Saksamaa Heidelbergi ringkonnakohus leidis oma 06.02.2020 otsuses 4 O 6/19, et on küsitav, kas isikuandmete säilitamine varukoopiatena, millele vastutaval töötlejal endal puudub juurdepääs, on töötlemine GDPR tähenduses.
Kohus leidis, et andmesubjekti juurdepääsu taotluse rahuldamine antud juhtumil oleks tähendanud ebaproportsionaalseid pingutusi ning arvestatavaid kulutusi. Samuti hindas kohus väheseks andmesubjekti huvi saada juurdepääsu 10 aasta tagustele andmetele.
Kohtu hinnang on kahtlemata huvitav teemapüstituse tõttu – kas ja millised andmesubjekti õigused ja vastutava töötleja kohustused laienevad varukoopiates sisalduvatele isikuandmetele? Ennekõike võiks see puudutada GDPR artiklis 15 sisalduvat andmesubjekti õigust tutvuda oma andmetega ja artiklis 17 sisalduvat õigust oma andmete kustutamisele (“õigusele olla unustatud”).
Antud kohtuasjas on kahtlemata olulised ka spetsiifilised asjaolud – endine juhatuse liige soovis juurdepääsu oma 10 aasta tagustele isikuandmetele, vastutav töötleja oli vahepeal pankrotti läinud, isikuandmeid sisaldav riistvara oli üle antud kolmandale isikule, mistõttu puudus vastutaval töötlejal endal juurdepääs ning isiku taotlusega oleks pidanud tegelema pankrotihaldur.
Kohus kaalus pingutust ja kulusid, mida vastutav töötleja oleks pidanud tegema varukoopiatest isikuandmete kätte saamiseks ning andmesubjekti huvi suurust.
Selles kohtuasja raames kerkis esile veel üks huvitav küsimus – kuidas andmesubjekt oma juurdepääsutaotluse peaks sõnastama. Kohus leidis, et andmesubjekti taotlus ei ole selge kui see koosneb ainult GDPR artikkel 15 sõnastuse täpsest kopeerimisest ilma et oleks täpsustatud, millistele andmekategooriatele ja millisest ajaperioodist juurdepääsu soovitakse. Siinkohal viitas kohus GDPR selgituspunktile 63.
Viidatud kohtuasja põhjal ei saa siiski jõuda üldistavale järeldusele, et isiku õigus tutvuda oma andmetega üldse ei kohaldu varukoopiates sisalduvatele isikuandmetele. Samuti oleks ennatlik järeldada, et isikuandmete liigutamine varukoopiatesse annaks vastutavale töötlejale võimaluse juurdepääsutaotluste tagasilükkamiseks.
Vastutav töötleja peaks juurdepääsunõude – ning tegelikult ka kustutamise nõude – korral hindama tekkivaid, sh andmete taastamisega seonduvaid kulusid ning muid pingutusi, mida taotluse rahuldamiseks on vaja teha. GDPR artikli 17 lõige 3 võimaldab vastutaval töötlejal küsida mõistlikku tasu selliste kulude katteks.
