Προσωπικά δεδομένα: Το δικαίωμα πρόσβασης δεν καλύπτει τα email που δεν σχετίζονται με τις δραστηριότητες του υπευθύνου επεξεργασίας
Ενδιαφέρουσα απόφαση από την ισλανδική Αρχή Προστασίας Δεδομένων
Στις 27 Απριλίου 2021, η Ισλανδική Αρχή Προστασίας Δεδομένων (Persónuvernd) δέχθηκε την καταγγελία υποκειμένου των δεδομένων για τη μη ικανοποίηση του αιτήματος πρόσβασης που είχε υποβάλει.
Σύμφωνα με την καταγγελία, ο καταγγέλλων είχε ασκήσει αίτημα πρόσβασης προς πιστωτικό ίδρυμα της χώρας, ζητώντας, μεταξύ άλλων, όπως του χορηγηθούν αντίγραφα των μηνυμάτων ηλεκτρονικής αλληλογραφίας δύο υπαλλήλων της τράπεζας.
Η αλληλογραφία αυτή είχε πραγματοποιηθεί από τον υπηρεσιακό λογαριασμό τους και αφορούσε στο πρόσωπό του.
Η τράπεζα, κληθείσα από την εποπτική αρχή, επιβεβαίωσε πως πράγματι δεν είχε ικανοποιήσει το αίτημα αυτό. Σύμφωνα με τους ισχυρισμούς της, ο καταγγέλλων έλαβε αντίγραφο όλων των δεδομένων που τηρούνταν στα αρχεία της και τα οποία αφενός τον αφορούσαν, αφετέρου σχετίζονταν με τις δραστηριότητές της.
Τα επίμαχα αντίγραφα ηλεκτρονικής επικοινωνίας όμως δεν μπορούσαν να χορηγηθούν, καθώς δεν σχετίζονταν με υποθέσεις του καταγγέλλοντος σε σχέση με τον υπεύθυνο επεξεργασίας, αλλά αφορούσαν σε ζητήματα σωματειακού χαρακτήρα. Οι δύο υπάλληλοι της τράπεζας, η επικοινωνία των οποίων είχε ζητηθεί, αποτελούν μέλη του σωματείου εργαζομένων στον χρηματοπιστωτικό τομέα, μέλος του οποίου υπήρξε και ο καταγγέλλων.
Κατά τούτο, σύμφωνα με την καταγγελλόμενη, το υποβληθέν και μη ικανοποιηθέν ως προς το σκέλος αυτό αίτημα δεν αποτελούσε παρά μια προσπάθεια του καταγγέλλοντος να αποκτήσει πρόσβαση σε πληροφορίες που δεν σχετίζονταν με τις δραστηριότητες της τράπεζας, αλλά είχαν να κάνουν με υποθέσεις του σωματείου.
Το γεγονός πως η αλληλογραφία αυτή γινόταν μέσω των υπηρεσιακών email των εργαζομένων – μελών του σωματείου δεν καθιστά την τράπεζα υπεύθυνη επεξεργασίας επί των πληροφοριών που ανταλλάσσονται.
Η απόφαση της Αρχής
Η Ισλανδική Αρχή συμφώνησε με την καταγγελλόμενη και απέρριψε την καταγγελία. Σύμφωνα με το σκεπτικό της, κρίσιμο στοιχείο για την έννοια του υπευθύνου επεξεργασίας είναι ο καθορισμός των σκοπών και των μέσων της επεξεργασίας, κριτήριο που δεν πληρούται στη συγκεκριμένη περίπτωση.
Με το αίτημα πρόσβασης που άσκησε, ο καταγγέλλων ζήτησε από την τράπεζα να του χορηγήσει αντίγραφο της ηλεκτρονικής επικοινωνίας δύο υπαλλήλων της, η οποία τον αφορούσε. Από τις πληροφορίες που ετέθησαν ενώπιον της Αρχής όμως προέκυψε πως η επικοινωνία αυτή σχετιζόταν με υποθέσεις του σωματείου των εργαζομένων, μέλος του οποίου υπήρξε και ο καταγγέλλων.
Κατά συνέπεια, η αλληλογραφία αυτή δεν σχετίζεται με τις δραστηριότητες της τράπεζας, ώστε να μπορεί αυτή να θεωρηθεί υπεύθυνη επεξεργασίας και να αποκτήσει πρόσβαση σε αυτές, κάτι που άλλωστε δεν επιτρέπεται και από την κανονιστική πράξη της Αρχής, στο άρθρο 9 της οποίας τίθενται οι προϋποθέσεις υπό τις οποίες μπορεί ο εργοδότης να ελέγχει τα ηλεκτρονικά μέσα επικοινωνίας των εργαζομένων.
Η Ισλανδική Αρχή καταλήγει ότι αρμόδιο για την εξέταση και τυχόν ικανοποίηση του υποβληθέντος αιτήματος είναι το σωματείο των εργαζομένων.