–

za J. M.: sám J. M,

–

za Apulaistietosuojavaltuutettu: A. Talus, tietosuojavaltuutettu,

–

za Pankki S: T. Kalliokoski a J. Lång, asianajajat, jakož i E.-L. Hokkonen, oikeustieteen maisteri,

–

za finskou vládu: A. Laine a H. Leppo, jako zmocněnkyně,

–

za českou vládu: A. Edelmannová, M. Smolek a J. Vláčil, jako zmocněnci,

–

za rakouskou vládu: A. Posch, jako zmocněnec,

–

za Evropskou komisi: A. Bouchagiar, H. Kranenborg a I. Söderlund, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 15 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, oprava Úř. věst. 2018, L 127, s. 2, oprava Úř. věst. 2021, L 74, s. 35, dále jen „GDPR“).

2

Tato žádost byla předložena v rámci řízení zahájeného J. M., na základě kterého se domáhá zrušení rozhodnutí Apulaistietosuojavaltuutettu (zástupce pověřence pro ochranu osobních údajů, Finsko), jímž byla zamítnuta jeho žádost, aby bylo společnosti Pankki S, bankovní instituci se sídlem ve Finsku, nařízeno sdělit mu určité informace týkající se operací nahlížení do jeho osobních údajů.

3

Body 4, 10, 11, 26, 39, 58, 60, 63 a 74 odůvodnění GDPR znějí:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

4

Článek 1 GDPR, nadepsaný „Předmět a cíle“, v odstavci 2 stanoví:

„Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.“

5

Článek 4 tohoto nařízení stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]

[…]

[…]“

6

Článek 5 uvedeného nařízení, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.   Osobní údaje musí být:

[…]

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

7

Článek 12 GDPR, nadepsaný „Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů“, stanoví:

„1.   Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování […] Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. […]

[…]

5.   […] Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce […]

[…]

Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.

[…]“

8

Článek 15 GDPR, nadepsaný „Právo subjektu údajů na přístup“, stanoví:

„1.   Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

[…]

3.   Správce poskytne kopii zpracovávaných osobních údajů. […]

4.   Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.“

9

Články 16 a 17 uvedeného nařízení zakotvují právo subjektu údajů dosáhnout opravy nepřesných osobních údajů (právo na opravu), jakož i právo na výmaz těchto údajů za určitých okolností (právo na výmaz nebo „právo být zapomenut“).

10

Článek 18 téhož nařízení, nadepsaný „Právo na omezení zpracování“, v odstavci 1 stanoví:

„Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

11

Článek 21 GDPR, nadepsaný „Právo vznést námitku“, v odstavci 1 stanoví:

„Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.“

12

Podle čl. 24 odst. 1 tohoto nařízení platí:

„S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. […]“

13

Článek 29 uvedeného nařízení, nadepsaný „Zpracování z pověření správce nebo zpracovatele“, stanoví:

„Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu.“

14

Článek 30 GDPR, nadepsaný „Záznamy o činnostech zpracování“, stanoví:

„1.   Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. […]

[…]

4.   Správce […] nebo [jeho] případný zástupce […] poskytne záznamy na požádání dozorového úřadu.

[…]“

15

Článek 58 tohoto nařízení, nadepsaný „Pravomoci“, v odstavci 1 stanoví:

„Každý dozorový úřad má všechny tyto vyšetřovací pravomoci:

[…]“

16

Článek 77 uvedeného nařízení, nadepsaný „Právo podat stížnost u dozorového úřadu“, stanoví:

„1.   Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.

2.   Dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78.“

17

Článek 79 GDPR, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.“

18

Článek 82 tohoto nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, v odstavci 1 stanoví:

„Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“

19

Podle čl. 99 odst. 2 GDPR se toto nařízení použije ode dne 25. května 2018.

20

V průběhu roku 2014 se J. M., tehdejší zaměstnanec a klient společnosti Pankki S, dozvěděl, že v období od 1. listopadu do 31. prosince 2013 zaměstnanci banky několikrát nahlíželi do jeho údajů jakožto klienta.

21

Vzhledem k tomu, že J. M., který byl mezitím propuštěn ze zaměstnání u společnosti Pankki S, měl pochybnosti o zákonnosti těchto nahlížení, požádal dne 29. května 2018 společnost Pankki S, aby mu sdělila totožnost osob, které nahlíželi do jeho klientských údajů, přesná data nahlížení, jakož i účel zpracování uvedených údajů.

22

V odpovědi ze dne 30. srpna 2018 společnost Pankki S jakožto správce ve smyslu čl. 4 bodu 7 GDPR odmítla sdělit totožnost zaměstnanců, kteří provedli operace nahlížení, z důvodu, že tyto informace představují osobní údaje těchto zaměstnanců.

23

V téže odpovědi však společnost Pankki S poskytla podrobnosti o operacích nahlížení, které na její pokyn provedlo její oddělení interního auditu. Vysvětlila, že klient banky, jejímž klientským poradcem byl J. M., byl věřitelem osoby, která rovněž má příjmení J. M., takže si přála objasnit, zda žalobce v původním řízení a dotčený dlužník jsou jedna a tatáž osoba a zda mohlo dojít k nepřípustnému vztahu střetu zájmů. Společnost Pankki S dodala, že vyjasnění této otázky si vyžádalo zpracování údajů J. M. a že každý zaměstnanec banky, který tyto údaje zpracovával, předložil oddělení interního auditu prohlášení o důvodech tohoto zpracování údajů. Banka dále uvedla, že tato nahlížení umožnila vyloučit jakékoli podezření ze střetu zájmů, pokud jde o J. M.

24

J. M. se obrátil na Tietosuojavaltuutetun toimisto (Úřad pověřence pro ochranu osobních údajů, Finsko), dozorového úřadu ve smyslu čl. 4 bodu 21 GDPR, aby bylo společnosti Pankki S nařízeno poskytnout mu požadované informace.

25

Rozhodnutím ze dne 4. srpna 2020 zástupce pověřence pro ochranu osobních údajů žádost J. M. zamítl. Vysvětlil, že účelem této žádosti bylo umožnit mu přístup k protokolovým souborům zaměstnanců, kteří zpracovávali jeho údaje, přičemž na základě jeho rozhodovací praxe takové soubory představují osobní údaje týkající se nikoli subjektu údajů, ale zaměstnanců, kteří zpracovávali údaje této osoby.

26

J. M. podal proti tomuto rozhodnutí žalobu k předkládajícímu soudu.

27

Uvedený soud připomíná, že článek 15 GDPR stanoví právo subjektu údajů získat od správce přístup ke zpracovávaným údajům, které se ho týkají, jakož i informace týkající se zejména účelů zpracování a příjemců údajů. Klade si otázku, zda se na sdělení protokolových souborů vytvořených v souvislosti s operacemi zpracování, které obsahují takové informace, zejména totožnost zaměstnanců správce, vztahuje článek 15 GDPR, jelikož tyto soubory mohou být pro subjekt údajů nezbytné pro posouzení zákonnosti zpracování, jehož předmětem byly jeho údaje.

28

Za těchto podmínek se Itä-Suomen hallinto-oikeus (správní soud pro východní Finsko, Finsko) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

29

Podstatou čtvrté otázky předkládajícího soudu, kterou je třeba posoudit na úvod, je, zda se článek 15 GDPR ve světle čl. 99 odst. 2 tohoto nařízení použije na žádost o přístup k informacím uvedeným v prvním z těchto ustanovení, pokud byly operace zpracování týkající se této žádosti provedeny přede dnem použitelnosti uvedeného nařízení, ale žádost byla podána po tomto datu.

30

Za účelem odpovědi na tuto otázku je třeba uvést, že podle čl. 99 odst. 2 GDPR se toto nařízení použije ode dne 25. května 2018.

31

V projednávané věci přitom z předkládacího rozhodnutí vyplývá, že operace zpracování osobních údajů dotčené ve věci v původním řízení byly provedeny v období od 1. listopadu 2013 do 31. prosince 2013, tedy před datem použitelnosti GDPR. Z tohoto rozhodnutí však rovněž vyplývá, že J. M. podal žádost o informace společnosti Pankki S po tomto datu, a sice dne 29. května 2018.

32

V tomto ohledu je třeba připomenout, že u procesních pravidel se má obecně za to, že jsou použitelná ke dni, kdy tato pravidla vstoupí v platnost, na rozdíl od hmotněprávních pravidel, která jsou obvykle vykládána tak, že se vztahují na situace vzniklé před jejich vstupem v platnost pouze, pokud z jejich znění, cíle nebo struktury jasně vyplývá, že jim musí být přiznán takový účinek (rozsudek ze dne 15. června 2021, Facebook Ireland a další, C‑645/19, EU:C:2021:483, bod 100, jakož i citovaná judikatura).

33

V projednávané věci z předkládacího rozhodnutí vyplývá, že žádost J. M. o poskytnutí informací dotčených ve věci v původním řízení souvisí s čl. 15 odst. 1 GDPR, který stanoví právo subjektu údajů získat přístup k osobním údajům, které se ho týkají a byly předmětem zpracování, jakož i k informacím uvedeným v tomto ustanovení.

34

Je nutno konstatovat, že uvedené ustanovení se netýká podmínek zákonnosti zpracování osobních údajů subjektu údajů. Článek 15 odst. 1 GDPR totiž pouze upřesňuje rozsah práva tohoto subjektu na přístup k údajům a informacím, na které se vztahuje.

35

Z toho vyplývá, jak uvedl generální advokát v bodě 33 svého stanoviska, že čl. 15 odst. 1 GDPR přiznává subjektům údajů procesní právo spočívající v získání informací o zpracování jejich osobních údajů. Jakožto procesní pravidlo se toto ustanovení použije na žádosti o přístup podané po dni, kdy se toto nařízení stalo použitelným, jako je žádost J. M.

36

Za těchto podmínek je třeba na čtvrtou otázku odpovědět tak, že článek 15 GDPR musí být ve světle čl. 99 odst. 2 tohoto nařízení vykládán v tom smyslu, že se použije na žádost o přístup k informacím uvedeným v tomto ustanovení, pokud byly operace zpracování týkající se této žádosti provedeny přede dnem, kdy se uvedené nařízení stalo použitelným, ale žádost byla podána po tomto datu.

37

Podstatou první a druhé otázky předkládajícího soudu, které je třeba posoudit společně, je, zda musí být čl. 15 odst. 1 GDPR vykládán v tom smyslu, že informace týkající se operací nahlížení do osobních údajů osoby, jež se týkají dat a účelů těchto operací, jakož i totožnosti fyzických osob, které tyto operace provedly, představují informace, které má tato osoba právo získat od správce na základě tohoto ustanovení.

38

Úvodem je třeba připomenout, že podle ustálené judikatury platí, že výklad ustanovení unijního práva vyžaduje, aby bylo zohledněno nejen znění takového ustanovení, ale i kontext, do něhož je zasazeno, jakož i cíle a účel, které sleduje akt, jehož je součástí [rozsudek ze dne 12. ledna 2023, Österreichische Post (Informace týkající se příjemců osobních údajů),C‑154/21, EU:C:2023:3, bod 29].

39

Pokud jde nejprve o znění čl. 15 odst. 1 GDPR, toto ustanovení stanoví, že subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k uvedeným osobním údajům, jakož i k informacím týkajícím ze zejména účelů zpracování a příjemců nebo kategorií příjemců, kterým tyto osobní údaje byly nebo budou zpřístupněny.

40

V tomto ohledu je třeba zdůraznit, že pojmy, které jsou uvedeny v čl. 15 odst. 1 GDPR, jsou definovány v článku 4 tohoto nařízení.

41

V prvé řadě čl. 4 odst. 1 GDPR stanoví, že „osobními údaji“ se rozumí „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“ a upřesňuje, že „identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“.

42

Použití výrazu „veškeré informace“ v definici pojmu „osobní údaje“ uvedené v tomto ustanovení odráží cíl unijního normotvůrce přiznat tomuto pojmu široký význam, který potenciálně zahrnuje všechny druhy informací, a to jak objektivní, tak subjektivní, ve formě názoru nebo hodnocení pod podmínkou, že jsou „o“ dotčené osobě (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 23).

43

V této souvislosti bylo rozhodnuto, že informace je o identifikované nebo identifikovatelné fyzické osobě, pokud vzhledem ke svému obsahu, účelu nebo účinku souvisí s identifikovatelnou osobou (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 24).

44

Pokud jde o „identifikovatelnost“ osoby, bod 26 odůvodnění GDPR upřesňuje, že by se mělo přihlédnout ke „všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby“.

45

Z toho vyplývá, že široká definice pojmu „osobní údaje“ se nevztahuje pouze na údaje shromážděné a uchovávané správcem, ale zahrnuje rovněž veškeré informace vyplývající ze zpracování osobních údajů, které se týkají identifikované nebo identifikovatelné osoby (v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 26).

46

Ve druhé řadě, pokud jde o pojem „zpracování“, jak je definován v čl. 4 bodě 2 GDPR, je třeba konstatovat, že použitím výrazu „jakákoli operace“ měl unijní normotvůrce v úmyslu dát tomuto pojmu široký rozsah tím, že použil demonstrativní výčet operací s osobními údaji nebo soubory osobních údajů, které zahrnují mimo jiné shromáždění, zaznamenání, uložení nebo nahlédnutí do těchto údajů (v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 27).

47

Ve třetí řadě, čl. 4 bod 9 GDPR upřesňuje, že „příjemcem“ se rozumí „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli“.

48

V tomto ohledu Soudní dvůr rozhodl, že subjekt údajů má právo získat od správce informace o konkrétních příjemcích, kterým byly nebo budou zpřístupněny osobní údaje, které se ho týkají [rozsudek ze dne 12. ledna 2023, Österreichische Post (Informace týkající se příjemců osobních údajů),C‑154/21, EU:C:2023:3, bod 46].

49

Z textové analýzy čl. 15 odst. 1 GDPR a pojmů v něm obsažených tedy vyplývá, že právo na přístup, které toto ustanovení subjektu údajů přiznává, se vyznačuje širokým rozsahem informací, které musí správce tomuto subjektu poskytnout.

50

Pokud jde dále o kontext čl. 15 odst. 1 GDPR, je třeba v prvé řadě připomenout, že bod 63 odůvodnění tohoto nařízení stanoví, že každý subjekt údajů by měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, a kdo jsou příjemci osobních údajů.

51

Ve druhé řadě bod 60 odůvodnění GDPR uvádí, že zásady spravedlivého a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech, přičemž je třeba zdůraznit, že správce by měl poskytnout veškeré další informace nezbytné pro zajištění spravedlivého a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány. Kromě toho v souladu se zásadou transparentnosti zmíněnou předkládajícím soudem, na kterou odkazuje bod 58 odůvodnění GDPR a která je výslovně zakotvena v čl. 12 odst. 1 tohoto nařízení, musí být všechny informace určené subjektu údajů stručné, snadno přístupné a srozumitelné a musí být podávané za použití jasných a jednoduchých jazykových prostředků.

52

V tomto ohledu čl. 12 odst. 1 nařízení GDPR upřesňuje, že informace musí být poskytnuty písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě, pokud si subjekt údajů nevyžádá, aby byly informace poskytnuty ústně. Účelem tohoto ustanovení, které je výrazem zásady transparentnosti, je zajistit, aby subjekt údajů mohl plně porozumět informacím, které jsou mu zasílány (viz rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 38, jakož i citovaná judikatura).

53

Z výše uvedené kontextuální analýzy vyplývá, že čl. 15 odst. 1 GDPR je jedním z ustanovení, která mají zajistit transparentnost způsobu zpracování osobních údajů ve vztahu k subjektu údajů.

54

Konečně je tento výklad rozsahu práva na přístup stanoveného v čl. 15 odst. 1 GDPR potvrzen cíli, které toto nařízení sleduje.

55

Cílem tohoto nařízení je totiž zaprvé, jak uvádějí body 10 a 11 jeho odůvodnění, zajistit soudržnou a vysokou úroveň ochrany fyzických osob v rámci Unie a posílit a podrobně vymezit práva subjektů údajů.

56

Mimoto, jak vyplývá z bodu 63 odůvodnění GDPR, cílem práva osoby na přístup k vlastním osobním údajům a k dalším informacím uvedeným v čl. 15 odst. 1 tohoto nařízení je především umožnit tomuto subjektu, aby se seznámil se zpracováním svých údajů a aby si ověřil zákonnost zpracování. Z tohoto bodu odůvodnění, a jak je uvedeno v bodě 50 tohoto rozsudku, vyplývá, že každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů a v čem spočívá logika zpracování osobních údajů.

57

V tomto ohledu je třeba zadruhé připomenout, že Soudní dvůr již rozhodl, že právo na přístup stanovené v článku 15 GDPR musí subjektu údajů umožnit, aby se ujistil, že osobní údaje, které se ho týkají, jsou správné a jsou zpracovávány zákonným způsobem (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 34).

58

Konkrétně je toto právo na přístup nezbytné k tomu, aby subjekt údajů mohl případně vykonat právo na opravu, právo na výmaz („právo být zapomenut“) a právo na omezení zpracování, které mu přiznávají články 16 až 18 GDPR, právo na námitku proti zpracování svých osobních údajů stanovené v článku 21 GDPR, jakož i právo na soudní ochranu pro případ utrpěné škody, zakotvené v článcích 79 a 82 GDPR (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 35, jakož i citovaná judikatura).

59

Článek 15 odst. 1 GDPR je tudíž jedním z ustanovení, jejichž cílem je zajistit transparentnost způsobu zpracování osobních údajů ve vztahu k subjektu údajů [rozsudek ze dne 12. ledna 2023, Österreichische Post (Informace týkající se příjemců osobních údajů),C‑154/21, EU:C:2023:3, bod 42], tj. transparentnost, bez které by tento subjekt údajů nebyl schopen posoudit zákonnost zpracování svých údajů, a umožňuje subjektu údajů vykonávat práva stanovená zejména v článcích 16 až 18, 21, 79 a 82 tohoto nařízení.

60

V projednávané věci z předkládacího rozhodnutí vyplývá, že J. M. požádal společnost Pankki S, aby mu sdělila informace o operacích nahlížení, které se týkaly jeho osobních údajů, v období od 1. listopadu 2013 do 31. prosince 2013, informace o datech těchto nahlížení, jejich účelu a totožnosti osob, které tato nahlížení provedly. Předkládající soud uvádí, že předání protokolových souborů vytvořených v souvislosti s uvedenými operacemi by umožňovalo odpovědět na žádost J. M.

61

V projednávané věci není zpochybňováno, že operace nahlížení, jejichž předmětem byly osobní údaje žalobce v původním řízení, představují „zpracování“ ve smyslu čl. 4 bodu 2 GDPR, takže na základě nich mu podle čl. 15 odst. 1 tohoto nařízení vzniká nejen právo na přístup k těmto osobním údajům, ale rovněž právo na zpřístupnění informací v souvislosti s těmito operacemi, jak jsou uvedeny v posledně uvedeném ustanovení.

62

Pokud jde o takové informace, jako jsou informace požadované J. M., sdělení především dat nahlížení může subjektu údajů umožnit získat potvrzení o tom, že jeho osobní údaje byly v daném okamžiku skutečně zpracovány. Mimoto vzhledem k tomu, že podmínky zákonnosti stanovené v článcích 5 a 6 GDPR musí být splněny v okamžiku samotného zpracování, představuje datum tohoto zpracování prvek umožňující ověřit jeho zákonnost. Dále je třeba uvést, že informace týkající se účelů zpracování je výslovně uvedena v čl. 15 odst. 1 písm. a) tohoto nařízení. Konečně čl. 15 odst. 1 písm. c) uvedeného nařízení stanoví, že správce informuje subjekt údajů o příjemcích údajů.

63

Pokud jde konkrétně o sdělení všech těchto informací prostřednictvím poskytnutí protokolových souborů týkajících se operací zpracování dotčených ve věci v původním řízení, je třeba uvést, že čl. 15 odst. 3 první věta GDPR stanoví, že správce „poskytne kopii zpracovávaných osobních údajů“.

64

V tomto ohledu již Soudní dvůr rozhodl, že takto použitý pojem „kopie“ označuje věrnou reprodukci nebo opis originálu, takže čistě obecný popis zpracovávaných údajů nebo odkaz na kategorie osobních údajů neodpovídá této definici. Kromě toho ze znění čl. 15 odst. 3 první věty tohoto nařízení vyplývá, že je povinnost poskytnout informace spojena s osobními údaji, které jsou předmětem dotčeného zpracování (v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 21).

65

Kopie, kterou je správce povinen poskytnout, musí obsahovat veškeré zpracovávané osobní údaje, musí vykazovat všechny vlastnosti umožňující subjektu údajů účinně uplatňovat svá práva podle uvedeného nařízení, a musí proto tyto údaje úplně a přesně reprodukovat (v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, body 32 a 39).

66

Za účelem zajištění toho, aby takto poskytnuté informace byly snadno pochopitelné, jak vyžaduje čl. 12 odst. 1 GDPR ve spojení s bodem 58 odůvodnění tohoto nařízení, se může jako nezbytná ukázat reprodukce výpisů z dokumentů či celých dokumentů nebo výpisů z databází, které obsahují mimo jiné zpracovávané osobní údaje, je-li uvedení zpracovávaných údajů do kontextu nezbytné pro zajištění jejich pochopitelnosti. Zejména, pokud jsou osobní údaje generovány z jiných údajů nebo pokud takovéto údaje vyplývají z mezer v textu, to znamená z neuvedení údajů, z nichž informace o subjektu údajů vyplývají, je kontext, v němž jsou tyto údaje zpracovávány, nezbytným prvkem toho, aby subjekt údajů mohl získat transparentní přístup a aby byla prezentace těchto údajů srozumitelná (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, body 41 a 42).

67

V projednávané věci, jak uvedl generální advokát v bodech 88 až 90 svého stanoviska, protokolové soubory, které obsahují informace požadované J. M., odpovídají záznamům o činnostech ve smyslu článku 30 GDPR. Je třeba mít za to, že spadají pod opatření uvedená v bodě 74 odůvodnění tohoto nařízení, která provádí správce za účelem prokázání souladu činností zpracování s uvedeným nařízením. Článek 30 odst. 4 téhož nařízení zejména stanoví, že musí být na požádání poskytnuty dozorovému úřadu.

68

Pokud tyto záznamy o činnostech neobsahují informace o identifikované nebo identifikovatelné fyzické osobě ve smyslu judikatury připomenuté v bodech 42 a 43 tohoto rozsudku, pouze umožňují správci splnit povinnosti vůči dozorovému úřadu, který o jejich poskytnutí požádá.

69

Pokud jde konkrétně o protokolové soubory správce, sdělení kopie informací obsažených v těchto souborech se může ukázat jako nezbytné k tomu, aby byla splněna povinnost poskytnout subjektu údajů přístup ke všem informacím uvedeným v čl. 15 odst. 1 GDPR a aby bylo zaručeno spravedlivé a transparentní zacházení, což by mu umožnilo plně uplatnit práva, která pro něj vyplývají z tohoto nařízení.

70

Zaprvé totiž takové soubory odhalují existenci zpracování údajů, tedy informace, ke kterým musí mít subjekt údajů přístup na základě čl. 15 odst. 1 GDPR. Kromě toho informují o četnosti a intenzitě operací nahlížení, a umožňují tak subjektu údajů ujistit se o tom, že prováděné zpracování je skutečně odůvodněno účely, které správce uvádí.

71

Zadruhé tyto soubory obsahují informace týkající se totožnosti osob, které provedly operace nahlížení.

72

V projednávané věci z předkládacího rozhodnutí vyplývá, že osoby, které provedly operace nahlížení dotčené ve věci v původním řízení, jsou zaměstnanci společnosti Pankki S, kteří jednali z jejího pověření a v souladu s jejími pokyny.

73

I když z čl. 15 odst. 1 písm. c) GDPR vyplývá, že subjekt údajů má právo získat od správce informace o příjemcích nebo kategoriích příjemců, kterým osobní údaje byly nebo budou sděleny, nelze zaměstnance správce považovat za „příjemce“ ve smyslu čl. 15 odst. 1 písm. c) GDPR, jak bylo připomenuto v bodech 47 a 48 tohoto rozsudku, pokud zpracovávají osobní údaje z pověření uvedeného správce a v souladu s jeho pokyny, jak uvedl generální advokát v bodě 63 svého stanoviska.

74

V tomto ohledu je třeba zdůraznit, že podle článku 29 GDPR může jakákoli osoba jednající z pověření správce, která má přístup k osobním údajům, zpracovávat tyto údaje pouze na pokyn uvedeného správce.

75

Informace obsažené v protokolových souborech týkajících se osob, které nahlížely do osobních údajů subjektu údajů, by však mohly představovat informace spadající pod informace uvedené v čl. 4 bodě 1 GDPR, jak byly připomenuty bodě 41 tohoto rozsudku, které mu mohou umožnit ověřit zákonnost zpracování, jehož předmětem byly jeho údaje, a zejména ujistit se o tom, že operace zpracování byly skutečně provedeny z pověření správce a v souladu s jeho pokyny.

76

Z předkládacího rozhodnutí nicméně zaprvé vyplývá, že informace obsažené v protokolových souborech, jako jsou informace dotčené ve věci v původním řízení, umožňují identifikovat zaměstnance, kteří provedli operace zpracování a obsahují osobní údaje těchto zaměstnanců ve smyslu čl. 4 bodu 1 GDPR.

77

V tomto ohledu je třeba připomenout, že pokud jde o právo na přístup stanovené v článku 15 GDPR, bod 63 odůvodnění tohoto nařízení upřesňuje, že „[t]ímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních“.

78

Podle bodu 4 odůvodnění GDPR totiž právo na ochranu osobních údajů není právem absolutním, neboť musí být posuzováno ve vztahu k jeho společenské funkci a být poměřováno s jinými základními právy (v tomto smyslu viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 172).

79

I když může být nezbytné, aby byl subjekt údajů informován o totožnosti zaměstnanců správce, aby se ujistil o zákonnosti zpracování svých osobních údajů, je nicméně pravděpodobné, že tím budou nepříznivě dotčena práva a svobody těchto zaměstnanců.

80

Za těchto podmínek je třeba v případě střetu mezi výkonem práva na přístup zajišťujícím užitečný účinek práv, která GDPR přiznává subjektu údajů, na jedné straně a právy nebo svobodami jiných osob na straně druhé vyvážit dotčená práva. Pokud je to možné, měly by být zvoleny takové způsoby, které neporušují práva nebo svobody jiných osob, přičemž je třeba mít na paměti, jak je uvedeno v bodě 63 odůvodnění GDPR, že zohlednění těchto skutečností by nemělo „vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací“ (v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 44).

81

Zadruhé z předkládacího rozhodnutí nicméně vyplývá, že J. M. nepožaduje sdělení informací o totožnosti zaměstnanců společnosti Pankki S, kteří nahlíželi na jeho osobní údaje, z důvodu, že ve skutečnosti nejednali z pověření a v souladu s pokyny správce, ale podle všeho pochybuje o pravdivosti informací týkajících se účelu těchto nahlížení, které mu sdělila společnost Pankki S.

82

Za takových okolností, pokud se subjekt údajů domnívá, že informace poskytnuté správcem jsou nedostatečné k tomu, aby mohl rozptýlit pochybnosti, které má o zákonnosti zpracování svých osobních údajů, má na základě čl. 77 odst. 1 GDPR právo podat stížnost u dozorového úřadu, přičemž tento orgán má podle čl. 58 odst. 1 písm. a) tohoto nařízení pravomoc požádat správce, aby mu poskytl veškeré informace, které potřebuje k posouzení stížnosti subjektu údajů.

83

Z výše uvedených úvah vyplývá, že čl. 15 odst. 1 GDPR musí být vykládán v tom smyslu, že informace o operacích nahlížení do osobních údajů subjektu, které se týkají dat a účelů těchto operací, jsou informacemi, které má tento subjekt právo získat od správce podle tohoto ustanovení. Uvedené ustanovení naproti tomu takové právo nezakotvuje, pokud jde o informace o totožnosti zaměstnanců uvedeného správce, kteří prováděli tyto operace z jeho pověření a v souladu s jeho pokyny, ledaže jsou tyto informace nezbytné k tomu, aby subjekt údajů mohl účinně vykonávat práva, která mu toto nařízení přiznává, a za podmínky, že jsou zohledněna práva a svobody těchto zaměstnanců.

84

Podstatou třetí otázky předkládajícího soudu je, zda okolnost, že správce vykonává bankovní činnost v rámci regulované činnosti a osoba, jejíž osobní údaje byly zpracovány jakožto klienta správce, byla rovněž zaměstnancem tohoto správce, je relevantní pro účely vymezení rozsahu práva na přístup, které jí přiznává čl. 15 odst. 1 GDPR.

85

Úvodem je třeba zdůraznit, že pokud jde o oblast působnosti práva na přístup stanoveného v čl. 15 odst. 1 GDPR, žádné ustanovení tohoto nařízení nerozlišuje v závislosti na povaze činností správce nebo postavení osoby, jejíž osobní údaje jsou zpracovávány.

86

Pokud jde nejprve o regulovanou povahu činnosti společnosti Pankki S, je pravda, že článek 23 GDPR umožňuje členským státům omezit prostřednictvím legislativních opatření rozsah povinností a práv stanovených zejména v článku 15 tohoto nařízení.

87

Z předkládacího rozhodnutí však nevyplývá, že by činnost společnosti Pankki S byla předmětem takového opatření.

88

Pokud jde dále o okolnost, že J. M. byl zároveň klientem a zaměstnancem společnosti Pankki S, je třeba uvést, že s ohledem nejen na cíle GDPR, ale i na rozsah práva na přístup k osobním údajům, které má subjekt údajů, jak jsou připomenuty v bodech 49 a 55 až 59 tohoto rozsudku, nemůže mít kontext, v němž tento subjekt žádá o přístup k informacím uvedeným v čl. 15 odst. 1 GDPR, žádný vliv na rozsah tohoto práva.

89

Proto musí být čl. 15 odst. 1 GDPR vykládán v tom smyslu, že okolnost, že správce vykonává bankovní činnost v rámci regulované činnosti a osoba, jejíž osobní údaje byly zpracovány jakožto klienta správce, byla rovněž zaměstnancem tohoto správce, nemá v zásadě vliv na rozsah práva, které má tato osoba na základě tohoto ustanovení.

90

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (první senát) rozhodl takto: