1.

Zaměstnanec a současně zákazník finanční instituce tuto finanční instituci požádal, aby mu sdělila totožnost osob, které v rámci interního vyšetřování nahlížely do jeho osobních údajů. Vzhledem k tomu, že mu tato instituce odmítla tyto informace poskytnout, obrátil se na Itä-Suomen hallinto-oikeus (správní soud pro východní Finsko, Finsko).

2.

Tento soud se obrátil na Soudní dvůr s žádostí o rozhodnutí o předběžné otázce týkající se výkladu nařízení (EU) 2016/679 ( 2 ). V odpovědi na tuto žádost bude muset Soudní dvůr rozhodnout o právu subjektu údajů na přístup k určitým informacím týkajícím se zpracování jeho osobních údajů.

3.

Bod 11 odůvodnění uvádí:

„Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a rovnocenné sankce za jejich porušování v členských státech“.

4.

Článek 4 („Definice“) stanoví:

„Pro účely tohoto nařízení se rozumí:

5.

Článek 15 („Právo subjektu údajů na přístup k osobním údajům“) odst. 1 stanoví:

„Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

6.

Článek 24 („Odpovědnost správce“) odst. 1 stanoví:

„S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.“

7.

Článek 25 („Záměrná a standardní ochrana osobních údajů“) odst. 2 stanoví:

„Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.“

8.

Článek 29 („Zpracování z pověření správce nebo zpracovatele“) stanoví:

„Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu.“

9.

Článek 30 („Záznamy o činnostech zpracování“) stanoví:

„1.   Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:

[…]

2.   Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:

3.   Záznamy podle odstavců 1 a 2 se vyhotovují písemně, v to počítaje i elektronickou formu.

4.   Správce, zpracovatel nebo případný zástupce správce nebo zpracovatele poskytne záznamy na požádání dozorového úřadu.

5.   Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů […] nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů […].“

10.

Článek 58 („Pravomoci“) odst. 1 stanoví:

„Každý dozorový úřad má všechny tyto vyšetřovací pravomoci:

[…]“

11.

Podle § 30 tohoto zákona jsou ustanovení týkající se zpracování osobních údajů zaměstnanců, testů a kontrol prováděných u zaměstnanců a požadavků, které přitom musí být dodrženy, jakož i technického dohledu na pracovišti a stahování a otevírání e-mailů zaměstnance obsažena v Laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ).

12.

Podle § 34 odst. 1 tohoto zákona nemá subjekt údajů právo na přístup k údajům, které jsou o něm shromažďovány, ve smyslu článku 15 GDPR, pokud

13.

Podle § 34 odst. 2 je subjekt údajů, jestliže pouze část údajů nespadá podle odstavce 1 do práva upraveného článkem 15 GDPR, oprávněn obdržet informace o všech ostatních údajích, které se jej týkají.

14.

Podle § 34 odst. 3 musí být subjektu údajů sděleny důvody pro omezení, neohrožuje-li to účel tohoto omezení.

15.

Podle § 34 odst. 4 musí být údaje uvedené v čl. 15 odst. 1 GDPR poskytnuty na žádost subjektu údajů inspektorovi pro ochranu osobních údajů, jestliže subjekt údajů nemá právo na přístup k údajům, které jsou o něm shromažďovány.

16.

Podle oddílu 2 § 4 odst. 2 je zaměstnavatel povinen informovat zaměstnance předem o shromažďování údajů, které slouží ke zjištění jeho spolehlivosti. V případě, že zaměstnavatel prověřuje úvěruschopnost zaměstnance, musí mu rovněž sdělit, ze kterého rejstříku si opatřuje informace o úvěrech. Jsou-li údaje o zaměstnanci shromažďovány od jiné osoby, než od zaměstnance samotného, musí zaměstnavatel takto shromážděné údaje zaměstnanci sdělit předtím, než jsou využity k rozhodnutím týkajícím se zaměstnance. Povinnost správce poskytnout subjektu údajů tyto údaje k dispozici, jakož i právo subjektu údajů na přístup k údajům jsou upraveny v kapitole III GDPR.

17.

V roce 2014 se J. M. dozvěděl, že do jeho osobních údajů jako zákazníka finanční instituce Suur-Savon Osuuspankki (dále jen „Pankki“) bylo nahlíženo v období od 1. listopadu do 31. prosince 2013. V tomto období byl J. M. nejen zákazníkem, ale také zaměstnancem společnosti Pankki.

18.

Dne 29. května 2018, když pojal podezření, že důvody nahlížení nebyly zcela zákonné, požádal společnost Pankki o poskytnutí informací o totožnosti zaměstnanců, kteří měli ve výše uvedeném období přístup k jeho údajům, a o účelu zpracování.

19.

Mezitím Pankki propustila J. M., který svou žádost odůvodnil zejména přáním objasnit důvody svého propuštění.

20.

Dne 30. srpna 2018 odmítla společnost Pankki jako správce údajů poskytnout J. M. jména zaměstnanců, kteří zpracovávali jeho osobní údaje. Uvedla, že právo podle článku 15 GDPR se nevztahuje na denní záznamy nebo interní protokoly, které zaznamenávají, kteří zaměstnanci a v jakém čase měli přístup k počítačovému systému obsahujícímu údaje o zákaznících. Kromě toho se požadované informace týkaly osobních údajů těchto zaměstnanců, nikoli J. M.

21.

Aby se předešlo nedorozuměním, poskytla společnost Pankki J. M. tato dodatečná vysvětlení:

22.

J. M. se obrátil na vnitrostátní dozorový úřad (Úřad inspektora pro ochranu osobních údajů, Finsko) s žádostí, aby bylo společnosti Pankki nařízeno předat dotčené informace.

23.

Dne 4. srpna 2020 zástupce inspektora pro ochranu osobních údajů žádost J. M. zamítl.

24.

J. M. podal žalobu k Itä-Suomen hallinto-oikeus (správní soud pro východní Finsko), přičemž tvrdil, že na základě GDPR má právo na přístup k informacím o totožnosti a postavení osob, které nahlížely do jeho údajů ve finanční instituci.

25.

V této souvislosti tento soud položil Soudnímu dvoru následující otázky:

26.

Žádost o rozhodnutí o předběžné otázce byla zapsána do rejstříku Soudního dvora dne 22. září 2021.

27.

Písemná vyjádření předložili J. M., Pankki, rakouská, česká a finská vláda a Evropská komise.

28.

Jednání konaného dne 12. října 2022 se zúčastnili J. M., Úřad inspektora pro ochranu osobních údajů, Pankki, finská vláda a Komise.

29.

Vzhledem k tomu, že předkládající soud žádá o výklad několika ustanovení GDPR, je třeba nejprve určit, zda je toto nařízení ratione temporis použitelné na spor v původním řízení. Tato pochybnost je předmětem čtvrté předběžné otázky.

30.

Podle čl. 99 odst. 1 vstoupilo GDPR v platnost dne 24. května 2016. Jeho použitelnost však byla odložena na 25. května 2018 ( 6 ).

31.

Prověřování osobních údajů J. M. proběhlo v období od 1. listopadu do 31. prosince 2013, tedy před vstupem GDPR v platnost a jeho použitelností.

32.

V tomto případě je však rozhodné datum 29. května 2018, kdy J. M. na základě čl. 15 odst. 1 GDPR (použitelného od 25. května 2018) požádal o předmětné informace.

33.

Jak zdůraznila rakouská vláda, čl. 15 odst. 1 GDPR přiznává subjektům údajů procesní právo (právo na přístup) získat informace o zpracování jejich osobních údajů ( 7 ). Pravidlo této povahy se použije, jakmile vstoupí v platnost ( 8 ). J. M. se jej tedy mohl dovolávat, když si od společnosti Pankki vyžádal informace.

34.

Zákonnost zpracování údajů shromážděných před vstupem GDPR v platnost je totiž třeba posuzovat s ohledem na hmotněprávní předpisy platné v té době, tedy na směrnici 95/46/ES ( 9 ), a v rozsahu, v jakém je zpětně použitelné, na GDPR ( 10 ).

35.

Vzhledem k tomu, že není sporné, že požadované informace byly v době, kdy J. M. požádal o přístup k těmto informacím (což je právo zaručené v čl. 15 odst. 1 nařízení GDPR), v držení správce, použije se posledně uvedené nařízení ( 11 ).

36.

Skutečnost, že dotčené údaje byly zpracovávány před vstupem GDPR v platnost, je tedy pro účely přístupu nebo odepření přístupu k informacím požadovaným subjektem údajů podle čl. 15 odst. 1 GDPR irelevantní.

37.

První a druhou předběžnou otázku lze zkoumat společně. Otázka, kterou vznášejí, v podstatě zní, zda osobní údaje J. M. shromážděné a zpracovávané společností Pankki odpovídají informacím, které má subjekt údajů právo získat podle čl. 15 odst. 1 GDPR.

38.

Připomínám, že informace, které J. M. požadoval, se týkaly totožnosti zaměstnanců, kteří v roce 2013 nahlíželi do jeho údajů jakožto zákazníka, jakož i doby, kdy ke zpracování došlo, a účelu zpracování.

39.

Na jednání bylo potvrzeno, že J. M. omezil svůj nárok na informace o totožnosti těchto zaměstnanců. V soudním sporu není konkrétně zpochybňována skutečnost, že zpracování jeho údajů bankou mělo zákonný základ ( 12 ).

40.

Tedy:

41.

Diskuse se tedy zaměřuje pouze na informace o totožnosti zaměstnanců společnosti Pankki, kteří nakládali s osobními údaji J. M.

42.

Tyto informace se totiž týkají podrobností o operacích zpracování a nikoli striktně vzato osobních údajů subjektu údajů ve smyslu čl. 4 bodu 1 GDPR ( 14 ).

43.

Je zřejmé, že osobou, jejíž údaje byly předmětem nahlížení, byl J. M. ( 15 ). Jakmile od společnosti Pankki obdržel potvrzení, že jeho údaje byly zpracovávány ( 16 ), měl podle čl. 15 odst. 1 GDPR právo na informace uvedené v písmenech a) až h) tohoto ustanovení ( 17 ). Jejich poskytnutím je usnadněn výkon práv subjektu údajů ( 18 ) v rámci mechanismů zaručujících zákonnost zpracování údajů.

44.

Z článku 15 odst. 1 GDPR vyplývá, že uvedené informace se týkají okolností zpracování údajů.

45.

Podle čl. 15 odst. 1 GDPR má subjekt údajů právo získat od správce:

46.

Ustanovení rozlišuje mezi „osobními údaji“ na jedné straně a „informacemi“, na které odkazují písmena uvedená v odstavci 1 na straně druhé.

47.

Informace, které mají být subjektu údajů poskytnuty podle čl. 15 odst. 1 písm. a) až h) GDPR, tedy nelze zaměňovat s osobními údaji subjektu údajů ve smyslu čl. 4 odst. 1 GDPR.

48.

Nejde tedy o údaje, ale o informace, které se týkají:

49.

Ve všech těchto případech se informace týkají buď určitých práv subjektu údajů, nebo zejména prvků souvisejících s prováděným zpracováním, jako je jeho účel (který je stejný jako jeho důvod) a jeho předmět (kategorie zpracovávaných údajů).

50.

Informace o příjemcích, kterým byly nebo budou osobní údaje subjektu údajů sděleny [čl. 15 odst. 1 písm. c) GDPR], představují další koncepční problémy, na které se hned zaměřím.

51.

Článek 15 odst. 1 GDPR stručně řečeno stanoví právo na informace o samotném zpracování a jeho okolnostech. K těmto informacím se přidává informace týkající se práv subjektu údajů v souvislosti se zpracovávanými údaji, jako je právo podat stížnost u dozorového úřadu.

52.

Samotná existence zpracování a jeho okolnosti podle mého názoru nepředstavují „osobní údaje“ ve smyslu čl. 4 odst. 1 nařízení GDPR.

53.

Je pravda, že ze zpracování mohou vyplývat rozhodnutí, která se dotýkají subjektu údajů, jak uvedl předkládající soud ( 21 ). Tento výsledek však nebude záviset na tom, která fyzická osoba nebo osoby konkrétně jménem a na odpovědnost společnosti Pankki přezkoumaly údaje, což je informace dotčená v původním řízení.

54.

J. M. tedy má právo na to, aby ho společnost Pankki jako správce informovala o osobních údajích, které má k dispozici, a to buď získaných od samotného J. M. (článek 13 GDPR), nebo jinými prostředky (článek 14 GDPR). Rovněž má právo – nyní podle článku 15 GDPR – na informace o každém zpracování, kterému byly tyto údaje podrobeny, a jeho okolnostech, avšak nikoli proto, že by se jednalo o „osobní údaje“, ale z důvodu výslovného zakotvení v článku 15 GDPR ( 22 ).

55.

V projednávané věci je podstatné, že totožnost zaměstnanců, kteří nahlíželi do údajů J. M., nepředstavuje „osobní údaj“ J. M., což podrobněji vysvětlím níže.

56.

Jiná věc je, pokud protokoly nebo záznamy, o nichž se zmíním později, obsahují přímo či nepřímo osobní údaje subjektu údajů, které se liší od zmínky o tom, kteří zaměstnanci k nim měli přístup. To, zda tomu tak je, bude do značné míry záviset na obsahu příslušných protokolů nebo záznamů. Opakuji však, že pokud se původní spor omezuje na totožnost zaměstnanců společnosti Pankki, nejedná se o osobní údaje J. M., ale o osobní údaje těchto zaměstnanců.

57.

Předkládající soud se táže, zda i kdyby se nejednalo o osobní údaje J. M., měl by J. M. s ohledem na čl. 15 odst. 1 písm. a) a c) GDPR právo na to, aby mu společnost Pankki poskytla informace o zaměstnancích, kteří zpracovávali jeho osobní údaje.

58.

Podle písmene a) má subjekt údajů právo získat od správce potvrzení o účelu zpracování. Toto písmeno (které bylo v projednávané věci dodrženo, neboť společnost Pankki informovala J. M. o účelu zpracování) však neposkytuje kritéria pro rozlišení, kdo jsou příjemci jeho osobních údajů.

59.

Otázka naopak dává smysl, když vyžaduje výklad čl. 15 odst. 1 písm. c) GDPR. Připomínám, že podle něj má subjekt údajů právo získat informace o „příjemc[ích] nebo kategori[ích] příjemců, kterým osobní údaje byly nebo budou zpřístupněny […]“.

60.

Článek 4 bod 9 GDPR uvádí, že „příjemcem“ se rozumí „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli“.

61.

Tento poslední výraz („ať už se jedná o třetí stranu, či nikoli“) by mohl vést k nedorozumění ohledně rozsahu osobní působnosti tohoto ustanovení, jak bylo uvedeno na jednání. Povrchní a podle mého názoru chybný výklad by mohl podpořit myšlenku, že „příjemcem“ je nejen jakákoli třetí strana, které společnost Pankki sdělila osobní údaje J. M., ale také každý ze zaměstnanců, kteří konkrétně nahlížejí do těchto údajů jménem a prostřednictvím právnické osoby, kterou je společnost Pankki.

62.

Článek 4 bod 10 GDPR uvádí, že „třetí stranou“ se rozumí „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů“ ( 23 ).

63.

S ohledem na tyto předpoklady se domnívám, že pojem „příjemce“ nezahrnuje zaměstnance právnické osoby, kteří při používání počítačového systému právnické osoby nahlížejí do osobních údajů zákazníka jménem jejích řídících orgánů. Pokud tito zaměstnanci jednají na základě přímého pověření správce, nezískávají jen na základě této skutečnosti postavení „příjemce“ údajů ( 24 ).

64.

Může se však stát, že zaměstnanec nedodrží postupy stanovené správcem a z vlastní iniciativy přistupuje k údajům zákazníků nebo jiných zaměstnanců nezákonným způsobem. V takovém případě by nepoctivý zaměstnanec nejednal za správce a jeho jménem.

65.

V tomto rozsahu by bylo možné nepoctivého zaměstnance označit za „příjemce“, jemuž byly „sděleny“ (obrazně řečeno), byť jím samotným, a tedy protiprávně, osobní údaje subjektu údajů ( 25 ), nebo dokonce za (autonomního) správce ( 26 ).

66.

Z popisu skutkového stavu uvedeného v předkládacím rozhodnutí a z argumentů předložených společností Pankki na jednání vyplývá, že společnost Pankki pověřila své zaměstnance, aby na její odpovědnost nahlíželi do osobních údajů J. M. Tito zaměstnanci se tedy řídili pokyny správce a jednali jeho jménem. Nelze je tedy kvalifikovat jako příjemce ve smyslu čl. 15 odst. 1 písm. c) GDPR ( 27 ).

67.

Jiná věc je, pokud totožnost těchto zaměstnanců a doba, kdy některý z nich přistupoval k osobním údajům zákazníka (tedy obsah těchto zmínek v souborech nebo záznamech, na které se ihned zaměřím), musí být k dispozici dozorovým úřadům za účelem kontroly řádnosti jejich jednání.

68.

To potvrzuje i článek 29 GDPR, který odkazuje na osoby jednající „z pověření správce nebo zpracovatele a [mající] přístup k osobním údajům“. Tyto osoby mohou tyto údaje zpracovávat pouze na základě pokynů svého zaměstnavatele, který je skutečným správcem (nebo zpracovatelem).

69.

Účelem čl. 15 odst. 1 GDPR je umožnit subjektu údajů účinně vykonávat (bránit) práva, která mu náleží v souvislosti s jeho osobními údaji. Proto musí být uvedeno, kdo je správcem, a případně kterým příjemcům byly tyto údaje sděleny. Na základě těchto informací může subjekt údajů kromě správce údajů oslovit i příjemce, kteří se s jeho údaji seznámili.

70.

Subjekt údajů může mít jistě pochybnosti o zákonnosti zapojení určitých osob do řízení zpracování jeho údajů jménem správce nebo zpracovatele a pod jeho kontrolou.

71.

V této situaci, jak uvádí česká vláda a jak zdůraznila Komise na jednání, se může obrátit na pověřence pro ochranu osobních údajů (čl. 38 odst. 4 nařízení GDPR) nebo na dozorový úřad a podat stížnost (čl. 15 odst. 1 písm. f) a článek 77 nařízení GDPR). Co mu není přiznáno, je právo přímo shromažďovat osobní údaje (totožnost) zaměstnance, který jako podřízený správce nebo zpracovatele jedná v zásadě podle pokynů správce nebo zpracovatele.

72.

Na jednání se diskutovalo o tom, zda možnost obrátit se na pověřence pro ochranu osobních údajů nebo dozorový úřad je dostatečnou zárukou z hlediska ochrany práv subjektu údajů, jehož údaje byly zpracovávány.

73.

Při řešení této otázky lze zaujmout maximalistický postoj, takže každý subjekt údajů by měl právo znát totožnost zaměstnanců správce, kteří přistupovali k jeho údajům, i když to bylo jménem a na pokyn správce.

74.

Domnívám se, že GDPR takovou tezi nepodporuje, aniž je dotčena možnost členského státu přijmout ji ve svých vnitrostátních právních předpisech pro jedno nebo více konkrétních odvětví ( 28 ).

75.

Podle mého názoru by nebylo rozumné, kdyby Soudní dvůr v rámci přisvojení si kvazilegislativní funkce upravil GDPR a zavedl novou informační povinnost, která by byla přidána k povinnostem uvedeným v čl. 15 odst. 1. Tak by tomu bylo v případě, že by správce byl povinen bez rozdílu poskytnout subjektu údajů totožnost nikoli příjemce, kterému byly údaje zpřístupněny, ale jakéhokoli zaměstnance nebo osoby z užšího okruhu společnosti, která měla k údajům oprávněný přístup ( 29 ).

76.

Jak společnost Pankki zdůraznila na jednání, totožnost jednotlivých zaměstnanců, kteří spravovali zpracování osobních údajů zákazníků, je z bezpečnostního hlediska obzvláště citlivou informací, přinejmenším v některých hospodářských odvětvích.

77.

Tito zaměstnanci by mohli být vystaveni pokusům o nátlak a ovlivňování ze strany těch, kteří jako zákazníci banky mohou mít zájem na personalizaci svého protějšku, jímž by nebyla ani tak samotná finanční instituce, ale jeden nebo více jejích zaměstnanců jako nejslabší článek podnikové sítě. Může se jednat například o případy, kdy je sledování transakcí prostřednictvím nahlížení do údajů o zákaznících prováděno za účelem splnění povinností, kterým banky podléhají v oblasti předcházení a boje proti trestné činnosti ve finanční oblasti.

78.

Je pravda, že zákazník může mít pochybnosti o poctivosti nebo nestrannosti fyzické osoby, která zasáhla jménem správce do zpracování jeho údajů. Takové pochybnosti, pokud jsou důvodné, by mohly odůvodnit jeho zájem znát totožnost zaměstnance, aby mohl uplatnit své právo podniknout proti němu kroky.

79.

Vzhledem k citlivosti těchto informací je zájem na znalosti totožnosti zaměstnance v protikladu s neméně nesporným zájmem správců na zachování diskrétnosti ohledně totožnosti svých zaměstnanců a jejich právem na ochranu vlastních údajů. Vyváženosti je podle mého názoru dosaženo prostřednictvím zapojení dozorového úřadu jako arbitra mezi těmito dvěma protichůdnými zájmy.

80.

V projednávané věci to tedy bude muset být dozorový úřad, který z pozice své nestrannosti posoudí, zda jsou pochybnosti o jednání zaměstnanců banky natolik důvodné a ucelené, aby ospravedlnily obětování důvěrnosti jejich totožnosti.

81.

Odpověď na první a druhou předběžnou otázku by mohla skončit takto, neboť bylo uvedeno, že zaměstnanci instituce jednající jejím jménem a na její pokyn nejsou striktně vzato příjemci uvedenými v čl. 15 odst. 1 písm. c) GDPR.

82.

Je však vhodné doplnit odpověď o analýzu údajného práva subjektu údajů znát totožnost zaměstnanců, pokud je obsažena v souborech nebo záznamech o operacích instituce. Ačkoli, jak jsem již uvedl, ne všechny takové soubory nebo záznamy musí mít nutně stejný obsah, obecně se uznává, že odrážejí, kdo (z řad zaměstnanců správce), jak a kdy nahlížel do údajů zákazníka.

83.

Tyto typy záznamů umožňují správci splnit jeho povinnost dodržovat zásady stanovené v čl. 5 odst. 1 GDPR a zavést vhodná technická a organizační opatření k zajištění a prokázání souladu zpracování s požadavky GDPR (čl. 24 odst. 1 a čl. 25 odst. 2 GDPR).

84.

Ve specifické oblasti působnosti směrnice (EU) 2016/680 ( 30 ), kterou Komise uvedla jako příklad ( 31 ) zvláštního režimu ochrany údajů v oblasti trestných činů:

85.

V souladu s článkem 14 směrnice (EU) 2016/680 však informace týkající se zejména totožnosti zaměstnance, který osobní údaje zpracovával, nepatří mezi informace, k nimž má subjekt údajů právo na přístup.

86.

Ve stejném smyslu článek 30 GDPR stanoví existenci tzv. „záznamů o činnostech zpracování“, jehož obsah se – s menší mírou konkrétnosti pokud jde o definici operací – shoduje s obsahem článku 25 směrnice (EU) 2016/680 ( 33 ). Stejně jako v případě posledně uvedené směrnice ani zaznamenané informace o totožnosti zaměstnance nepatří mezi informace, které jsou subjektu údajů přístupné podle článku 15 GDPR.

87.

Důvodem této asymetrie mezi zaznamenanými informacemi na jedné straně a právem na přístup k nim na straně druhé je rozdíl v účelu, kterému slouží ustanovení upravující záznamy o činnostech zpracování a přístup k jejich obsahu.

88.

Účelem záznamů uvedených v článku 30 GDPR je, opakuji, zajistit zákonnost zpracování a zaručit integritu a zabezpečení údajů. Odpovědnost za to obecně nese dozorový úřad, kterému musí správce a zpracovatel poskytnout záznamy o operacích (čl. 30 odst. 4 GDPR).

89.

Cílem práva podat stížnost u dozorových úřadů [čl. 15 odst. 1 písm. f)], které jsou odpovědné za jeho řádné uplatňování, je podle GDPR ochrana práv fyzických osob v souvislosti se zpracováním jejich údajů. To je uvedeno v čl. 51 odst. 1 GDPR a vyplývá to z výčtu úkolů, které jsou jim svěřeny článkem 57 tohoto nařízení.

90.

Obecný úkol monitorovat uplatňování GDPR a chránit práva fyzických osob odůvodňuje pravomoci dozorového úřadu. Mezi ně patří znalost okolností, za nichž zpracovatel nebo správce údaje zpracovává. Právě jedna z těchto okolností je zde důležitá: totožnost osob, které jménem správce nebo zpracovatele nahlížejí do osobních údajů zákazníků.

91.

Nikde v GDPR se však nevyžaduje, aby takové odkazy na totožnost zaměstnanců v interních záznamech institucí, pomocí nichž mohou vědět (a v případě potřeby poskytnout dozorovému úřadu), kdo a kdy osobní údaje zákazníka zkoumal, musely být zákazníkovi přístupné.

92.

Naopak osobě, které se konkrétní zpracování týká, musí být poskytnuty informace nezbytné k tomu, aby znala příslušné okolnosti, a to za účelem posouzení zákonnosti zpracování a jeho případného napadení u dozorového úřadu nebo nakonec u soudu.

93.

Bez ohledu na výše uvedené, pokud takové záznamy o operacích obsahují osobní údaje subjektu údajů (tedy jiné než pouhou totožnost zaměstnanců), má subjekt údajů samozřejmě právo získat od správce potvrzení, že jeho osobní údaje jsou zpracovávány. Pro tyto účely nezáleží na tom, zda se nacházejí v záznamech o operacích nebo v jiném interním souboru či databázi instituce.

94.

Předkládající soud se táže, zda „je pro řízení relevantní, že se jedná o banku, která vykonává regulovanou činnost, nebo že J. M. pracoval pro banku a zároveň byl jejím zákazníkem“.

95.

Podle mého názoru se to, co bylo dosud řečeno, nemění z důvodu, že správce vykonává regulovanou činnost. Skutečnost, že správce je bankou, která podléhá zvláštním předpisům platným pro tento typ subjektů ( 34 ), však může mít vliv na legitimitu (právní základ) zpracování, pokud vyplývá z plnění zákonných povinností, kterým podléhá ( 35 ).

96.

V zásadě také není důležité, že osoba, do jejíchž údajů bylo nahlíženo, byla zaměstnancem a zároveň zákazníkem této banky. Článek 15 odst. 1 GDPR nerozlišuje na základě profesní činnosti subjektu údajů a jeho postavení jako zákazníka finanční instituce ( 36 ).

97.

Je pravda, jak uvedla Komise, že článek 23 GDPR umožňuje členským státům legislativně omezit rozsah povinností a práv stanovených mimo jiné v jeho článku 15 prostřednictvím odvětvových ustanovení pro konkrétní kategorii subjektů údajů. Předkládající soud však žádné takové vnitrostátní omezení neuvádí.

98.

S ohledem na výše uvedené navrhuji, aby Soudní dvůr odpověděl Itä-Suomen hallinto-oikeus (správní soud pro východní Finsko, Finsko) následovně:

„Článek 15 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ve spojení s čl. 4 bodem 1 tohoto nařízení

musí být vykládán v tom smyslu, že

se použije v případě, že žádost subjektu údajů o přístup k informacím adresovaná správci byla podána po 25. květnu 2018.

Nepřiznává subjektu údajů právo znát z informací, které má správce k dispozici (případně ze záznamů operací nebo operačních souborů), totožnost zaměstnance nebo zaměstnanců, kteří z pověření a podle pokynů správce nahlíželi do jeho osobních údajů.“