1.

Jaký je obsah a rozsah práva subjektu údajů, který získá přístup ke svým zpracovávaným osobním údajům, získat kopii těchto údajů, jak je stanoveno v čl. 15 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ( 2 ) (dále jen „GDPR“). Jaký je význam pojmu „kopie“ a jak toto právo získat kopii zpracovávaných osobních údajů souvisí s právem na přístup podle odstavce 1 tohoto článku?

2.

To jsou v podstatě hlavní otázky, které vyvstávají ve věci, jež je předmětem tohoto stanoviska a která se týká žádosti o rozhodnutí o předběžné otázce podané Bunsdesverwaltungsgericht (Spolkový správní soud, Rakousko) ohledně výkladu čl. 15 odst. 3 GDPR.

3.

Tato žádost o rozhodnutí o předběžné otázce má základ v rámci sporu mezi F. F. a Österreichische Datenschutzbehörde (úřad na ochranu údajů, Rakousko), který se týká zákonnosti zamítnutí žádosti F. F. o uložení povinnosti obchodní poradenské agentuře, která zpracovávala jeho osobní údaje, aby poskytla dokumenty a výpisy z databáze obsahující tyto osobní údaje.

4.

Tato věc poskytne Soudnímu dvoru příležitost poprvé vyložit ustanovení čl. 15 odst. 3 GDPR a objasnit, jak mohou fyzické osoby uplatnit své právo na přístup ke svým zpracovávaným osobním údajům, jak je stanoveno v článku 15 GDPR.

5.

Bod 63 odůvodnění GDPR uvádí:

„Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací […].“

6.

Článek 4 body 1 a 2 GDPR stanoví:

„Pro účely tohoto nařízení se rozumí:

7.

Článek 12 odst. 1 GDPR, nadepsaný „[t]ransparentní informace, sdělení a postupy pro výkon práv subjektu údajů“, stanoví:

„Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.“

8.

Článek 15 GDPR, nadepsaný „[p]rávo subjektu údajů na přístup k osobním údajům“, stanoví:

„1.   Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

[…]

3.   Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

4.   Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.“

9.

CRIF GmbH je obchodní poradenská agentura, která na žádost svých klientů poskytuje informace o solventnosti třetích osob. Za tímto účelem zpracovávala osobní údaje navrhovatele v původním řízení.

10.

Navrhovatel se dne 20. prosince 2018 obrátil na tuto agenturu s žádostí, aby mu mimo jiné poskytla informace o jeho osobních údajích, které jsou zpracovávány podle článku 15 GDPR, přičemž požádal zejména o poskytnutí kopie těchto údajů v běžně používaném technickém formátu.

11.

Na základě této žádosti agentura poskytla část požadovaných informací v souhrnné podobě, přičemž údaje uložené o osobě navrhovatele v původním řízení reprodukovala na jedné straně v tabulce rozdělené na jméno, datum narození, ulice, PSČ a obec a na druhé straně v přehledu týkajícím se podnikatelských funkcí a oprávnění k zastupování. Nebyly však poskytnuty žádné další dokumenty, například e-maily nebo výpisy z databází.

12.

Dne 16. ledna 2019 podal navrhovatel v původním řízení stížnost k rakouskému úřadu na ochranu údajů, v níž tvrdil, že odpověď na jeho žádost byla neúplná, a zejména, že mu správce údajů měl poskytnout kopie všech dokumentů, včetně e-mailů a výpisů z databáze obsahujících jeho osobní údaje.

13.

Rozhodnutím ze dne 11. září 2019 výše uvedený úřad stížnost zamítl, neboť shledal, že se správce údajů nedopustil žádného porušení práva subjektu údajů na přístup k osobním údajům.

14.

Předkládající soud, který projednává opravný prostředek proti tomuto rozhodnutí, má pochybnosti o rozsahu práva subjektu údajů získat kopii zpracovávaných osobních údajů zaručeného v čl. 15 odst. 3 první větě GDPR.

15.

Tento soud musí rozhodnout, zda předání osobních údajů navrhovatele ve formě tabulky a souhrnného prohlášení obsaženého v odpovědi agentury na žádost o přístup splňovalo požadavky čl. 15 odst. 3 GDPR, nebo zda má navrhovatel podle tohoto ustanovení právo získat kopii svých osobních údajů zpracovávaných nikoli v dekontextualizované podobě, ale ve formě kopií nebo výpisů z případné korespondence nebo obsahu databází či podobné dokumentace.

16.

V této souvislosti tento soud žádá především o objasnění přesného významu pojmu „kopie“ zpracovávaných osobních údajů, který je uveden v čl. 15 odst. 3 první větě GDPR.

17.

Zadruhé se tento soud táže, zda ustanovení čl. 15 odst. 3 GDPR představuje upřesnění obecného práva na přístup uvedeného v odstavci 1 tohoto článku, který stanoví způsob, jak má subjekt údajů obdržet informace o svých zpracovávaných osobních údajích nebo toto ustanovení nad rámec práva na přístup uvedeného v odstavci 1 stanoví samostatný právní nárok na pořízení fotokopií, faksimilií, výtisků nebo elektronických výpisů z databází nebo kopií celých dokumentů a souborů, v nichž se vyskytují osobní údaje subjektu údajů.

18.

Zatřetí v případě restriktivního výkladu čl. 15 odst. 3 první věty GDPR v tom smyslu, že pojem „kopie“ nestanoví existenci práva na poskytnutí fotokopií, dokumentů nebo výpisů z databází, si tento soud klade otázku, zda přesto není s ohledem na možné různé druhy zpracovávaných údajů a na zásadu transparentnosti stanovenou v čl. 12 odst. 1 GDPR možné, aby v některých případech v závislosti na druhu zpracovávaných údajů existovala povinnost správce v každém případě poskytnout části textů nebo kopie dokumentů.

19.

Konečně začtvrté se předkládající soud táže, zda se pojem „informace“, který se objevuje v čl. 15 odst. 3 třetí větě GDPR, vztahuje pouze na „zpracovávané osobní údaje“ uvedené v první větě tohoto ustanovení, nebo jde nad jejich rámec a zahrnuje také informace uvedené v čl. 15 odst. 1 písm. a) až h) nařízení GDPR, nebo ještě dále, tedy zda zahrnuje například také metadata týkající se údajů.

20.

Za těchto podmínek se Bundesverwaltungsgericht (Spolkový správní soud, Rakousko) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

21.

Svými prvními třemi předběžnými otázkami, které by podle mého názoru měly být posouzeny společně, předkládající soud klade Soudnímu dvoru tři otázky, jejichž cílem je určit rozsah působnosti ustanovení čl. 15 odst. 3 první věty GDPR, podle něhož „[s]právce poskytne kopii zpracovávaných osobních údajů“.

22.

První otázka směřuje k určení přesného významu pojmu „kopie“ obsaženého v tomto ustanovení. Druhá otázka směřuje k objasnění rozsahu práva, které je subjektu údajů tímto ustanovením přiznáno. Předkládající soud si zejména klade otázku, zda toto ustanovení přiznává rovněž právo získat kopii dokumentů – nebo výpisů z databází – v nichž jsou osobní údaje zpracovávány, nebo zda se omezuje pouze na přiznání práva získat věrnou reprodukci originálu zpracovávaných osobních údajů. V tomto posledním případě je cílem třetí otázky zjistit, zda v závislosti na druhu zpracovávaných údajů a na základě zásady transparentnosti může být v některých případech přesto nutné poskytnout také části textu nebo celé dokumenty.

23.

Z předkládacího rozhodnutí vyplývá, že působnost ustanovení čl. 15 odst. 3 první věty GDPR je sporná jak v doktríně, tak v judikatuře vnitrostátních soudů, přinejmenším v Rakousku a Německu ( 4 ). Z tohoto rozhodnutí vyplývá, že v tomto ohledu existují dvě protichůdné teorie: na jedné straně restriktivní pojetí dotčeného ustanovení, podle něhož toto ustanovení pouze upřesňuje způsoby práva na přístup a neznamená žádné samostatné právo na získání dokumentů apod., a na druhé straně široké pojetí, podle něhož toto ustanovení naopak přiznává právo na získání kopie dokumentů nebo jiných nosičů, na nichž jsou osobní údaje zpracovávány. V tomto druhém pojetí by právo na pořízení kopií dokumentů představovalo právo nezávislé na právu na přístup zaručeném v čl. 15 odst. 1 GDPR. Spornou povahu působnosti dotčeného ustanovení potvrzuje skutečnost, že také zúčastněné strany, které předložily Soudnímu dvoru vyjádření, k němu zaujímají rozdílné postoje ( 5 ).

24.

V této souvislosti, aby bylo možné odpovědět na první tři předběžné otázky předkládajícího soudu, je třeba přistoupit k výkladu čl. 15 odst. 3 věty první GDPR.

25.

V tomto ohledu je třeba připomenout, že podle ustálené judikatury je třeba při výkladu ustanovení unijního práva vzít v úvahu nejen jeho znění, ale i jeho kontext a cíle sledované právní úpravou, jejíž je součástí ( 6 ).

26.

Kromě toho, vzhledem k tomu, že ustanovení GDPR upravují zpracování osobních údajů, které může představovat zásah do základních svobod, a zejména práva na soukromí, musí být nutně vykládána ve světle základních práv zaručených Listinou ( 7 ).

27.

Pokud jde především o znění ustanovení čl. 15 odst. 3 první věty GDPR, je třeba uvést, že přiznává subjektu údajů právo získat od správce „kopii zpracovávaných osobních údajů“. Z jazykového hlediska tato formulace odkazuje na tři různé pojmy, a to: pojem „kopie“, pojem „osobní údaje“ a pojem „zpracovávaných“.

28.

Pokud jde zaprvé o pojem „kopie“, jehož rozsah je konkrétně předmětem první předběžné otázky, je třeba uvést, že, jak uvedlo několik zúčastněných stran, jež předložily vyjádření Soudnímu dvoru, GDPR neobsahuje žádnou konkrétní definici tohoto pojmu.

29.

V této souvislosti z ustálené judikatury vyplývá, že význam a dosah pojmů, pro které nemá unijní právo žádnou definici, je třeba určit v souladu s jejich obvyklým smyslem v běžném jazyce, s přihlédnutím ke kontextu, ve kterém jsou použity, a cílům, jež sleduje právní úprava, jejíž součástí jsou ( 8 ).

30.

Z čistě terminologického hlediska označuje pojem „kopie“ v běžném jazyce věrnou reprodukci nebo přepis originálu ( 9 ). Analýza různých jazykových verzí GDPR navíc ukazuje, že ve většině ostatních úředních jazyků Unie se používá výraz odpovídající italskému termínu „copia“, jako je například „copy“ v angličtině, „Kopie“ v němčině, „copie“ ve francouzštině nebo „copia“ ve španělštině ( 10 ).

31.

Předmětné ustanovení navíc výslovně uvádí, že kopie, kterou je správce povinen poskytnout subjektu údajů, je kopie zpracovávaných „osobních údajů“.

32.

V této souvislosti a zadruhé je třeba uvést, že na rozdíl od pojmu „kopie“ obsahuje GDPR výslovnou definici pojmu „osobní údaje“ v čl. 4 bodě 1 tohoto nařízení, podle něhož jsou osobními údaji „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“.

33.

Rozsah pojmu „osobní údaje“ vyplývající z této definice je velmi široký. Jak totiž vyplývá z judikatury Soudního dvora, použití výrazu „veškeré informace“ v rámci této definice odráží cíl unijního normotvůrce přiznat tomuto pojmu široký význam ( 11 ).

34.

Z judikatury rovněž vyplývá, že pojem „osobní údaje“ není omezen na informace, které jsou citlivé nebo patří do soukromé sféry, ale potenciálně zahrnuje všechny druhy informací, a to jak objektivní, tak subjektivní ve formě názoru nebo hodnocení pod podmínkou, že jsou „o“ dotčené osobě. Pokud jde o tuto poslední podmínku, je splněna v případě, že tato informace z důvodu svého obsahu, účelu nebo účinku souvisí s určitou osobou ( 12 ).

35.

Rozšířený význam pojmu „osobní údaje“ je navíc nezbytný s ohledem na rozmanitost typů a forem, které mohou mít informace týkající se osoby a mohou být hodny ochrany, jakož i s ohledem na rozmanitost nosičů, na nichž mohou být tyto informace obsaženy.

36.

Z analýzy judikatury vyplývá, že Soudní dvůr považoval různé typy informací týkajících se identifikované nebo identifikovatelné fyzické osoby za informace spadající pod pojem „osobní údaje“ ve smyslu čl. 4 bodu 1 GDPR. Kromě toho, co Komise ve svém vyjádření definovala jako „obvyklé údaje“, tedy informace týkající se totožnosti osob, jako je jméno a příjmení ( 13 ), datum narození, státní příslušnost, pohlaví, etnický původ, vyznání a jazyk, kterým mluví osoba identifikovatelná podle jména ( 14 ), Soudní dvůr stanovil, že pod pojem „osobní údaje“ spadají i další typy informací, jako jsou například informace o motorovém vozidle nabízeném k prodeji a telefonní číslo prodejce tohoto vozidla ( 15 ) nebo údaje obsažené v evidenci pracovní doby, které se týkají denní pracovní doby a doby odpočinku každého pracovníka ( 16 ), obraz osoby zaznamenaný prostřednictvím kamery, pokud umožňuje identifikovat subjekt údajů ( 17 ), písemné odpovědi uchazeče při odborné zkoušce a příslušné poznámky zkoušejícího ( 18 ) nebo také informace týkající se trestných bodů, které se vztahují k identifikované fyzické osobě ( 19 ).

37.

Široký význam pojmu „osobní údaje“, jenž vyplývá z definice v čl. 4 bodu 1 GDPR, uznaný judikaturou a spojený s cílem sledovaným GDPR, jímž je zajištění vysoké úrovně ochrany fyzických osob v souvislosti se zpracováním osobních údajů ( 20 ), znamená, že se tento pojem a tedy právo na přístup k těmto údajům a na získání jejich kopie neomezuje výhradně na údaje, které mohl správce získat, uchovávat a zpracovávat, ale musí zahrnovat i veškeré další údaje, jež mohl správce v důsledku zpracování vytvořit, pokud jsou rovněž zpracovávány.

38.

Pokud tedy v důsledku zpracování řady osobních údajů vzniknou nové informace, které se týkají identifikované nebo identifikovatelné osoby a lze je považovat za osobní údaje ve smyslu čl. 4 bodu 1 GDPR, musí se podle mého názoru právo na přístup k osobním údajům a na získání jejich kopie stanovené v čl. 15 odst. 1 a čl. 15 odst. 3 první větě GDPR vztahovat i na takto vzniklé údaje, pokud jsou tyto údaje samy zpracovávány. Právo na přístup k údajům a na získání jejich kopie se totiž vztahuje na všechny zpracovávané osobní údaje subjektu údajů.

39.

Tyto úvahy jsou relevantní v takové věci, jako je věc projednávaná předkládajícím soudem, v níž obchodní poradenská agentura na základě údajů shromážděných z různých zdrojů vypracovala doporučení ohledně solventnosti a způsobilosti subjektu údajů splácet, a to na základě statistické pravděpodobnosti korelované s řadou parametrů. Takové doporučení podle mého názoru představuje informaci týkající se identifikované osoby, která tedy spadá do širokého významu pojmu „osobní údaje“ podle čl. 4 bodu 1 GDPR, a tudíž i do rozsahu práva na přístup podle čl. 15 odst. 1 a čl. 15 odst. 3 první věty GDPR ( 21 ).

40.

Zatřetí, pokud jde o pojem „zpracovávaných“ obsažený v čl. 15 odst. 3 první větě GDPR, je třeba uvést, že také pojem „zpracování“ je výslovně definován v čl. 4 bodě 2 GDPR.

41.

Podle tohoto ustanovení představuje „zpracování“ ve smyslu uvedeného nařízení shromáždění, nahlédnutí, zpřístupnění přenosem nebo jakékoliv jiné zpřístupnění osobních údajů. Podle judikatury ze znění výše uvedeného ustanovení, zejména z výrazu „jakákoliv operace“, vyplývá, že unijní normotvůrce zamýšlel přiznat pojmu „zpracování“ široký dosah. Tento výklad je potvrzen demonstrativní povahou výčtu operací uvedených v tomto ustanovení, vyjádřenou slovním spojením „jako je“ ( 22 ).

42.

V této souvislosti z širokého rozsahu pojmu „zpracování“ vyplývá, že čl. 15 odst. 3 první věta přiznává subjektu údajů právo získat kopii svých osobních údajů, které jsou předmětem jakékoli operace, jež lze považovat za „zpracování“. Jak bude podrobněji uvedeno v bodě 52 níže, toto ustanovení však samo o sobě nezakládá právo získat konkrétní informace týkající se samotného zpracování osobních údajů, které se liší od informací uvedených v čl. 15 odst. 1 GDPR.

43.

Závěrem z jazykové analýzy čl. 15 odst. 3 první věty GDPR vyplývá, že toto ustanovení přiznává subjektu údajů právo získat kopii svých osobních údajů chápaných v širším smyslu, které jsou předmětem operací kvalifikovaných jako zpracování správcem.

44.

Tato doslovná analýza ukazuje, že „kopie osobních údajů“ musí být jejich věrnou reprodukcí. Různorodost typů údajů, jež mohou být zpracovávány, však znamená, že v závislosti na typu zpracovávaných údajů a typu zpracování může mít kopie těchto údajů různé formáty, jako je papírový formát, zvukový nebo obrazový záznam, elektronický formát nebo jiné formáty. Důležité je, aby kopie těchto údajů byla věrná a umožnila subjektu údajů plně se seznámit se všemi zpracovávanými údaji. Jakákoli kompilace zpracovávaných osobních údajů musí tyto údaje věrně a srozumitelně reprodukovat a nesmí nijak ovlivňovat obsah poskytovaných údajů. Volba správce poskytnout, pokud je to možné, souhrn zpracovávaných osobních údajů proto nemůže ospravedlnit to, že některé údaje jsou vynechány nebo poskytnuty neúplně nebo neodrážejí realitu zpracování.

45.

Dotyčné ustanovení navíc zaručuje subjektu údajů právo obdržet kopii všech svých zpracovávaných osobních údajů, tedy nejen získaných údajů, ale i všech osobních údajů vytvořených správcem, které jsou zpracovávány. Avšak v rozsahu, v němž se toto ustanovení týká výhradně kopie osobních údajů, zaprvé nemůže být základem práva na přístup k informacím, které nejsou jako takové kvalifikovány, a zadruhé nezakládá – nutně – právo na získání kopií dokumentů nebo jiných nosičů obsahujících osobní údaje.

46.

Tyto úvahy však musí být doplněny analýzou kontextu tohoto ustanovení, jakož i cílů, které sleduje právo na přístup zaručené článkem 15 GDPR.

47.

Pokud jde o kontext, do něhož sporné ustanovení spadá, je třeba nejprve uvést, že toto ustanovení je obsaženo v článku 15 GDPR, jenž upravuje právo subjektu údajů vůči správci na přístup k osobním údajům, které se ho týkají a jsou zpracovávány. Tento článek v rámci GDPR konkretizuje a upřesňuje právo každého jednotlivce na přístup k osobním údajům, které se ho týkají, zakotvené v čl. 8 odst. 2 druhé větě Listiny základních práv Evropské unie ( 23 ).

48.

Pokud jde o strukturu článku 15 GDPR, jeho odstavec 1 stanoví právo subjektu údajů získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k informacím uvedeným v písmenech a) až h). Toto ustanovení tedy konkretizuje právo na přístup k osobním údajům a souvisejícím informacím a přesně vymezuje předmět práva na přístup a jeho rozsah.

49.

Článek 15 odst. 3 GDPR naopak upřesňuje, jakým způsobem má být toto právo uplatněno, a stanoví zejména formu, v níž musí správce údajů osobní údaje subjektu údajů poskytnout, tedy ve formě kopie, a tedy věrné reprodukce údajů.

50.

Z právě nastíněné struktury článku 15 GDPR, jakož i z nutnosti vykládat ustanovení odstavců 1 a 3 tohoto článku soudržně vyplývá, že odstavec 3 nedefinuje – a tedy ani nemůže měnit či rozšiřovat – předmět a rozsah práva na přístup konkretizovaného ustanovením odstavce 1. Výše uvedený odstavec 3 tedy nemůže rozšířit rozsah povinnosti správce poskytnout přístup k informacím. Struktura dotčeného článku tedy potvrzuje, že ustanovení odstavce 3 nemůže být základem pro případné samostatné právo subjektu údajů na získání informací nad rámec informací uvedených v odstavci 1 tohoto ustanovení.

51.

V tomto ohledu souhlasím s rakouským úřadem na ochranu údajů, který tvrdí, že výklad čl. 15 odst. 3 první věty GDPR v tom smyslu, že toto ustanovení umožňuje rozšířit rozsah informací, k nimž má subjekt údajů přístup, nad rámec informací týkajících se jeho osobních údajů, by byl v rozporu s čl. 8 odst. 2 Listiny.

52.

Výše uvedená analýza zaprvé potvrzuje úvahu uvedenou v bodě 44 výše, že ustanovení čl. 15 odst. 3 první věty GDPR nezakládá samostatné právo na získání kopií dokumentů nebo jiných nosičů obsahujících osobní údaje. Zadruhé rovněž potvrzuje analýzu provedenou v bodě 42 výše, podle níž toto ustanovení nepřiznává subjektu údajů právo získat jiné informace než ty, které jsou stanoveny v čl. 15 odst. 1 GDPR ( 24 ), pokud jde o samotné zpracování osobních údajů, jako jsou například informace o kritériích, vzorech, pravidlech nebo vnitřních postupech (ať již výpočetní povahy či nikoli) používaných pro zpracování osobních údajů. Na tyto informace se navíc často vztahují práva duševního vlastnictví, která musí být v této souvislosti chráněna, jak je výslovně uvedeno v páté větě bodu 63 odůvodnění. To však nic nemění na skutečnosti, že, jak je uvedeno v bodě 60 odůvodnění GDPR, správce musí subjektu údajů poskytnout veškeré další informace nezbytné pro zajištění spravedlivého a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány. Kromě toho je třeba připomenout, že existují zvláštní pravidla týkající se případů automatizovaného rozhodování, včetně profilování ( 25 ).

53.

Také z kontextuálního hlediska je třeba čl. 15 odst. 3 první větu GDPR vykládat ve světle ostatních příslušných ustanovení GDPR. Kromě definic v čl. 4 bodech 1 a 2 GDPR rozebraných v bodech 32 a 41 výše je relevantní zejména čl. 12 odst. 1 GDPR, na který předkládající soud odkazuje ve své třetí předběžné otázce.

54.

Z tohoto ustanovení vyplývá, že správce je povinen přijmout vhodná opatření, aby subjektu údajů poskytl všechny informace uvedené mimo jiné v článku 15 GDPR, a to stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, a informace musí být poskytnuty písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě, pokud si subjekt údajů nevyžádá, aby byly informace poskytnuty ústně.

55.

Účelem tohoto ustanovení, které je výrazem zásady transparentnosti ( 26 ), je zajistit, aby subjekt údajů mohl plně porozumět informacím, které jsou mu zasílány. Úplná srozumitelnost těchto informací je totiž zaprvé nezbytná pro účinný výkon práva na přístup zaručeného článkem 15 GDPR a zadruhé je předpokladem pro plný výkon ostatních práv zaručených subjektu údajů GDPR, která jsou uvedena v bodech 64 a 65 tohoto stanoviska, a následujících po uplatnění práva na přístup ( 27 ). Z bodu 63 odůvodnění GDPR dále vyplývá, že subjekt údajů musí mít právo na snadný a bezproblémový výkon práva na přístup ke svým osobním údajům.

56.

Potřebu srozumitelnosti při sdělování údajů, která umožní subjektu údajů se s nimi plně seznámit a zkontrolovat, zda jsou přesné a zpracovávané v souladu s unijním právem, aby mohl uplatnit svá práva přiznaná tímto právem, navíc Soudní dvůr zdůraznil již ve své judikatuře týkající se směrnice 95/46 ( 28 ).

57.

Z výše uvedeného požadavku na srozumitelnost údajů a informací uvedených v čl. 15 odst. 1 písm. a) až h) GDPR vyplývá, že nelze vyloučit, že v některých případech může být pro zajištění plné srozumitelnosti informací zasílaných subjektu údajů nezbytné poskytnout mu pasáže dokumentů nebo dokonce celé dokumenty či výpisy z databází. Analýza toho, zda je nutné poskytnout dokumenty nebo výpisy, aby byla zajištěna srozumitelnost zasílaných informací, však musí být nevyhnutelně provedena případ od případu v závislosti na druhu požadovaných údajů a na samotné žádosti.

58.

V této souvislosti je však třeba zdůraznit, že případné předání dokumentů nebo jejich výpisů nepředstavuje výkon samostatného práva – ve vztahu k právu na přístup – zaručeného čl. 15 odst. 3 první větou GDPR, ale pouze způsob zaslání kopie osobních údajů s cílem zajistit jejich úplnou srozumitelnost. V této souvislosti uvádím, že, jak upozornily některé zúčastněné strany, jež předložily Soudnímu dvoru svá vyjádření, v některých případech je pro úplné pochopení předmětných osobních údajů nezbytné znát kontext, v němž jsou tyto údaje zpracovávány. Tato úvaha však není v tom smyslu, že subjektu údajů na základě dotčeného ustanovení přiznává obecné právo na přístup ke kopiím dokumentů nebo výpisům z databází.

59.

Právo získat kopie osobních údajů je navíc omezeno požadavkem výslovně stanoveným v čl. 15 odst. 4 GDPR, aby nebyla „nepříznivě dotčena práva a svobody jiných osob“. Z tohoto ustanovení vyplývá, že požadavek zaručit subjektu údajů celkový a úplný přístup k jeho osobním údajům tím, že mu bude poskytnuta jejich kopie, nemůže jít tak daleko, aby umožňoval porušování práv a svobod jiných osob.

60.

V tomto ohledu uvádím, že výše uvedený odstavec 4 je formulován velmi obecně a ponechává otevřený seznam práv a svobod „jiných osob“, která mohou vyvážit výkon práva na plný přístup k osobním údajům získáním jejich kopie. Je však třeba uvést, že tato práva zcela jistě zahrnují, jak je výslovně uvedeno v bodě 63 odůvodnění GDPR, „obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení“, jakož i právo na ochranu osobních údajů třetích osob, například v případě, kdy nosič obsahující osobní údaje subjektu údajů obsahuje také osobní údaje třetích osob.

61.

V případě střetu mezi výkonem práva na celkový a úplný přístup k osobním údajům na jedné straně a právy nebo svobodami jiných osob na straně druhé bude nutné provést vyvážení dotčených práv. Pokud je to možné, měly by být zvoleny takové způsoby sdělování osobních údajů, které neporušují práva a svobody jiných osob, přičemž je třeba mít na paměti, jak je uvedeno v bodě 63 odůvodnění GDPR, že zohlednění těchto skutečností by ovšem nemělo „vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací“.

62.

Opět z kontextuálního hlediska je třeba také uvést, že výklad čl. 15 odst. 3 první věty GDPR, podle něhož toto ustanovení nezakládá obecné právo na přístup ke kopiím dokumentů nebo výpisům z databází, pokud to není nezbytné k zajištění srozumitelnosti poskytnutých údajů a informací, potvrzuje i skutečnost, že právo na přístup k dokumentům, zejména správním dokumentům, je výslovně upraveno v jiných unijních ( 29 ) nebo vnitrostátních aktech, které sledují jiné cíle než ty, jež zaručují ochranu osobních údajů ( 30 ).

63.

Výklad čl. 15 odst. 3 první věty GDPR uvedený v předchozím bodě je pak potvrzen analýzou účelu tohoto ustanovení v rámci práva subjektu údajů na přístup k údajům zaručeného článkem 15 GDPR.

64.

Jak vyplývá z bodu 63 odůvodnění GDPR, a zejména z jeho první věty, cílem práva na přístup k vlastním osobním údajům a k dalším informacím uvedeným v čl. 15 odst. 1 písm. a) až h) GDPR je především umožnit subjektu údajů, aby se seznámil se zpracováním svých údajů a aby si ověřil zákonnost zpracování ( 31 ).

65.

Toto právo na přístup je nezbytné, jak již Soudní dvůr zdůraznil, aby subjekt údajů mohl uplatnit řadu dalších práv, která mu GDPR přiznává, včetně práva na opravu, práva na výmaz („právo být zapomenut“) a práva na omezení zpracování, jež mu přiznávají články 16, 17 a 18 GDPR ( 32 ). Soudní dvůr také objasnil, že právo na přístup je nutné též k tomu, aby byl subjektu údajů umožněn výkon práva na námitku proti zpracování jeho osobních údajů podle článku 21 GDPR nebo práva na soudní ochranu pro případ utrpěné škody a práva na náhradu újmy podle článků 79 a 82 GDPR ( 33 ).

66.

Právě v kontextu cílů práva na přístup k osobním údajům a dalším informacím je třeba chápat důvody, které stojí za pravidlem přiznávajícím právo získat kopii osobních údajů. Jeho cílem je výslovně stanovit formu, jakou je subjektu údajů zaručen účinný výkon tohoto práva, aby se mohl přesvědčit o korektnosti a zákonnosti zpracování pro účely případného výkonu dalších práv uvedených v bodě 65 výše. Cílem je zajistit, aby osobní údaje byly subjektu údajů poskytnuty v co nejpřesnější a nejsrozumitelnější podobě, která mu umožní výkon těchto práv, tedy v podobě kopie, tj. věrné reprodukce údajů.

67.

Z tohoto hlediska se vydání kopie dokumentu obsahujícího takové údaje nebo výpisu z databáze nejeví vždy a ve všech případech jako nezbytné pro dosažení cíle sledovaného normotvůrcem.

68.

Pouze v případech, kdy je vydání takové kopie nezbytné pro zajištění plné srozumitelnosti zpracovávaných osobních údajů, může subjekt údajů v mezích uvedených v bodech 58 a 61 výše získat části dokumentů, případně celé dokumenty nebo výpisy z databází.

69.

V této souvislosti rovněž uvádím, že GDPR tím, že na rozdíl od pravidel obsažených ve směrnici 95/46 stanoví skutečné právo na získání kopie údajů, zamýšlelo posílit postavení subjektu údajů ( 34 ). To je totiž podstatný rozdíl oproti předchozí právní úpravě, která v čl. 12 písm. a) druhé odrážce výše uvedené směrnice stanovila pouze „sdělení srozumitelnou formou o údajích, které jsou předmětem zpracování“, a ponechávala tak na členských státech, aby stanovily konkrétní hmotnou podobu, kterou toto sdělení musí mít, aby bylo srozumitelné ( 35 ). Povinnost správců poskytnout „kopii“ údajů, která je nyní stanovena v čl. 15 odst. 3 první větě GDPR, naopak bezpodmínečně určuje formu, kterou toto sdělení musí mít, a to formu „kopie“ údajů.

70.

S ohledem na všechny výše uvedené úvahy považuji za nezbytné odpovědět na první tři předběžné otázky předkládajícího soudu tak, že čl. 15 odst. 3 první věta GDPR musí být vykládán v tom smyslu, že:

71.

Podstatou čtvrté předběžné otázky předkládajícího soudu je to, zda se pojem „informace“ uvedený v čl. 15 odst. 3 třetí větě GDPR vztahuje pouze na „zpracovávané osobní údaje“ uvedené v první větě tohoto odstavce, nebo zda kromě těchto údajů zahrnuje také informace uvedené v čl. 15 odst. 1 písm. a) až h) [otázka 4.a)], nebo také jiné informace, jako jsou například metadata týkající se údajů [otázka 4.b)].

72.

Pro zodpovězení této otázky je třeba pojem „informace“ obsažený v čl. 15 odst. 3 třetí větě GDPR vykládat za použití metodiky vyplývající z judikatury uvedené v bodě 25 výše.

73.

Z tohoto pohledu se z doslovného hlediska zdá být pojem „informace“ příliš obecný na to, aby bylo jasné, zda se vztahuje výhradně na osobní údaje uvedené v čl. 15 odst. 3 první větě GDPR, nebo zda zahrnuje i jiné druhy informací.

74.

Z kontextuálního hlediska je však třeba uvést, že výše uvedená třetí věta je vložena do čl. 15 odst. 3 GDPR, který se týká povinnosti správce poskytnout na žádost subjektu údajů „kopii zpracovávaných osobních údajů“. Struktura odstavce 3 tedy vede k závěru, že pojem „informace“ se vztahuje na informace, které jsou předmětem žádosti, jež má být vyřízena podle první věty tohoto odstavce, a tedy na žádost o poskytnutí kopie zpracovávaných osobních údajů.

75.

Tento výklad se rovněž zdá být v souladu s cílem samotného odstavce 3, kterým je, jak vyplývá z bodů 61 a následujících a zejména z bodu 69 výše, stanovit formu, kterou musí mít sdělení zpracovávaných osobních údajů, tedy formu „kopie“ údajů. Z tohoto hlediska je třetí věta tohoto odstavce určena k úpravě specifického případu, kdy je žádost o získání kopie těchto údajů podána v elektronické formě.

76.

Vzhledem k tomu je podle mého názoru třeba rovněž uvést, že povinnost transparentnosti vyplývající z čl. 12 odst. 1 GDPR uvedená v bodech 54 a 55 výše, jejímž účelem je zajistit, aby subjekt údajů byl schopen plně porozumět informacím, které mu byly zaslány mimo jiné podle článku 15 GDPR, posuzovaného jako celek, vyžaduje, aby v případě, že je žádost o přístup uvedená v čl. 15 odst. 1 GDPR podána v elektronické formě, byly informace uvedené v písmenech a) až h) poskytnuty rovněž v elektronické formě, která se běžně používá, jež subjektu údajů umožní se s nimi plně, snadno a bez obtíží seznámit. V případě, že se elektronická forma obsahující tyto informace běžně nepoužívá, mohlo by to ve skutečnosti velmi ztížit nebo znesnadnit získání těchto informací, což je v rozporu s výše uvedenou povinností transparentnosti.

77.

Konečně, pokud jde konkrétně o otázku 4.b), z okolnosti, že třetí věta čl. 15 odst. 3 GDPR odkazuje na „žádost“ subjektu údajů, vyplývá, že pojem „informace“ obsažený v tomto ustanovení nemůže jít nad rámec toho, co je právě předmětem této žádosti, tedy kopie zpracovávaných osobních údajů. Z toho vyplývá, že zde použitý pojem „informace“ se vztahuje výhradně na tyto údaje a nemůže zahrnovat žádné jiné informace a už vůbec ne jiné informace než informace uvedené v čl. 15 odst. 1 písm. a) až h) GDPR. V opačném případě by se rozšířila oblast působnosti práva na přístup, což – jak již bylo uvedeno v bodech 48 a 51 výše – nemá oporu v GDPR.

78.

Z výše uvedeného vyplývá, že podle mého názoru je třeba na čtvrtou předběžnou otázku předkládajícího soudu odpovědět tak, že pojem „informace“ uvedený v čl. 15 odst. 3 třetí větě GDPR musí být vykládán v tom smyslu, že se vztahuje výlučně na „kopii zpracovávaných osobních údajů“ uvedenou v první větě tohoto odstavce.

79.

S ohledem na všechny výše uvedené skutečnosti navrhuji, aby Soudní dvůr odpověděl na předběžné otázky položené Bunsdesverwaltungsgericht (Spolkový správní soud, Rakousko) následovně:

„Článek 15 odst. 3 první věta nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

musí být vykládán v tom smyslu, že

pojem ‚kopie‘ uvedený v tomto ustanovení musí být chápán jako věrná reprodukce osobních údajů požadovaných subjektem údajů ve srozumitelné podobě, v hmotném a trvalém formátu, která subjektu údajů umožní účinně vykonávat jeho právo na přístup k jeho osobním údajům, mít úplnou znalost všech svých osobních údajů, které jsou zpracovávány – včetně všech dalších údajů, které mohou být v důsledku zpracování vytvořeny, pokud jsou rovněž zpracovávány – aby mohl ověřit jejich přesnost a ujistit se, že zpracování je korektní a zákonné, a mohl tak případně uplatnit další práva, která mu obecné nařízení o ochraně osobních údajů přiznává; přesná forma kopie se určuje podle zvláštností každého případu, a zejména podle typu osobních údajů, k nimž je požadován přístup, a podle potřeb subjektu údajů;

toto ustanovení nepřiznává subjektu údajů obecné právo získat kopii části nebo celého dokumentu obsahujícího osobní údaje subjektu údajů nebo výpis z této databáze, pokud jsou osobní údaje zpracovávány v databázi;

toto ustanovení však nevylučuje, že části dokumentů nebo celé dokumenty či výpisy z databází mohou být subjektu údajů poskytnuty, pokud je to nezbytné k zajištění plné srozumitelnosti zpracovávaných osobních údajů, k nimž je požadován přístup.

Pojem ‚informace‘ uvedený v čl. 15 odst. 3 třetí větě nařízení 2016/679

musí být vykládán v tom smyslu, že

odkazuje výhradně na ‚kopii zpracovávaných osobních údajů‘ uvedenou v první větě tohoto odstavce.“