1.

Служител и едновременно с това клиент на финансова институция иска от нея да го уведоми за самоличността на лицата, които са правили справка с личните му данни в рамките на вътрешно разследване. След отказа на институцията да му предостави такава информация, той използва съответните средства за правна защита, като накрая сезира Itä-Suomen hallinto-oikeus (Административен съд за Източна Финландия, Финландия).

2.

Тази юрисдикция отправя до Съда преюдициално запитване относно тълкуването на Регламент (ЕС) 2016/679 ( 2 ). С отговора си Съдът трябва да се произнесе относно правото на субекта на данните на достъп до определена информация, свързана с обработването на личните му данни.

3.

Съображение 11 гласи:

„Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки“.

4.

Член 4 („Определения“) предвижда:

„За целите на настоящия регламент:

[…]

5.

В член 15 („Право на достъп на субекта на данните“), параграф 1 се посочва:

„Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

6.

Съгласно член 24 („Отговорност на администратора“), параграф 1:

„Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират“.

7.

Съгласно член 25 („Защита на данните на етапа на проектирането и по подразбиране“), параграф 2:

„Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица“.

8.

Член 29 („Обработване под ръководството на администратора или обработващия лични данни“) гласи:

„Обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването не се изисква от правото на Съюза или правото на държава членка“.

9.

Член 30 („Регистри на дейностите по обработване“) предвижда:

„1.   Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отгов[а]ря. Този регистър съдържа цялата по-долу посочена информация:

[…]

2.   Всеки обработващ лични данни и — когато това е приложимо — представителят на обработващия лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:

3.   Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

4.   При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.

5.   Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни […] или лични данни, свързани с присъди и нарушения […]“.

10.

Съгласно член 58 („Правомощия“), параграф 1:

„Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

[…]“.

11.

Съгласно член 30 разпоредбите относно обработването на лични данни на работници и служители, относно изпитванията и проверките, които трябва да се извършват на работниците и служителите, относно изискванията, които трябва да се спазват в това отношение, както и относно техническия надзор на работното място и проверката и отварянето на имейли на даден работник или служител се съдържат в Laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ).

12.

Съгласно член 34, параграф 1 субектът на данните няма право на достъп до събраните за него данни по смисъла на член 15 от ОРЗД, доколкото:

13.

Съгласно член 34, параграф 2, ако само част от данните съгласно параграф 1 не попадат в обхвата на правото, уредено в член 15 от ОРЗД, субектът на данните има право да получи информация за всички други данни, свързани с него.

14.

Съгласно член 34, параграф 3 субектът на данните трябва да бъде информиран за причините за ограничаването, доколкото това не застрашава целта на ограничаването.

15.

Съгласно член 34, параграф 4 данните, които са посочени в член 15, параграф 1 от ОРЗД, трябва да бъдат предоставени на надзорния орган по защита на данните по искане на субекта на данните, доколкото последният няма право на достъп до събраните за него данни.

16.

Съгласно раздел 2, член 4, параграф 2 работодателят е длъжен предварително да информира работника или служителя за събирането на данни, които се използват за определяне на неговата надеждност. Освен това, когато работодателят проверява кредитоспособността на работника или служителя, той трябва да го информира от кой регистър е получена кредитната информация. Ако данни за работника или служителя са събрани от друго лице, което е различно от самия работник или служител, работодателят трябва да предостави на работника или служителя информация за получените данни, преди да бъдат използвани при вземане на решения, отнасящи се до него. Задълженията на администратора за предоставяне на информация на субекта на данните, както и правото на достъп на субекта на данните са уредени в глава III от ОРЗД.

17.

През 2014 г. J. M. узнава, че с личните му данни като клиент на финансовата институция Suur-Savon Osuuspankki (наричана по-нататък „Pankki“) е направена справка в периода от 1 ноември до 31 декември 2013 г. През този период освен клиент J. M. е и служител на Pankki.

18.

Подозирайки, че основанията за справката не са били напълно законни, на 29 май 2018 г. J. M. иска от Pankki да го уведоми за самоличността на служителите, които са имали достъп до данните му през посочения период, и за целите на обработването.

19.

Междувременно Pankki уволнява J. M., който обосновава искането си по-конкретно с желанието да изясни причините за своето уволнение.

20.

На 30 август 2018 г. Pankki, в качеството си на администратор, отказва да предостави на J. M. имената на служителите, които са обработвали личните му данни. Тя твърди, че предвиденото в член 15 от ОРЗД право не се отнася до записите или вътрешните журнални файлове, в които се посочва кои служители и в кой момент са имали достъп до информационната система, съдържаща данните на клиентите. Освен това исканата информация се отнасяла до лични данни на тези служители, а не на J. M.

21.

За да избегне недоразумения, Pankki предоставя на J. M. следните допълнителни разяснения:

22.

J. M. отнася въпроса до националния надзорен орган (Комисия по защита на данните, Финландия) и иска от него да разпореди на Pankki да предостави исканата информация.

23.

На 4 август 2020 г. този надзорен орган по защита на данните отхвърля искането на J. M.

24.

J. M. подава жалба пред Itä-Suomen hallinto-oikeus (Административен съд за Източна Финландия), като твърди, че на основание ОРЗД има право на достъп до информацията относно самоличността и позицията на лицата, направили справка с неговите данни във финансовата институция.

25.

При тези обстоятелства посочената юрисдикция отправя до Съда следните преюдициални въпроси:

26.

Преюдициалното запитване постъпва в Съда на 22 септември 2021 г.

27.

Писмени становища са представени от J. M., Pankki, австрийското, чешкото и финландското правителство, както и Европейската комисия.

28.

В съдебното заседание, проведено на 12 октомври 2022 г., се явяват представители на J. M., Комисията по защита на данните, Pankki, финландското правителство и Комисията.

29.

Доколкото запитващата юрисдикция иска тълкуване на няколко разпоредби от ОРЗД, преди всичко трябва да се установи дали регламентът е приложим ratione temporis към спора в главното производство. Израз на това съмнение е четвъртият преюдициален въпрос.

30.

Съгласно член 99, параграф 1 от ОРЗД регламентът е влязъл в сила на 24 май 2016 г., но се прилага от 25 май 2018 г. ( 6 )

31.

Личните данни на J. M. са проверени в периода от 1 ноември до 31 декември 2013 г., тоест преди влизането в сила на ОРЗД и датата, от която той се прилага.

32.

Датата, която е от значение в случая обаче, е 29 май 2018 г. — денят, в който на основание член 15, параграф 1 от ОРЗД (приложим от 25 май 2018 г.) J. M. иска да му бъде предоставена разглежданата информация.

33.

Както изтъква австрийското правителство, член 15, параграф 1 от ОРЗД предоставя на субектите на данни право от процесуално естество (право на достъп), за да могат да получат информация относно обработването на личните им данни ( 7 ). Като правило от такова естество, то се прилага от момента на влизането си в сила ( 8 ). Следователно J. M. е можел да се позове на него, когато е поискал информацията от Pankki.

34.

Несъмнено законосъобразността на обработването на данните, събрани преди влизането в сила на ОРЗД, трябва да се преценява с оглед на действащата тогава материалноправна уредба, а именно Директива 95/46/ЕО ( 9 ), и на ОЗРД, доколкото е приложим с обратна сила ( 10 ).

35.

Тъй като не се оспорва, че администраторът е разполагал с исканата информация, когато J. M. е поискал достъп до нея (правото, гарантирано от член 15, параграф 1 от ОРЗД), този регламент е бил приложим ( 11 ).

36.

Следователно обстоятелството, че разглежданите данни са обработени преди влизането в сила на ОРЗД, е без значение за предоставянето на достъп или за отказа да се предостави достъп до информацията, изисквана от субекта на данните на основание член 15, параграф 1 от ОРЗД.

37.

Първият и вторият преюдициален въпрос могат да се разгледат заедно. Въпросът, който те повдигат по същество, е дали събраните и обработени от Pankki лични данни на J. M. съвпадат с информацията, която субектът на данните има право да получи съгласно член 15, параграф 1 от ОРЗД.

38.

Нека припомня, че исканата от J. M. информация се отнася до самоличността на служителите, които са направили справка с неговите клиентски данни през 2013 г., както и до момента на извършване на обработването и целта на обработването.

39.

В съдебното заседание е потвърдено, че J. M. ограничава искането си до узнаване на самоличността на тези служители. По-конкретно, в рамките на спора не се поставя под съмнение, че е имало законно основание за обработването на неговите данни от банката ( 12 ).

40.

При все това:

41.

Следователно спорът се съсредоточава единствено върху информацията относно самоличността на служителите на Pankki, които са ползвали личните данни на J. M.

42.

В действителност тази информация се отнася до един детайл от операциите по обработване, а не, строго погледнато, до личните данни на субекта на данните по смисъла на член 4, точка 1 от ОРЗД ( 14 ).

43.

Ясно е, че лицето, с чиито данни е направена справка, е J. M. ( 15 ). След като J. M. получава потвърждение от Pankki, че данните му са били обработвани ( 16 ), информацията, до която той има право на достъп съгласно член 15, параграф 1 от ОРЗД, е съдържащата се в букви а)—з) от същата разпоредба ( 17 ). Предоставянето на тази информация способства за упражняването на правата, с които субектът на данните се ползва ( 18 ) в рамките на механизмите, гарантиращи законосъобразността на обработването на данни.

44.

От член 15, параграф 1 от ОРЗД следва, че визираната информация се отнася до обстоятелствата по обработването на данните.

45.

Всъщност член 15, параграф 1 от ОРЗД предоставя на субекта на данните правото да получи от администратора:

46.

В разпоредбата се прави разграничение между „личните данни“, от една страна, и „информацията“, която е посочена в параграф 1, букви а)—з), от друга.

47.

Следователно информацията, която трябва да се предостави на субекта на данните съгласно член 15, параграф 1, букви а)—з) от ОРЗД, не може да се смесва с неговите лични данни по смисъла на член 4, точка 1 от същия регламент.

48.

Разбира се, не са данни, а информация сведенията относно:

49.

Във всички тези хипотези информацията се отнася или до определени права на субекта на данните, или по-специално до елементи, свързани с извършеното обработване, като неговата цел (тоест основанието за него) и неговия предмет (категориите обработвани данни).

50.

Информацията относно получателите, пред които са или ще бъдат разкрити личните данни на субекта на данните (член 15, параграф 1, буква в) от ОРЗД), повдига допълнителни концептуални въпроси, които ще засегна по-долу.

51.

Накратко, член 15, параграф 1 от ОРЗД установява право на информация относно самия факт на обработването и относно обстоятелствата по него. Към тази информация се добавя информацията относно правата, с които се ползва субектът на данните по отношение на обработваните данни, като например правото на жалба до надзорен орган.

52.

Според мен самото съществуване на обработването и обстоятелствата по него не представляват „лични данни“ по смисъла на член 4, точка 1 от ОРЗД.

53.

Несъмнено от обработването на данни може да произтекат решения, засягащи субекта на данните, както отбелязва запитващата юрисдикция ( 21 ). Този резултат обаче не зависи от това кое лице или кои лица конкретно са проверили данните от името и под отговорността на Pankki, до каквато информация се отнася спорът в главното производство.

54.

При това положение J. M. би имал право да изиска от Pankki в качеството на администратор да го уведоми относно съхраняваните от нея лични данни, събрани както от самия J. M. (член 13 от ОРЗД), така и с други средства (член 14 от ОРЗД). Освен това той би имал право — съгласно член 15 от ОРЗД — на информацията относно съществуването и обстоятелствата по всяко обработване на тези данни, но не защото това представлява само по себе си „лични данни“, а съгласно изричната разпоредба на член 15 от ОРЗД ( 22 ).

55.

От значение за настоящото дело е (по-нататък ще се спра по-подробно на този въпрос), че самоличността на служителите, които са направили справка с данните на J. M., не представлява „лични данни“ на последния.

56.

Отделен е въпросът дали в журналните файлове или записите, на които ще се спра по-нататък, се съдържат пряко или непряко лични данни на субекта на данните, различни от информацията за това кои служители са имали достъп до тях. Дали това е така, зависи до голяма степен от съдържанието на съответните журнални файлове или записи. Повтарям обаче, че спорът в главното производство се ограничава до узнаване на самоличността на служителите на Pankki, а същата не представлява лични данни на J. M., а лични данни на тези служители.

57.

Запитващата юрисдикция иска да се установи дали J. M. би имал право с оглед на член 15, параграф 1, букви а) и в) от ОРЗД да изиска от Pankki да му предостави информация относно служителите, които са обработвали личните му данни, макар тя да не представлява негови лични данни.

58.

Съгласно буква а) субектът на данните има право да изиска от администратора да му потвърди целите на обработването. Но разпоредбата на тази буква (която в случая е спазена, тъй като Pankki е уведомила J. M. за целта на обработването) не предоставя критерии, въз основа на които да се определи кои са получателите на личните данни на J. M.

59.

За сметка на това въпросът придобива смисъл във връзка с искането за тълкуване на член 15, параграф 1, буква в) от ОРЗД. Припомням, че съгласно тази разпоредба субектът на данните има право да получи информацията относно „получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни […]“.

60.

На свой ред член 4, точка 9 от ОРЗД определя като „получател“„физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не“.

61.

Последният израз („независимо дали е трета страна или не“) би могъл да породи неясноти относно персоналния обхват на разпоредбата, както е изтъкнато в съдебното заседание. Един повърхностен и според мен погрешен прочит би могъл да бъде в подкрепа на схващането, че „получател“ e не само всяка трета страна, пред която Pankki е разкрила лични данни на J. M., но и всеки един от служителите, които конкретно правят справки с тези данни от името и под отговорността на юридическото лице Pankki.

62.

Член 4, точка 10 от ОРЗД определя „трета страна“ като „физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни“ ( 23 ).

63.

С оглед на посочените предпоставки считам, че понятието „получател“ не обхваща служителите на юридическо лице, които при ползването на неговата информационна система правят справка с личните данни на клиент по указание на ръководните му органи. Когато такива служители действат под прякото ръководство на администратора, те не придобиват само поради този факт качеството на „получатели“ на данните ( 24 ).

64.

Възможно е обаче даден служител да не спази установените от администратора процедури и по собствена инициатива незаконосъобразно да получи достъп до данните на клиенти или на други служители. В подобна хипотеза нелоялният служител не би действал от името и за сметка на администратора.

65.

В такъв случай нелоялният служител би могъл да бъде квалифициран като „получател“, пред когото са „разкрити“ (в преносен смисъл) — макар и от него самия и следователно незаконосъобразно — лични данни на субекта на данните ( 25 ), или дори да бъде квалифициран като (самостоятелен) администратор ( 26 ).

66.

От описаната в акта за преюдициално запитване фактическа обстановка и от доводите, изложени от Pankki в съдебното заседание, следва, че на своя отговорност тази банка е разрешила на служителите си да направят справка с личните данни на J. M. Ето защо служителите са следвали указанията на администратора и са действали от негово име. Поради това те не могат да бъдат квалифицирани като получатели по смисъла на член 15, параграф 1, буква в) от ОРЗД ( 27 ).

67.

Отделен е въпросът, че информацията относно самоличността на тези служители и относно момента, в който някой от тях е получил достъп до личните данни на клиента (тоест информацията, съдържаща се във файловете или записите, на които ще се спра по-долу), трябва да бъде предоставена на надзорните органи, за да се провери правомерността на техните действия.

68.

Това се потвърждава от член 29 от ОРЗД, визиращ лицата, действащи „под ръководството на администратора или на обработващия лични данни, [които имат] достъп до личните данни“. Тези лица могат да обработват въпросните данни само по указание на своя работодател, който е действителният администратор (или обработващ лични данни).

69.

Целта на член 15, параграф 1 от ОРЗД е субектът на данните да може да упражнява (защитава) ефективно правата, които има по отношение на личните си данни. Поради това трябва да му се посочи кой е администраторът, и когато е приложимо, на кои получатели са разкрити тези данни. С подобна информация субектът на данните може да се обърне не само към администратора, но и към получателите, които са узнали неговите данни.

70.

Вярно е, че субектът на данните може да има съмнения относно правомерността на действията на определени лица при управлението на обработването на неговите данни от името и под ръководството на администратора или обработващия лични данни.

71.

При тези обстоятелства, както отбелязва чешкото правителство и както Комисията посочва в съдебното заседание, субектът на данните може да се обърне към длъжностното лице по защита на данните (член 38, параграф 4 от ОРЗД) или към надзорния орган, за да подаде жалба (член 15, параграф 1, буква е) и член 77 от ОРЗД). Не му се признава обаче правото да получи пряко лични данни (самоличността) на служителя, който, като подчинен на администратора или на обработващия лични данни, по принцип действа съгласно техните указания.

72.

В съдебното заседание е разисквано дали възможността за отнасяне на въпроса към длъжностното лице по защита на данните или към надзорния орган представлява достатъчна гаранция от гледна точка на защитата на правата на лицето, чиито данни са били обработвани.

73.

При решаването на този въпрос може да се възприеме максималистичен подход, при който всеки субект на данни би имал право да узнае самоличността на служителите на администратора, които са имали достъп до неговите данни, дори по указание и под ръководството на администратора.

74.

Считам, че ОРЗД не дава основание да се подкрепи тази теза, независимо че дадена държава членка може да я възприеме във вътрешното си законодателство за един или няколко конкретни сектора ( 28 ).

75.

Според мен не би било разумно, поемайки почти законодателни функции, Съдът да измени ОРЗД, за да въведе ново задължение за предоставяне на информация в допълнение към предвидените в член 15, параграф 1 от него. Това би се случило, ако администраторът бъде задължен във всички случаи да предоставя на субекта на данните информация, отнасяща се не до самоличността на получателя, на когото са разкрити данните, а до самоличността на всеки служител или всяко лице от вътрешния кръг на предприятието, което е имало законен достъп до тях ( 29 ).

76.

Както отбелязва Pankki в съдебното заседание, самоличността на отделните служители, които са управлявали обработването на данните на даден клиент, представлява особено чувствителна информация от гледна точка на тяхната сигурност, поне в някои икономически сектори.

77.

Тези служители биха могли да бъдат изложени на опити за натиск и влияние от страна на лица, които в качеството си на клиенти на банката може да имат интерес да „персонализират“ своя събеседник, какъвто вече не би била самата финансова институция, а по-скоро някой или някои от нейните служители като по-слабо звено от корпоративната верига. Това би могло да се случи например, когато проследяването на трансакциите чрез справка с данните на клиента се извършва, за да се изпълнят наложените на банките задължения във връзка с предотвратяването и борбата с престъпленията във финансовата област.

78.

Действително клиентът може да се усъмни в почтеността или безпристрастността на физическото лице, което е действало от името на администратора при обработването на неговите данни. Такова съмнение, ако е основателно, би могло да обоснове интереса му да узнае самоличността на служителя, за да може да упражни правото си да предприеме действия срещу него.

79.

Като се има предвид чувствителността на тази информация, интересът да се узнае самоличността на служителя, се сблъсква с не по-малко безспорния интерес на администраторите да запазят дискретност относно самоличността на своите служители, и с правото на последните на защита на собствените им данни. Според мен равновесие се постига с посредничеството на надзорния орган като арбитър между двата противоречиви интереса.

80.

Следователно в случай като настоящия надзорният орган е този, който от позицията си на безпристрастност трябва да прецени дали съмненията относно действията на служителите в банката са основателни, така че да обосноват разкриването на тяхната самоличност.

81.

Отговорът на първия и втория преюдициален въпрос би могъл да приключи тук, след като бе установено, че служителите на институцията, които действат от нейно име и по нейни указания, не са — строго погледнато — получателите, посочени в член 15, параграф 1 буква в) от ОРЗД.

82.

При все това е уместно отговорът да бъде допълнен с анализ на евентуалното право на субекта на данните да узнае самоличността на служителите, когато информация за нея се съдържа във файловете или записите за операции на дадено образувание. Въпреки че, както вече посочих, не всички файлове или записи имат непременно еднакво съдържание, по принцип се приема, че те отразяват кой (от служителите на администратора), как и кога е правил справка с данните на клиентите.

83.

Този вид записи позволяват на администратора да изпълни задължението си да зачита принципите, установени в член 5, параграф 1 от ОРЗД, и да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с разпоредбите на Регламента (член 24, параграф 1 и член 25, параграф 2 от ОРЗД).

84.

В специфичния обхват на Директива (ЕС) 2016/680 ( 30 ), посочена от Комисията като пример ( 31 ) за специален режим за защита на данните в областта на престъпленията:

85.

Съгласно член 14 от Директива 2016/680 обаче информацията по-специално относно самоличността на служителя, който е обработвал личните данни, не е част от информацията, до която съответното лице има право на достъп.

86.

В същия смисъл член 30 от ОРЗД предвижда съществуването на т.нар. „регистри на дейностите по обработване“, чието съдържание съвпада — с по-малка степен на конкретизация, що се отнася до определянето на операциите — с това на член 25 от Директива 2016/680 ( 33 ). И както при последната, записаната информация относно самоличността на служителя не е част от информацията, до която субектът на данните има право на достъп съгласно член 15 от ОРЗД.

87.

Причината за тази асиметрия между записаната информация, от една страна, и правото на достъп до нея, от друга, се състои в различните цели на разпоредбите, уреждащи съответно регистрите на дейностите по обработване и достъпността на тяхното съдържание.

88.

Повтарям, че с регистрите по член 30 от ОРЗД се цели да се осигури законосъобразността на обработването и да се гарантират целостта и сигурността на данните. Отговорността за това по принцип е на надзорния орган, на който администраторът и обработващият лични данни трябва да осигурят достъп до записите за операциите (член 30, параграф 4 от ОРЗД).

89.

В ОРЗД правото на жалба до надзорните органи [член 15, параграф 1, буква е)], които трябва да следят за надлежното му прилагане, цели да се защитят правата на физическите лица във връзка с обработването на техните данни. Това е предвидено в член 51, параграф 1 от ОРЗД и следва от изброяването на задачите, които се възлагат на тези органи съгласно член 57 от Регламента.

90.

Общата задача за наблюдение на прилагането на ОРЗД и за защита на правата на физическите лица обосновава правомощията на надзорния орган. Сред тях е и правомощието му да се запознае с обстоятелствата, при които са извършени обработванията на данни, за които отговаря администраторът или обработващият лични данни. Именно едно от тези обстоятелства е от значение в случая: самоличността на лицата, които извършват справки с лични данни на клиентите от името на администратора или на обработващия лични данни.

91.

Никъде в ОРЗД обаче не се изисква информацията относно самоличността на служителите, която се съдържа във вътрешните регистри на образуванията и въз основа на която последните могат да разберат (и евентуално да уведомят надзорния орган) кой и кога е преглеждал лични данни на даден клиент, да бъде достъпна за този клиент.

92.

Напротив, на лицето, засегнато от конкретно обработване на данни, трябва да се предостави необходимата информация, за да се запознае с обстоятелствата, релевантни за преценката на законосъобразността на обработването, и евентуално да я оспори пред надзорния орган или в крайна сметка пред съда.

93.

Независимо от горното, ако записите за операции действително съдържат лични данни на субекта на данните (тоест различни от информацията за самата самоличност на служителите), естествено, той има право да получи от администратора потвърждение, че неговите лични данни се обработват. За целта е без значение дали тези данни се намират в запис за операциите, или в който и да е друг файл или вътрешна база данни на образуванието.

94.

Запитващата юрисдикция иска да се установи „от значение ли е за производството обстоятелството, че става дума за банка, която упражнява регламентирана дейност, или че J. M. едновременно упражнява дейност за банката и е неин клиент“.

95.

Според мен обстоятелството, че администраторът на лични данни упражнява регламентирана дейност, не променя казаното дотук. При все това фактът, че този администратор е банка, за която се прилага присъща на този вид образувания специална правна уредба ( 34 ), може да окаже въздействие при определянето на законосъобразността (правното основание) на обработването, когато то произтича от спазването на наложените със закон задължения ( 35 ).

96.

По принцип не е от значение и обстоятелството, че лицето, с чиито данни е направена справка, е било служител и едновременно с това клиент на банката. Член 15, параграф 1 от ОРЗД не прави разграничение в зависимост от професионалната дейност на субекта на данните, който е и клиент на финансовата институция ( 36 ).

97.

Вярно е, че както отбелязва Комисията, член 23 от ОРЗД позволява на държавите членки да ограничат по законодателен път обхвата на задълженията и правата, предвидени по-специално в член 15 от Регламента, чрез секторни разпоредби за конкретна категория засегнати лица. Запитващата юрисдикция обаче не посочва такова национално ограничение.

98.

По изложените съображения предлагам на Съда да отговори на Itä-Suomen hallinto-oikeus (Административен съд за Източна Финландия, Финландия) по следния начин:

„Член 15, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) във връзка с член 4, точка 1 от посочения регламент

трябва да се тълкува в смисъл, че:

той се прилага, когато искането за достъп до информация, отправено от субекта на данните до администратора на неговите лични данни, е подадено след 25 май 2018 г.;

той не предоставя право на субекта на данните да узнае — като част от информацията, с която разполага администраторът (евентуално посредством журнални файлове или записи за операции) — самоличността на служителя или служителите, които под ръководството и по указания на администратора са извършили справка с личните му данни“.