РЕШЕНИЕ НА СЪДА (първи състав)

22 юни 2023 година ( *1 )

„Преюдициално запитване — Обработване на лични данни — Регламент (ЕС) 2016/679 — Членове 4 и 15 — Обхват на правото на достъп до информацията по член 15 — Информация в журналните файлове, генерирани от обработваща система (log data) — Член 4 — Понятие „лични данни“ — Понятие „получатели“ — Прилагане във времето“

По дело C‑579/21

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Itä-Suomen hallinto-oikeus (Източнофинландски административен съд, Финландия) с акт от 21 септември 2021 г., постъпил в Съда на 22 септември 2021 г., в рамките на производство, образувано по жалба на

J.M.

при участието на:

Apulaistietosuojavaltuutettu,

Pankki S,

СЪДЪТ (първи състав),

състоящ се от: Aл. Арабаджиев, председател на състава, P. G. Xuereb, T. von Danwitz, A. Kumin и I. Ziemele (докладчик), съдии,

генерален адвокат: M. Campos Sánchez-Bordona,

секретар: C. Strömholm, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 12 октомври 2022 г.,

като има предвид становищата, представени:

за J.M., лично от него,

за Apulaistietosuojavaltuutettu, от A. Talus, tietosuojavaltuutettu,

за Pankki S, от T. Kalliokoski и J. Lång, asianajajat, и от E.‑L. Hokkonen, oikeustieteen maisteri,

за финландското правителство, от A. Laine и H. Leppo, в качеството на представители,

за чешкото правителство, от A. Edelmannová, M. Smolek и J. Vláčil, в качеството на представители,

за австрийското правителство, от A. Posch, в качеството на представител,

за Европейската комисия, от A. Bouchagiar, H. Kranenborg и I. Söderlund, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 15 декември 2022 г.,

постанови настоящото

Решение

1

Преюдициалното запитване се отнася до тълкуването на член 15, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2

Запитването е отправено в рамките на производство, образувано по жалба на J.M. против решението, с което Apulaistietosuojavaltuutettu (заместник-надзорник по защита на данните, Финландия) отхвърля искането му да се разпореди на установената във Финландия банкова институция Pankki S да му съобщи определена информация за справочните операции с неговите лични данни.

Правна уредба

3

Съображения 4, 10, 11, 26, 39, 58, 60, 63 и 74 от ОРЗД гласят:

„(4)

Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право […].

[…]

(10)

За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в [Европейския съюз], нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. […]

(11)

Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни […].

[…]

(26)

[…] За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. […]

[…]

(39)

Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принци[п] се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. […]

[…]

(58)

Принципът на прозрачност изисква всяка информация както за обществеността, така и за субекта на данните да бъде в кратка, прозрачна, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки, а в допълнение когато е необходимо, да се използва и визуализация. Тази информация може да бъде представена в електронна форма, например чрез уебсайт, когато е адресирана до обществеността. Това важи в особена степен за ситуации, където нарастването на участниците и технологичната сложност на тази практика правят трудно за субекта на данни да узнае и разбере дали се събират свързани с него лични данни, от кого и с каква цел, като в случая на онлайн рекламите. Като се има предвид, че на децата се полага специална защита, когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.

[…]

(60)

Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. Администраторът следва да предостави на субекта на данните всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекст, в които се обработват личните данни. […]

[…]

(63)

Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. […] Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно целите, за които се обработват личните данни, когато е възможно — срока, за който се обработват личните данни, получателите на личните данни, логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране. […] Това право не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера. […]

[…]

(74)

Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално, администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица“.

4

Член 1 от ОРЗД е озаглавен „Предмет и цели“ и параграф 2 от него гласи:

„С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни“.

5

Член 4 от този регламент предвижда:

„За целите на настоящия регламент:

1)

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано […]; физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2)

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…]

7)

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; […]

[…]

9)

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. […]

[…]

21)

„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

[…]“.

6

Член 5 от Регламента е озаглавен „Принципи, свързани с обработването на лични данни“ и гласи:

„1.   Личните данни са:

а)

обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

[…]

е)

обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

7

Член 12 от ОРЗД е озаглавен „Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни“ и предвижда следното:

„1.   Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език […]. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. […]

[…]

5.   […] Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може […]:

[…]

б)

да откаже да предприеме действия по искането.

Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

[…]“.

8

Член 15 от Регламента е озаглавен „Право на достъп на субекта на данните“ и гласи:

„1.   Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

а)

целите на обработването;

б)

съответните категории лични данни;

в)

получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

г)

когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

д)

съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

е)

правото на жалба до надзорен орган;

ж)

когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

з)

съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

[…]

3.   Администраторът предоставя копие от личните данни, които са в процес на обработване. […]

4.   Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица“.

9

Членове 16 и 17 от Регламента закрепват съответно правото на субекта на данните да изиска коригиране на неточните лични данни (право на коригиране) и правото при определени обстоятелства на изтриване на тези данни (право на изтриване, или право „да бъдеш забравен“).

10

Член 18 от същия регламент е озаглавен „Право на ограничаване на обработването“ и параграф 1 от него гласи:

„Субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното:

а)

точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;

б)

обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

в)

администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

г)

субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните“.

11

Член 21 от ОРЗД е озаглавен „Право на възражение“ и параграф 1 от него предвижда:

„Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции“.

12

Съгласно член 24, параграф 1 от този регламент:

„Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент […]“.

13

Член 29 от Регламента е озаглавен „Обработване под ръководството на администратора или обработващия лични данни“ и гласи:

„Обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването не се изисква от правото на Съюза или правото на държава членка“.

14

Член 30 от ОРЗД е озаглавен „Регистри на дейностите по обработване“ и предвижда:

„1.   Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отгов[а]ря. […]

[…]

4.   При поискване, администраторът […] и — когато това е приложимо — представителят на администратора […], осигуряват достъп до регистъра на надзорния орган.

[…]“.

15

Член 58 от Регламента е озаглавен „Правомощия“ и параграф 1 от него гласи:

„Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

а)

да разпорежда на администратора и на обработващия лични данни и, когато е приложимо — на представителя на администратора или на обработващия лични данни, да предоставят всяка информация, която той поиска за изпълнението на своите задачи;

[…]“.

16

Член 77 от Регламента е озаглавен „Право на подаване на жалба до надзорен орган“ и предвижда:

„1.   Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент.

2.   Надзорният орган, до когото е подадена жалбата, информира жалбоподателя за напредъка в разглеждането на жалбата и за резултата от нея, включително за възможността за съдебна защита съгласно член 78“.

17

Член 79 от ОРЗД е озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“ и параграф 1 от него гласи:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

18

Член 82 от Регламента е озаглавен „Право на обезщетение и отговорност за причинени вреди“ и параграф 1 от него предвижда:

„Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

19

Съгласно член 99, параграф 2 ОРЗД се прилага от 25 май 2018 г.

Спорът в главното производство и преюдициалните въпроси

20

През 2014 г. J.M., който по онова време е служител и клиент на Pankki S, научава, че през периода между 1 ноември и 31 декември 2013 г. членове на персонала на банката са правили неколкократно справки с неговите клиентски данни.

21

Тъй като се съмнява в законосъобразността на тези справки, на 29 май 2018 г. J.M. — който междувременно е уволнен от работата си в Pankki S — отправя искане до тази банка да му съобщи самоличността на хората, които са правили справки с клиентските му данни, точните дати на справките и целите на обработването на данните.

22

В отговора си от 30 август 2018 г. Pankki S, в качеството си на администратор по смисъла на член 4, точка 7 от ОРЗД, отказва да съобщи самоличността на служителите, които са извършвали справочните операции, по съображение че тази информация съставлява лични данни на тези служители.

23

В отговора си обаче Pankki S дава сведения за справочните операции, извършени по нейни указания от службата ѝ за вътрешен одит. Съответно тя обяснява, че един от клиентите на банката, на когото J.M. е бил клиентски съветник, е бил кредитор на лице, което има същата фамилия като J.M., поради което тя е искала да изясни дали жалбоподателят в главното производство и въпросният длъжник са едно и също лице и дали евентуално става дума за недопустими отношения на конфликт на интереси. Pankki S добавя, че за изясняването на случая е било необходимо обработване на данните на J.M. и че всеки служител на банката, който е обработвал тези данни, е представил декларация пред службата за вътрешен одит за причините за обработването им. Освен това банката заявява, че тези справки са позволили да се изключи всяко съмнение за конфликт на интереси по отношение на J.M.

24

J.M. се обръща към Tietosuojavaltuutetun toimisto (Служба на надзорника по защита на данните, Финландия) — надзорният орган по смисъла на член 4, точка 21 от ОРЗД — с искане да задължи Pankki S да му предостави поисканата информация.

25

С решение от 4 август 2020 г. заместник-надзорникът по защита на данните отхвърля искането на J.M. Той се мотивира с това, че целта на искането е да се получи достъп до журналните файлове на обработвалите данните служители, но съгласно досегашната му практика подобни файлове представляват лични данни не на субекта на данните, а на служителите, обработили неговите данни.

26

J.M. подава жалба срещу това решение пред запитващата юрисдикция.

27

Тази юрисдикция припомня, че член 15 от ОРЗД закрепва правото на субекта на данните да получи от администратора достъп до обработваните си данни, а също и информация в частност за целите на обработването и за получателите на данните. Тя иска да установи дали съобщаването на генерираните при операциите по обработване журнални файлове, които съдържат такава информация, в частност за самоличността на служителите на администратора, попада под действието на член 15 от ОРЗД, при положение че тези файлове биха могли да се окажат необходими на субекта на данните, за да прецени законосъобразно ли са обработвани данните му.

28

При тези условия Itä-Suomen hallinto-oikeus (Източнофинландски административен съд, Финландия) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)

Трябва ли правото на достъп, което субектът на данни има на основание член 15, параграф 1 от [ОРЗД], във връзка с [понятието] „лични данни“ по смисъла на член 4, точка 1 от Регламента, да се тълкува в смисъл, че събраната от администратора информация, която показва кой, кога и за каква цел е обработил личните данни на субекта на тези данни, не представлява информация, до която субектът на данните има право на достъп, тъй като по-специално става дума за данни, свързани с работници или служители на администратора?

2)

При утвърдителен отговор на първия въпрос и ако на основание член 15, параграф 1 от [ОРЗД] субектът на данните няма право на достъп до посочената в този въпрос информация, тъй като тя не представлява „лични данни“ на субекта на данните съгласно член 4, точка 1 от [ОРЗД], в случая трябва да се изясни и въпросът за информацията, до която субектът има право на достъп съгласно член 15, параграф 1, букви [а)—з)]:

а)

Kак трябва да се тълкуват „целите на обработването“ по смисъла на член 15, параграф 1, буква а) с оглед на обхвата на правото на достъп на субекта на данните, тоест може ли целите на обработването да обосноват право на достъп до събраните от администратора журнални данни на ползвател, като например информация за лични данни на обработващия, времето, както и целите на обработването на личните данни?

б)

В това отношение могат ли лицата, които са обработили клиентските данни на J.M., при определени критерии да се считат за получатели на личните данни съгласно член 15, параграф 1, буква в) от [ОРЗД], за които субектът на данни би имал право да бъде информиран?

3)

От значение ли е за делото обстоятелството, че става дума за банка, която упражнява регламентирана дейност, или че J.M. едновременно е работел за банката и е бил неин клиент?

4)

Релевантно ли е за преценката на посочените по-горе въпроси обстоятелството, че данните на J.M. са били обработени преди влизането в сила на [ОРЗД]?“.

По преюдициалните въпроси

По четвъртия въпрос

29

С четвъртия си въпрос, който следва да се разгледа най-напред, запитващата юрисдикция иска по същество да се установи дали член 15 от ОРЗД, разглеждан във връзка с член 99, параграф 2 от този регламент, се прилага по отношение на съответното искане за достъп до информацията, посочена в първата от тези разпоредби, когато операциите по обработване, до които се отнася искането, са извършени преди датата, от която започва да се прилага Регламентът, но искането е подадено след тази дата.

30

За да се отговори на този въпрос, следва да се отбележи, че съгласно член 99, параграф 2 ОРЗД се прилага от 25 май 2018 г.

31

Същевременно от акта за преюдициално запитване в случая следва, че обсъжданите в главното производство операции по обработване на лични данни са извършени между 1 ноември 2013 г. и 31 декември 2013 г., тоест преди датата, от която започва да се прилага ОРЗД. От акта за преюдициално запитване обаче също така следва, че J.M. е подал искането си за информация до Pankki S след тази дата, а именно на 29 май 2018 г.

32

В това отношение следва да се припомни, че при процесуалноправните норми принципът е да се прилагат от деня на влизането им в сила, докато материалноправните норми по правило се тълкуват като отнасящи се до възникнали и окончателно установени преди влизането им в сила положения само доколкото от тяхната формулировка, предназначение или систематика ясно личи, че трябва да имат именно такова правно действие (решение от 15 юни 2021 г., Facebook Ireland и др., C‑645/19, EU:C:2021:483, т. 100 и цитираната съдебна практика).

33

В настоящия случай от акта за преюдициално запитване следва, че искането на J.M. да получи обсъжданата в главното производство информация се опира на член 15, параграф 1 от ОРЗД, който закрепва правото на субекта на данните да получи достъп до обработваните си лични данни, а също и до информацията, посочена в тази разпоредба.

34

Следва да се констатира, че споменатата разпоредба не се отнася до условията за законосъобразност на обработването на личните данни на съответния субект на тези данни. Всъщност член 15, параграф 1 от ОРЗД просто изяснява обхвата на правото на достъп на този субект до данните и до посочената информация.

35

Оттук следва, както отбелязва генералният адвокат в точка 33 от заключението си, че член 15, параграф 1 от ОРЗД предоставя на субектите на данни право от процесуално естество, а именно да получат информация относно обработването на личните им данни. Като процесуална норма тази разпоредба се прилага по отношение на исканията за достъп, подавани от момента, от който започва да се прилага Регламентът, каквото е искането на J.M.

36

При тези условия на четвъртия въпрос следва да се отговори, че член 15 от ОРЗД, разглеждан във връзка с член 99, параграф 2 от този регламент, трябва да се тълкува в смисъл, че се прилага по отношение на съответното искане за достъп до информацията, посочена в тази разпоредба, когато операциите по обработване, до които се отнася искането, са извършени преди датата, от която започва да се прилага Регламентът, но искането е подадено след тази дата.

По първия и втория въпрос

37

С първия и втория си въпрос, които следва да се разгледат заедно, запитващата юрисдикция иска по същество да се установи дали член 15, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че информацията за справочни операции с личните данни на дадено лице, която се отнася до датите и целите на тези операции, а също и до самоличността на извършилите въпросните операции физически лица, представлява информация, която лицето има право да получи от администратора съгласно тази разпоредба.

38

В самото начало следва да се припомни, че съгласно постоянната съдебна практика тълкуването на разпоредба от правото на Съюза изисква да се вземе предвид не само нейният текст, но и контекстът ѝ и целите и предназначението на акта, от който тя е част (решение от 12 януари 2023 г., Österreichische Post (Информация относно получателите на лични данни), C‑154/21, EU:C:2023:3, т. 29).

39

Що се отнася най-напред до текста на член 15, параграф 1 от ОРЗД, тази разпоредба предвижда, че субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и до информацията в частност относно целите на обработването и получателите или категориите получатели, пред които са или ще бъдат разкрити тези лични данни.

40

В това отношение трябва да се подчертае, че понятията, които се съдържат в член 15, параграф 1 от ОРЗД, са дефинирани в член 4 от Регламента.

41

На първо място, член 4, точка 1 от ОРЗД гласи, че лични данни е „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“, като се уточнява, че „физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“.

42

Употребата на израза „всяка информация“ в определението на понятието „лични данни“, залегнало в тази разпоредба, отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че тя „засяга“ съответното лице (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 23).

43

В това отношение е постановено, че дадена информация засяга физическо лице, което е идентифицирано или може да бъде идентифицирано, ако поради своето съдържание, крайна цел или последици тя е свързана с лице, което може да бъде идентифицирано (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 24).

44

Що се отнася до възможността за „идентифициране“ на дадено лице, в съображение 26 от ОРЗД се уточнява, че следва да се вземат предвид „всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице“.

45

Оттук следва, че широкото определение на понятието „лични данни“ обхваща не само данните, събрани и съхранявани от администратора, но и всяка информация, резултат от обработване на лични данни, които засягат лице, което е идентифицирано или може да бъде идентифицирано (вж. в този смисъл решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 26).

46

На второ място, що се отнася до понятието „обработване“, дефинирано в член 4, точка 2 от ОРЗД, следва да се констатира, че с употребата на израза „всяка операция“ законодателят на Съюза е желал да придаде широк обхват на това понятие, като е изброил неизчерпателно определени операции, извършвани с лични данни или с набор от лични данни и включващи, наред с другото, събиране, записване, съхранение и също консултиране (вж. в този смисъл решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 27).

47

На трето място, член 4, точка 9 от ОРЗД предвижда, че „получател“ означава „физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не“.

48

В това отношение Съдът е постановил, че субектът на данните има право да получи от администратора информация за конкретните получатели, пред които са или ще бъдат разкрити свързаните с него лични данни (решение от 12 януари 2023 г., Österreichische Post (Информация относно получателите на лични данни), C‑154/21, EU:C:2023:3, т. 46).

49

Ето защо от текстуалния анализ на член 15, параграф 1 от ОРЗД и съдържащите се в него понятия следва, че предвиденото в тази разпоредба право на достъп в полза на субекта на данните се характеризира с широкия обхват на информацията, която администраторът на данните трябва да предоставя на този субект.

50

По-нататък, що се отнася до контекста на член 15, параграф 1 от ОРЗД, важно е да се припомни, на първо място, че съображение 63 от този регламент предвижда, че всеки субект на данни следва да има правото да е запознат и да получава информация по-специално относно целите, за които се обработват личните данни, когато е възможно — срока, за който се обработват личните данни, и получателите на личните данни.

51

На второ място, съгласно съображение 60 от ОРЗД принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели, като се подчертава, че администраторът следва да предостави на субекта на данните всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекст, в които се обработват личните данни. Освен това в съответствие с упоменатия от запитващата юрисдикция принцип на прозрачност, който е посочен в съображение 58 от ОРЗД и изрично е закрепен в член 12, параграф 1 от този регламент, всяка информация, адресирана до субекта на данните, трябва да е кратка, лесно достъпна и разбираема и изложена на ясен и прост език.

52

В това отношение член 12, параграф 1 от ОРЗД уточнява, че администраторът трябва да предоставя информацията писмено или по друг начин, включително, когато е целесъобразно, с електронни средства, освен ако субектът на данните не поиска тя да бъде предоставена устно. Тази разпоредба, израз на принципа на прозрачност, има за цел да гарантира, че субектът на данните ще е в състояние напълно да разбере изпратената му информация (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 38 и цитираната съдебна практика).

53

От изложения по-горе контекстуален анализ следва, че член 15, параграф 1 от ОРЗД е една от разпоредбите, предназначени да гарантират прозрачността на реда и условията за обработване на личните данни по отношение на субекта на данните.

54

Накрая, това тълкуване на обхвата на правото на достъп по член 15, параграф 1 от ОРЗД намира подкрепа в целите на този регламент.

55

Всъщност, първо, видно от съображения 10 и 11, Регламентът има за цел да гарантира последователно и високо ниво на защита на физическите лица в Съюза, както и да укрепи и да даде подробно описание на правата на субектите на данните.

56

Освен това, видно от съображение 63 от ОРЗД, правото на всяко лице да получи достъп до своите лични данни и до другата информация, посочена в член 15, параграф 1 от Регламента, има за цел преди всичко да позволи на лицето да бъде осведомено за обработването и да провери законосъобразността му. Следователно, както гласи същото съображение и както беше посочено в точка 50 от настоящото решение, всеки субект на данни следва да има правото да е запознат и да получава информация по-специално относно целите, за които се обработват личните данни, когато е възможно — срока, за който се обработват, получателите на личните данни и логиката на обработването на тези данни.

57

Второ, в това отношение следва да се припомни, че Съдът вече е постановил, че правото на достъп, предвидено в член 15 от ОРЗД, трябва да позволява на субекта на данните да се увери, че свързаните с него данни са точни и че се обработват законосъобразно (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 34).

58

В частност това право на достъп е необходимо, за да може субектът на данните евентуално да упражни правото си на коригиране, правото си на изтриване (право „да бъдеш забравен“) и правото си на ограничаване на обработването, които са му признати съответно в членове 16—18 от ОРЗД, правото си на възражение срещу обработване на неговите лични данни, предвидено в член 21 от ОРЗД, и правото си на иск в случай на претърпени вреди, предвидено в членове 79 и 82 от ОРЗД (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 35 и цитираната съдебна практика).

59

Съответно член 15, параграф 1 от ОРЗД е една от разпоредбите, предназначени да гарантират прозрачността на реда и условията за обработване на личните данни по отношение на субекта на данните (решение от 12 януари 2023 г., Österreichische Post (Информация относно получателите на лични данни), C‑154/21, EU:C:2023:3, т. 42), прозрачност, без каквато този субект не би бил в състояние да прецени законосъобразността на обработването на данните му и да упражни правата си в частност по членове 16—18, 21, 79 и 82 от Регламента.

60

В настоящия случай от акта за преюдициално запитване следва, че J.M. е поискал от Pankki S да му съобщи информация за справочните операции, извършени с неговите лични данни между 1 ноември 2013 г. и 31 декември 2013 г., а именно информация относно датите на справките, целите им и самоличността на извършилите ги лица. Запитващата юрисдикция отбелязва, че искането на J.M. би могло да бъде удовлетворено чрез изпращането на журналните файлове, генерирани при извършването на тези операции.

61

В настоящия случай не се оспорва, че справочните операции, извършени с личните данни на жалбоподателя в главното производство, представляват „обработване“ по смисъла на член 4, точка 2 от ОРЗД, поради което съгласно член 15, параграф 1 той има не само право на достъп до тези лични данни, но и право да му бъде съобщена споменатата в последно посочената разпоредба информация във връзка с тези операции.

62

Що се отнася до информация като поисканата от J.M., най-напред, съобщаването на датите на справочните операции е годно да позволи на субекта на данните да получи потвърждение, че личните му данни действително са били обработвани в даден момент. Освен това, тъй като условията за законосъобразност, предвидени в членове 5 и 6 от ОРЗД, трябва да са изпълнени към момента на самото обработване, датата на същото е сред елементите, които позволяват да се провери законосъобразността му. По-нататък, следва да се отбележи, че информацията за целите на обработването е изрично посочена в член 15, параграф 1, буква а) от Регламента. Накрая, член 15, параграф 1, буква в) предвижда администраторът да уведомява субекта на данните за получателите, пред които са разкрити данните му.

63

Що се отнася по-конкретно до съобщаването на цялата тази информация чрез предоставянето на журналните файлове за разглежданите в главното производство операции по обработване, следва да се отбележи, че член 15, параграф 3, първо изречение от ОРЗД гласи, че администраторът „предоставя копие от личните данни, които са в процес на обработване“.

64

В това отношение Съдът вече е постановил, че така използваното понятие „копие“ обозначава точната реплика или транскрипция на оригинал, затова просто общото описание на данните, които са в процес на обработване, или препращането към категории лични данни не би отговаряло на това определение. От текста на член 15, параграф 3, първо изречение от този регламент следва също, че задължението за съобщаване се свързва с личните данни, които са предмет на разглежданото обработване (вж. в този смисъл решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 21).

65

Копието, което администраторът е длъжен да предостави, трябва да съдържа всички лични данни, които са в процес на обработване, да има всички характеристики, които позволяват на субекта на данните да упражни ефективно правата си по този регламент, и следователно да възпроизвежда изцяло и точно тези данни (вж. в този смисъл решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 32 и 39).

66

За да се гарантира, че така предоставената информация е лесна за разбиране, както изисква член 12, параграф 1 от ОРЗД във връзка със съображение 58 от този регламент, възпроизвеждането на извлечения от документи, и дори на цели документи, или на извлечения от бази данни, които в частност съдържат личните данни, които са в процес на обработване, може да се окаже задължително, ако ситуирането на обработваните данни в контекст е необходимо, за да се гарантира тяхната разбираемост. По-специално, когато лични данни са генерирани от други данни или когато такива данни са следствие от празни полета, т.е. няма насоки, които да разкриват информация за субекта на данните, контекстът, в който се обработват тези данни, е задължителен елемент, който позволява на субекта на данните да разполага с прозрачен достъп и разбираемо представяне на тези данни (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 41 и 42).

67

В настоящия случай, както отбелязва генералният адвокат в точки 88—90 от заключението си, журналните файлове, които съдържат поисканата от J.M. информация, представляват регистри на дейности по смисъла на член 30 от ОРЗД. Трябва да се приеме, че те спадат към упоменатите в съображение 74 от Регламента мерки, които администраторът прилага, за да докаже, че дейностите по обработването са в съответствие с Регламента. Член 30, параграф 4 от този регламент по-конкретно предвижда, че при поискване от страна на надзорния орган трябва да му се осигури достъп до тях.

68

Доколкото не съдържат информация, която засяга физическо лице, което е идентифицирано или може да бъде идентифицирано по смисъла на съдебната практика, припомнена в точки 42 и 43 от настоящото решение, тези регистри на дейности единствено позволяват на администратора да изпълни задължението си спрямо надзорния орган, ако същият поиска те да му бъдат предоставени.

69

Що се отнася по-конкретно до журналните файлове на администратора, съобщаването на копие от информацията в тези файлове може да се окаже необходимо, за да се изпълни задължението да се даде достъп на субекта на данните до цялата информация, посочена в член 15, параграф 1 от ОРЗД, и за да се гарантира добросъвестно и прозрачно обработване, а това съответно му дава възможност да осъществи в пълен обем правата, които черпи от този регламент.

70

Всъщност, първо, подобни файлове разкриват съществуването на обработване на данните, а това е информация, до която субектът на данните трябва да има достъп съгласно член 15, параграф 1 от ОРЗД. Освен това те дават представа за честотата и интензитета на справочните операции, с което позволяват на субекта на данните да се увери, че обработването действително е извършено за целите, които изтъква администраторът.

71

Второ, тези файлове съдържат информацията за самоличността на лицата, които са извършили справочните операции.

72

В настоящия случай от акта за преюдициално запитване следва, че лицата, които са извършили обсъжданите в главното производство справочни операции, са служители на Pankki S, които са действали под нейно ръководство и в съответствие с указанията ѝ.

73

Наистина от член 15, параграф 1, буква в) от ОРЗД следва, че субектът на данните има право да получи от администратора информация за получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, но служителите на администратора не могат да се разглеждат като „получатели“ по смисъла на член 15, параграф 1, буква в) от ОРЗД, припомнен в точки 47 и 48 от настоящото решение, когато обработват лични данни под ръководството на администратора и в съответствие с указанията му, както отбелязва генералният адвокат в точка 63 от заключението си.

74

В това отношение следва да се подчертае, че съгласно член 29 от ОРЗД всяко лице, действащо под ръководството на администратора, което има достъп до личните данни, може да обработва тези данни само по указание на администратора.

75

При все това съдържащата се в журналните файлове информация за лицата, извършили справките с личните данни на субекта на данните, би могла да представлява информация от вида на визираната в член 4, точка 1 от ОРЗД и припомнена в точка 41 от настоящото решение, която е годна да позволи на субекта на данните да провери законосъобразността на обработването на данните му, и в частност да се увери, че операциите по обработване действително са извършени под ръководството на администратора и в съответствие с указанията му.

76

От акта за преюдициално запитване обаче следва, първо, че информацията в журнални файлове като обсъжданите в главното производство позволява да се идентифицират служителите, които са извършили операциите по обработване, и съдържа лични данни на тези служители по смисъла на член 4, точка 1 от ОРЗД.

77

В това отношение следва да се припомни, че по отношение на правото на достъп по член 15 от ОРЗД съображение 63 от Регламента уточнява, че „[т]ова право не следва да влияе неблагоприятно върху правата или свободите на други лица“.

78

Всъщност съгласно съображение 4 от ОРЗД правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права (вж. в този смисъл решение от 16 юли 2020 г., Facebook Ireland и Schrems, C‑311/18, EU:C:2020:559, т. 172).

79

Същевременно, дори когато се приеме, че за субекта на данните е необходимо да му бъде съобщена информацията за самоличността на служителите на администратора, за да се увери в законосъобразността на обработването на личните му данни, съобщаването на тази информация би могло все пак да повлияе неблагоприятно върху правата и свободите на тези служители.

80

При тези условия в случай на конфликт между упражняването на правото на достъп, осигуряващо полезния ефект на правата, които ОРЗД предоставя на субекта на данните, от една страна, и правата или свободите на други лица, от друга, трябва да се намери баланс между съответните права и свободи. Доколкото е възможно, трябва да се изберат начини, които не нарушават правата или свободите на други лица, като се има предвид, че както е посочено в съображение 63 от ОРЗД, подобни съображения „не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни“ (вж. в този смисъл решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 44).

81

Второ, от акта за преюдициално запитване все пак следва, че J.M. иска да му бъде съобщена информацията за самоличността на служителите на Pankki S, които са извършили справочните операции с неговите лични данни, не защото според него те не са действали реално под ръководството и в съответствие с указанията на администратора, а защото като че ли се съмнява в истинността на съобщената му от Pankki S информация относно целите на тези справки.

82

При такива обстоятелства, ако смята, че съобщената от администратора информация не е достатъчна, за да може да разсее съмненията му в законосъобразността на обработването на личните му данни, субектът на данните разполага на основание член 77, параграф 1 от ОРЗД с правото да подаде жалба до надзорния орган, а съгласно член 58, параграф 1, буква а) от Регламента този орган има правомощието да изиска от администратора да му предостави всяка информация, която му е нужна за целите на разглеждането на жалбата на субекта на данните.

83

От изложените съображения следва, че член 15, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че информацията за справочни операции с личните данни на дадено лице, която се отнася до датите и целите на тези операции, представлява информация, която лицето има право да получи от администратора съгласно тази разпоредба. Обратно, посочената разпоредба не закрепва подобно право по отношение на информацията за самоличността на служителите на администратора, които са извършили тези операции под негово ръководство и в съответствие с указанията му, освен ако тази информация не е абсолютно необходима, за да може субектът на данните да упражни ефективно правата, които му предоставя Регламентът, и при условие че са взети предвид правата и свободите на тези служители.

По третия въпрос

84

С третия си въпрос запитващата юрисдикция иска по същество да установи дали обстоятелството, че администраторът извършва банкова дейност в регламентиран контекст и че лицето, чиито лични данни са обработени във връзка с качеството му на клиент на администратора, е било и служител на този администратор, има значение за целите на определянето на обхвата на правото му на достъп съгласно член 15, параграф 1 от ОРЗД.

85

В началото следва да се подчертае, че по въпроса за приложното поле на правото на достъп по член 15, параграф 1 от ОРЗД нито една от разпоредбите на този регламент не предвижда разграничение в зависимост от вида на дейността на администратора или от качеството на лицето, чиито лични данни се обработват.

86

От една страна, що се отнася до обстоятелството, че дейността на Pankki S е регламентирана, член 23 от ОРЗД безспорно позволява на държавите членки да ограничават чрез законодателни мерки обхвата на задълженията и правата, предвидени в частност в член 15 от Регламента.

87

От акта за преюдициално запитване обаче не личи дейността на Pankki S да попада под действието на подобно законодателство.

88

От друга страна, що се отнася до обстоятелството, че J.M. е бил едновременно клиент и служител на Pankki S, следва да се отбележи, че като се имат предвид не само целите на ОРЗД, но и обхватът на правото на достъп, с което разполага субектът на данните, както всички те са припомнени в точки 49 и 55—59 от настоящото решение, контекстът, в който този субект иска достъп до информацията, посочена в член 15, параграф 1 от ОРЗД, не може да оказва каквото и да било влияние върху обхвата на това право.

89

Следователно член 15, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че върху обхвата на правото, с което разполага съответното лице съгласно тази разпоредба, по принцип няма отражение обстоятелството, че администраторът извършва банкова дейност в регламентиран контекст и че въпросното лице, чиито лични данни са обработени във връзка с качеството му на клиент на администратора, е било и служител на този администратор.

По съдебните разноски

90

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

 

По изложените съображения Съдът (първи състав) реши:

 

1)

Член 15 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), разглеждан във връзка с член 99, параграф 2 от този регламент,

трябва да се тълкува в смисъл, че

се прилага по отношение на съответното искане за достъп до информацията, посочена в тази разпоредба, когато операциите по обработване, до които се отнася искането, са извършени преди датата, от която започва да се прилага Регламентът, но искането е подадено след тази дата.

 

2)

Член 15, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

информацията за справочни операции с личните данни на дадено лице, която се отнася до датите и целите на тези операции, представлява информация, която лицето има право да получи от администратора съгласно тази разпоредба. Обратно, посочената разпоредба не закрепва подобно право по отношение на информацията за самоличността на служителите на администратора, които са извършили тези операции под негово ръководство и в съответствие с указанията му, освен ако тази информация не е абсолютно необходима, за да може субектът на данните да упражни ефективно правата, които му предоставя Регламентът, и при условие че са взети предвид правата и свободите на тези служители.

 

3)

Член 15, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

върху обхвата на правото, с което разполага съответното лице съгласно тази разпоредба, по принцип няма отражение обстоятелството, че администраторът извършва банкова дейност в регламентиран контекст и че въпросното лице, чиито лични данни са обработени във връзка с качеството му на клиент на администратора, е било и служител на този администратор.

 

Подписи


( *1 ) Език на производството: фински.