. Német bírósági döntések és hatósági útmutatások a hozzáférési joggal kapcsolatban
Az elmúlt időszakban több német adatvédelmi hatóság és bíróság is adott általánosabb vagy egyedi ügyben konkrét iránymutatást a hozzáférési jog értelmezésével kapcsolatban (egy rövid angol nyelvű összefoglaló elérhető itt).
A hesseni adatvédelmi hatóság éves jelentése (lásd különösen a 75. oldaltól) is foglalkozik a hozzáférési jog terjedelmével. A másolat kiadása kapcsán (GDPR 15. cikk (3) bekezdés) értelmezi a másolat fogalmát és azt a következtetést vonja le, hogy a másolat a GDPR értelmében az adatok értelemszerűen struktúrált összefoglalását jelenti ("sinnvoll strukturierten Zusammenfassung"). A fogalom túlzó kiterjesztése ugyanis túlmutat a hozzáférési jog biztosítása által a GDPR-ban elérni kívánt céllal. Ez persze nem zárja ki, hogy adott esetben egyes teljes dokumentumok (pl. email) rendelkezésre bocsátása is szükséges lehet az érintett jogainak érvényesítése érdekében ("Sofern mit Verweis auf Art. 15 Abs. 3 DS-GVO die Kopie einzelner Schriftstücke oder E-Mail-Korrespondenzen verlangt wird, kann dieser Anspruch dann bestehen, wenn das Recht der Betroffenen, die Rechtmäßigkeit der Datenverarbeitung eigenständig zu überprüfen, untrennbar hiermit verbunden ist."), de ez csak inkább kivétel, mint főszabály ("Die Kopie eines Schriftstücks/einer E-Mail muss jedoch in der Regel nicht zur Verfügung gestellt werden."). További példák is szerepelnek az összefoglalóban, amelyek kielégíthetik a hozzáférési igényt: pl. az érintettet kapcsolatban kezelt dokumentumok listája, amelyet egy dokumentum kezelő rendszerben tartanak nyilván vagy az érintettről kezelt profilból készült kivonat.
Egy tavaszi kölni bírósági döntés (részítélet) fontos megállapításokat tartalmazott a hozzáférési joggal kapcsolatban. Például szintén kimondta, hogy a hozzáférési jog nem az érintett nyilvántartásvezetési kötelezettségének a megkönnyítését szolgálja és a másolat alatt a személyes adat másolatát és nem dokumentummásolatot kell érteni ("Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält."), illetve, hogy a hozzáférési jog nem fed le minden adatkezelőnél a belső folyamatok során keletkező információt (pl. jegyzetek), és olyan levelezést, amelynek az érintett korábban részese volt ("Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann"). (A részítéletről angol nyelvű összefoglaló és értelmezés elérhető itt.)
Ugyanakkor - a fenti szűkítőbb értelmezésekkel szemben - egy kölni bíróság sokkal szélesebben értelmezte a hozzáférési jogot egy július végi ítéletében (amellyel szemben még további jogorvoslatra is sor kerülhet és nem kizárt az sem, hogy eljut az Európai Bírósághoz is az ügy) és kiterjesztette például a telefonbeszélgetésekről készült elektronikus feljegyzésekre is. Szintén a hozzáférési jog tág értelmezése látszik egy munkahelyi adatkezelést érintően Baden-Württembergben hozott ítéletben.
A fentiekből is látszik, hogy a hozzáférési jog terjedelme és korlátai kapcsán még számos nyitott kérdés, illetve eltérő értelmezés jelenik meg az egyes hatóságok, illetve bíróságok döntéseiben. Vélhetően előbb-utóbb Európai Bíróság előtt is megjelennek a hozzáférési jogot érintő kérdések, amelyek tisztázása segíthet egységesíteni a gyakorlatot (korábban a C‑434/16. sz. ügyben [Nowak-ügy] foglalkozott a Bíróság a témával).