1.

En ansat og samtidig kunde i en bank anmodede banken om at oplyse identiteten på de personer, der havde tilgået hans personoplysninger i forbindelse med en intern undersøgelse. Eftersom banken nægtede at meddele ham disse oplysninger, iværksatte han de relevante retsmidler og anlagde til sidst et søgsmål ved Itä-Suomen hallinto-oikeus (forvaltningsdomstolen i Østfinland, Finland).

2.

Denne ret forelagde Domstolen en anmodning om præjudiciel afgørelse vedrørende fortolkningen af forordning (EU) 2016/679 ( 2 ). Ved behandlingen af denne anmodning anmodes Domstolen om at tage stilling til den registreredes ret til indsigt i visse oplysninger i forbindelse med behandlingen af vedkommendes personoplysninger.

3.

11. betragtning har følgende ordlyd:

»For at sikre effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af personoplysninger, samt at der gives tilsvarende beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indføres tilsvarende sanktioner ved overtrædelser i medlemsstaterne.«

4.

Artikel 4 (med overskriften »Definitioner«) har følgende ordlyd:

»I denne forordning forstås ved:

5.

Artikel 15 (med overskriften »Den registreredes indsigtsret«), stk. 1, har følgende ordlyd:

»Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

6.

Artikel 24 (med overskriften »Den dataansvarliges ansvar«), stk. 1, har følgende ordlyd:

»Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.«

7.

Artikel 25 (med overskriften »Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger«), stk. 2, har følgende ordlyd:

»Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.«

8.

Artikel 29 (med overskriften »Behandling, der udføres for den dataansvarlige eller databehandleren«) har følgende ordlyd:

»Databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, behandler kun disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.«

9.

Artikel 30 (med overskriften »Fortegnelser over behandlingsaktiviteter«) har følgende ordlyd:

»1.   Hver dataansvarlig og, hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle […] følgende oplysninger:

[…]

2.   Hver databehandler og, hvis det er relevant, databehandlerens repræsentant fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde:

3.   De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk.

4.   Den dataansvarlige eller databehandleren samt, hvis det er relevant, den dataansvarliges eller databehandlerens repræsentant stiller efter anmodning fortegnelserne til rådighed for tilsynsmyndigheden.

5.   De i stk. 1 og 2 omhandlede forpligtelser finder ikke anvendelse på et foretagende eller en organisation, der beskæftiger under 250 personer, medmindre den behandling, som den foretager, sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter særlige kategorier af oplysninger […] eller personoplysninger vedrørende straffedomme og lovovertrædelser […]«

10.

Artikel 58 (med overskriften »Beføjelser«), stk. 1, har følgende ordlyd:

»Hver tilsynsmyndighed har alle […] følgende undersøgelsesbeføjelser:

[…]«

11.

I henhold til lovens § 30 findes bestemmelserne om behandling af arbejdstageres personoplysninger, om test og kontroller, der gennemføres hos arbejdstagere, og de krav, der skal overholdes i denne forbindelse, samt om den tekniske overvågning på arbejdspladsen og om indhentning og åbning af en arbejdstagers e-mails i Laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ).

12.

I henhold til lovens § 34, stk. 1, har den registrerede ikke ret til indsigt i de oplysninger, der er indsamlet om den pågældende i henhold til artikel 15 i databeskyttelsesforordningen, hvis:

13.

I henhold til § 34, stk. 2, har den registrerede, såfremt kun en del af de i stk. 1 omhandlede oplysninger ikke er omfattet af den rettighed, der er reguleret ved databeskyttelsesforordningens artikel 15, ret til indsigt i alle andre oplysninger vedrørende den pågældende.

14.

I henhold til § 34, stk. 3, skal den registrerede meddeles grundene til begrænsningen, såfremt dette ikke bringer formålet med begrænsningen i fare.

15.

I henhold til § 34, stk. 4, skal de i artikel 15, stk. 1, i databeskyttelsesforordningen omhandlede oplysninger efter anmodning fra den registrerede stilles til rådighed for den tilsynsførende for databeskyttelse, såfremt den registrerede ikke har ret til indsigt i de oplysninger, der er indsamlet om den pågældende.

16.

I henhold til lovens § 4, stk. 2, andet afsnit, er arbejdsgiveren forpligtet til på forhånd at underrette arbejdstageren om indsamling af oplysninger, der har til formål at undersøge vedkommendes pålidelighed. Såfremt arbejdsgiveren kontrollerer arbejdstagerens kreditværdighed, skal denne desuden meddele arbejdstageren, hvilket register kreditoplysningerne trækkes fra. Såfremt der er indhentet oplysninger om arbejdstageren hos en anden person end arbejdstageren selv, skal arbejdsgiveren underrette arbejdstageren om de modtagne oplysninger, før de anvendes i forbindelse med afgørelser, der vedrører arbejdstageren. Den dataansvarliges pligt til at stille oplysninger til rådighed for den registrerede samt den registreredes ret til indsigt i oplysningerne er reguleret i databeskyttelsesforordningens kapitel III.

17.

I 2014 erfarede J.M., at hans personoplysninger som kunde hos banken Suur-Savon Osuuspankki (herefter »Pankki«) var blevet tilgået i perioden fra den 1. november til den 31. december 2013. I denne periode var J.M. ud over at være kunde også ansat hos Pankki.

18.

Den 29. maj 2018 anmodede J.M. Pankki om at få oplyst identiteten på de ansatte, der havde tilgået hans oplysninger i den ovennævnte periode, og formålene med behandlingen af oplysningerne, idet han var af den opfattelse, at grundene til behandlingen ikke var fuldt ud lovlige.

19.

I mellemtiden havde Pankki afskediget J.M., som begrundede sin anmodning med, at han bl.a. ønskede at belyse grundene til opsigelsen.

20.

Den 30. august 2018 afviste Pankki som dataansvarlig at oplyse J.M. om navnene på de ansatte, som havde behandlet hans personoplysninger. Pankki anførte, at den i databeskyttelsesforordningens artikel 15 omhandlede ret ikke finder anvendelse på daglige fortegnelser eller interne protokoller, hvoraf det fremgår, hvilke ansatte der har haft adgang til det IT-system, der indeholder kundernes oplysninger, og på hvilket tidspunkt de har haft adgang. Desuden vedrørte de ønskede oplysninger personoplysninger angående disse ansatte og ikke J.M.

21.

For at undgå misforståelser gav Pankki J.M. yderligere forklaringer:

22.

J.M. forelagde sagen for den nationale tilsynsmyndighed (datatilsynet, Finland) og anmodede denne om at pålægge Pankki at udlevere de ønskede oplysninger.

23.

Den 4. august 2020 afviste den stedfortrædende repræsentant for datatilsynet J.M.’s anmodning.

24.

J.M. anlagde sag ved Itä-Suomen hallinto-oikeus (forvaltningsdomstolen i Østfinland), idet han gjorde gældende, at han på grundlag af databeskyttelsesforordningen har ret til at få indsigt i identiteten på de personer, der tilgik hans oplysninger i banken, samt om deres stilling.

25.

På denne baggrund har den forelæggende ret forelagt Domstolen følgende spørgsmål:

26.

Anmodningen om præjudiciel afgørelse indgik til Domstolen den 22. september 2021.

27.

Der er indgivet skriftlige indlæg af J.M., Pankki, den østrigske, den tjekkiske og den finske regering samt af Europa-Kommissionen.

28.

I retsmødet, der blev afholdt den 12. oktober 2022, deltog J.M., datatilsynet, Pankki, den finske regering og Kommissionen.

29.

For så vidt som den forelæggende ret har anmodet om en fortolkning af flere af databeskyttelsesforordningens bestemmelser, skal det først afgøres, om denne forordning ratione temporis finder anvendelse på tvisten i hovedsagen. Det er denne tvivl, det fjerde præjudicielle spørgsmål vedrører.

30.

I henhold til databeskyttelsesforordningens artikel 99, stk. 1, trådte forordningen i kraft den 24. maj 2016. Forordningens anvendelse blev imidlertid udsat til den 25. maj 2018 ( 6 ).

31.

Undersøgelsen af J.M.’s personoplysninger fandt sted mellem den 1. november og den 31. december 2013, dvs. før databeskyttelsesforordningens ikrafttræden og anvendelse.

32.

Den dato, der er relevant i den foreliggende sag, er imidlertid den 29. maj 2018, hvor J.M. under henvisning til databeskyttelsesforordningens artikel 15, stk. 1 (der har fundet anvendelse siden den 25.5.2018), anmodede om de omtvistede oplysninger.

33.

Som den østrigske regering har fremhævet, giver databeskyttelsesforordningens artikel 15, stk. 1, de registrerede en proceduremæssig ret (indsigtsret) til at få oplysninger vedrørende behandlingen af deres personoplysninger ( 7 ). Som en bestemmelse af denne art finder den anvendelse fra tidspunktet for bestemmelsens ikrafttræden ( 8 ). Følgelig kunne J.M. påberåbe sig bestemmelsen, da han anmodede Pankki om oplysninger.

34.

Lovligheden af behandlingen af de oplysninger, der er indsamlet inden databeskyttelsesforordningens ikrafttræden, skal ganske vist afvejes i lyset af de materielle bestemmelser, der var gældende på daværende tidspunkt, dvs. direktiv 95/46/EF ( 9 ) og, for så vidt som den finder anvendelse retrospektivt, databeskyttelsesforordningen ( 10 ).

35.

Eftersom det er ubestridt, at den dataansvarlige var i besiddelse af de ønskede oplysninger, da J.M. anmodede om indsigt heri (hvilket er den ret, der er sikret ved databeskyttelsesforordningens artikel 15, stk. 1), fandt denne forordning anvendelse ( 11 ).

36.

Den omstændighed, at de omtvistede oplysninger blev behandlet inden databeskyttelsesforordningens ikrafttræden, er følgelig uden betydning for at give indsigt i eller afslå at give indsigt i de oplysninger, som den registrerede har anmodet om i henhold til databeskyttelsesforordningens artikel 15, stk. 1.

37.

Det første og det andet præjudicielle spørgsmål kan behandles samlet. Spørgsmålet er nærmere bestemt, om J.M.’s personoplysninger, som er indsamlet og behandlet af Pankki, svarer til den information, som den registrerede har ret til at modtage i henhold til databeskyttelsesforordningens artikel 15, stk. 1.

38.

Jeg skal bemærke, at den information, som J.M. anmodede om, vedrørte identiteten på de ansatte, der havde tilgået hans kundeoplysninger i 2013, og det tidspunkt, hvor behandlingen fandt sted, samt formålet med behandlingen.

39.

Det er i retsmødet blevet bekræftet, at J.M. har begrænset sin påstand til at kende identiteten på disse ansatte. I hovedsagen er det ikke specifikt bestridt, at bankens behandling af J.M.’s oplysninger blev foretaget på et lovligt grundlag ( 12 ).

40.

Men:

41.

Spørgsmålet vedrører således udelukkende informationerne om identiteten på de af Pankkis ansatte, der har behandlet J.M.’s personoplysninger.

42.

Disse oplysninger vedrører i virkeligheden en detalje for så vidt angår databehandlingsaktiviteterne og ikke i egentlig forstand den registreredes personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1) ( 14 ).

43.

Det er klart, at den person, hvis oplysninger var genstand for søgningen, var J.M. ( 15 ). Efter at J.M. fra Pankki fik bekræftet, at hans oplysninger var blevet behandlet ( 16 ), var de informationer, som han havde ret til i henhold til databeskyttelsesforordningens artikel 15, stk. 1, dem, der er opregnet i bestemmelsens litra a)-h) ( 17 ). Ved at stille informationen til rådighed fremmes udøvelsen af de rettigheder, som den registrerede råder over ( 18 ), inden for rammerne af de ordninger, der sikrer lovligheden af behandlingen af oplysninger.

44.

Det fremgår af databeskyttelsesforordningens artikel 15, stk. 1, at de omhandlede oplysninger vedrører omstændighederne i forbindelse med behandlingen af oplysningerne.

45.

Databeskyttelsesforordningens artikel 15, stk. 1, giver nemlig den registrerede ret til fra den dataansvarlige at få:

46.

Bestemmelsen sondrer mellem »personoplysninger« og den »information«, som er opregnet i de litraer, der er omfattet af bestemmelsens stk. 1.

47.

Den information, der skal meddeles den registrerede i henhold til databeskyttelsesforordningens artikel 15, stk. 1, litra a)-h), må følgelig ikke forveksles med dennes personoplysninger som omhandlet i samme forordnings artikel 4, nr. 1).

48.

Der er således ikke tale om oplysninger, men derimod om information vedrørende:

49.

I alle disse tilfælde vedrører informationen enten visse af den registreredes rettigheder eller navnlig den foretagne behandling, såsom dens formål (hvad der ligger til grund for den) og genstanden for den (de berørte kategorier af oplysninger).

50.

Informationen om de modtagere, som den registreredes personoplysninger er eller vil blive videregivet til [databeskyttelsesforordningens artikel 15, stk. 1, litra c)], giver anledning til yderligere begrebsmæssige problemer, som jeg vil behandle i det følgende.

51.

Databeskyttelsesforordningens artikel 15, stk. 1, fastsætter i det væsentlige en ret til information om selve grundlaget for og omstændighederne ved behandlingen. Ud over denne information kommer information vedrørende de rettigheder, som den registrerede har i forhold til de oplysninger, der er genstand for behandlingen, f.eks. retten til at indgive en klage til en tilsynsmyndighed.

52.

Den blotte eksistens af behandlingen og dens omstændighederne udgør efter min opfattelse ikke »personoplysninger« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1).

53.

Behandlingen kan ganske vist resultere i afgørelser, der berører den registrerede, som den forelæggende ret har påpeget ( 21 ). Dette resultat afhænger imidlertid ikke af den eller de fysiske personer, der konkret har undersøgt oplysningerne på vegne af og under Pankkis ansvar, hvilket er den information, som er omtvistet i hovedsagen.

54.

J.M. havde således ret til af Pankki som dataansvarlig at blive underrettet om de personoplysninger, som denne var i besiddelse af, og som enten var indsamlet hos J.M. selv (databeskyttelsesforordningens artikel 13) eller på anden vis (databeskyttelsesforordningens artikel 14). Han ville ligeledes – nu i henhold til databeskyttelsesforordningens artikel 15 – have ret til informationer vedrørende eksistensen af og omstændighederne ved enhver behandling, som disse oplysninger har været genstand for, ikke fordi sidstnævnte i sig selv udgør en »personoplysning«, men fordi det fremgår udtrykkeligt af databeskyttelsesforordningens artikel 15 ( 22 ).

55.

I forlængelse af det, som jeg vil redegøre for nedenfor, er det afgørende for denne sag, at identiteten på de ansatte, der tilgik J.M.’s oplysninger, ikke udgør en »personoplysning« om J.M.

56.

Det er imidlertid en anden sag, om der i de protokoller eller fortegnelser, som jeg senere vil henvise til, direkte eller indirekte optræder andre personoplysninger om den registrerede end oplysningerne om de ansatte, der havde fået adgang til dem. Om dette er tilfældet eller ej, afhænger i høj grad af indholdet af de relevante protokoller eller fortegnelser. Jeg gentager imidlertid, at eftersom tvisten i hovedsagen er begrænset til at kende identiteten på Pankkis ansatte, er der ikke tale om J.M.’s personoplysninger, men om disse ansattes personoplysninger.

57.

Den forelæggende ret ønsker oplyst, om J.M., selv om der ikke er tale om hans personoplysninger, i lyset af databeskyttelsesforordningens artikel 15, stk. 1, litra a) og c), har ret til fra Pankki at få informationer om de ansatte, der havde behandlet hans personoplysninger.

58.

I henhold til litra a) har den registrerede ret til få den dataansvarliges bekræftelse på, hvad formålene med behandlingen er. Dette litra (som i det foreliggende tilfælde blev overholdt, idet Pankki oplyste J.M. om formålet med behandlingen) indeholder imidlertid ikke kriterier for at fastslå, hvem der er modtagere af dennes personoplysninger.

59.

Spørgsmålet giver derimod god mening, hvis det kræver en fortolkning af databeskyttelsesforordningens artikel 15, stk. 1, litra c). Jeg skal minde om, at den registrerede i medfør af denne bestemmelse har ret til at få information om de »modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til […]«.

60.

I databeskyttelsesforordningens artikel 4, nr. 9), forstås ved »modtager«»en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej«.

61.

Denne sidste ledsætning (»uanset om det er en tredjemand eller ej«) kan give anledning til tvivl om bestemmelsens personelle anvendelsesområde, således som det blev anført i retsmødet. En overfladisk fortolkning, som efter min opfattelse er fejlagtig, kunne understøtte idéen om, at »modtageren« ikke alene er enhver tredjemand, som Pankki har videregivet J.M.’s personoplysninger til, men også hver af de ansatte, der konkret har tilgået disse oplysninger på vegne af og med henvisning til den juridiske person, som Pankki udgør.

62.

Databeskyttelsesforordningens artikel 4, nr. 10), definerer en »tredjemand« som »en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personoplysninger« ( 23 ).

63.

I lyset af disse præmisser er det således min opfattelse, at begrebet modtager ikke omfatter ansatte hos en juridisk person, som ved at benytte dennes IT-system tilgår en kundes personoplysninger på vegne af dennes ledelsesorganer. Når sådanne ansatte handler under den dataansvarliges direkte myndighed, får de alene af denne grund ikke karakter af »modtagere« af oplysningerne ( 24 ).

64.

Det kan imidlertid forekomme, at en ansat ikke følger de af den dataansvarlige fastlagte procedurer og på eget initiativ ulovligt får indsigt i oplysninger om kunder eller andre ansatte. I et sådant tilfælde ville den illoyale medarbejder ikke have handlet for og på vegne af den dataansvarlige.

65.

I denne henseende kan en illoyal medarbejder betragtes som en »modtager«, til hvem den registreredes personoplysninger ville være blevet »videregivet« (i anført betydning) ( 25 ), enten af vedkommende selv og dermed ulovligt, eller endog som (selvstændig) dataansvarlig ( 26 ).

66.

Det fremgår af beskrivelsen af de faktiske omstændigheder i forelæggelsesafgørelsen og af de anbringender, som Pankki fremførte i retsmødet, at Pankki under sit ansvar gav sine ansatte tilladelse til at tilgå J.M.’s personoplysninger. Disse ansatte fulgte således den dataansvarliges instrukser og handlede på vegne af denne. Det er således ikke muligt at betragte dem som modtagere som omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra c) ( 27 ).

67.

Det er imidlertid en anden sag, om identificeringen af disse ansatte og det tidspunkt, hvor en af dem har fået adgang til kundens personoplysninger (dvs. indholdet af disse henvisninger til de registre eller fortegnelser, som jeg vil behandle nedenfor), skal stilles til rådighed for tilsynsmyndighederne med henblik på at kontrollere, om deres handlinger er lovlige.

68.

Dette understøttes af databeskyttelsesforordningens artikel 29, idet den omhandler personer, der udfører »arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger«. Disse personer må kun behandle de nævnte oplysninger efter instruks fra deres arbejdsgiver, som er den reelle dataansvarlige (eller databehandler).

69.

Formålet med databeskyttelsesforordningens artikel 15, stk. 1, er at tilskynde til, at den registrerede effektivt udøver (forsvarer) sine rettigheder for så vidt angår dennes personoplysninger. Det følger heraf, at den registrerede skal underrettes om, hvem den dataansvarlige er, og i givet fald til hvilke modtagere disse oplysninger er blevet videregivet. Med en sådan underretning kan den registrerede henvende sig til den dataansvarlige og til de modtagere, der har haft kendskab til dennes oplysninger.

70.

Den registrerede kan ganske vist være i tvivl om, hvorvidt visse personers indgriben i håndteringen af behandlingen af dennes oplysninger på vegne af og under den dataansvarlige eller databehandleren er lovlig.

71.

På denne baggrund kan den registrerede, som den tjekkiske regering har anført, og som Kommissionen anførte i retsmødet, henvende sig til databeskyttelsesrådgiveren (databeskyttelsesforordningens artikel 38, stk. 4) eller til tilsynsmyndigheden med henblik på at indgive en klage [databeskyttelsesforordningens artikel 15, stk. 1, litra f), og artikel 77]. Det, som den registrerede ikke indrømmes, er retten til direkte at indsamle personoplysninger (identiteten) om den ansatte, som er underordnet den dataansvarlige eller databehandleren, og som i princippet handler i overensstemmelse med dennes instrukser.

72.

I retsmødet blev det drøftet, om muligheden for at henvende sig til databeskyttelsesrådgiveren eller tilsynsmyndigheden udgjorde en tilstrækkelig garanti for så vidt angår forsvaret af den persons rettigheder, hvis oplysninger har været genstand for behandling.

73.

I denne debat kan der indtages et maksimalistisk synspunkt, således at enhver registreret har ret til at få kendskab til identiteten på den dataansvarliges ansatte, som har fået adgang til dennes oplysninger, selv om det er sket på den dataansvarliges vegne og under dennes ledelse.

74.

Efter min opfattelse støtter databeskyttelsesforordningen ikke dette synspunkt med forbehold af en medlemsstats mulighed for at indtage et sådant synspunkt i sin nationale lovgivning for en eller flere specifikke sektorer ( 28 ).

75.

Efter min opfattelse ville det ikke give mening, hvis Domstolen ved at påtage sig næsten lovgivningsmæssige funktioner skulle ændre databeskyttelsesforordningen for at tilføje en ny informationspligt ud over den, som er indeholdt i artikel 15, stk. 1. Dette ville være tilfældet, hvis den dataansvarlige var forpligtet til vilkårligt at underrette den registrerede om identiteten på ikke kun den modtager, som oplysningerne blev videregivet til, men på enhver ansat eller person inden for foretagendets inderkreds, som har haft lovlig adgang hertil ( 29 ).

76.

Som Pankki har anført i retsmødet, udgør identiteten på de individuelle ansatte, der har håndteret behandlingen af en kundes oplysninger, en information, der er særlig følsom med hensyn til deres sikkerhed, i hvert fald for så vidt angår visse økonomiske sektorer.

77.

Disse ansatte ville kunne blive udsat for forsøg på udøvelse af pres og indflydelse fra dem, der som bankens kunder kan have interesse i at personliggøre deres kontaktled, som ikke længere ville være banken selv, men en eller flere af dens ansatte som et svagere led i forretningskæden. Dette kunne f.eks. være tilfældet, når overvågningen af aktiviteter gennem søgning af kundens oplysninger foretages med henblik på at opfylde de forpligtelser, som bankerne er underlagt med hensyn til forebyggelse og bekæmpelse af overtrædelser på det finansielle område.

78.

Kunden kan ganske vist betvivle hæderligheden eller upartiskheden hos den fysiske person, som har optrådt på vegne af den dataansvarlige i forbindelse med behandlingen af dennes oplysninger. En sådan tvivl ville, hvis den var rimelig, kunne begrunde dennes interesse i at kende den ansattes identitet med henblik på at udøve sin ret til at henvende sig til den ansatte.

79.

Henset til informationernes følsomhed er interessen i at få kendskab til den ansattes identitet i modstrid med de dataansvarliges ikke mindre ubestridelige interesse i at bevare diskretion med hensyn til identiteten på deres ansatte og deres ret til beskyttelse af egne oplysninger. Efter min opfattelse opnås balancen ved hjælp af tilsynsmyndigheden som mægler mellem disse to modstridende interesser.

80.

I et tilfælde som det foreliggende er det således tilsynsmyndigheden, som fra et upartisk standpunkt skal vurdere, hvorvidt tvivlen vedrørende bankens ansattes handlinger er tilstrækkelig begrundet og stærk til at berettige, at fortroligheden vedrørende deres identitet skal ophæves.

81.

Det første og det andet præjudicielle spørgsmål kan besvares her efter at have fastslået, at enhedens ansatte, der handler på vegne af og efter instruks fra enheden, ikke i egentlig forstand er modtagere som omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra c).

82.

Det er imidlertid hensigtsmæssigt, at besvarelsen suppleres med en analyse af den registreredes påståede ret til at få kendskab til de ansattes identitet, når denne er opført i en enheds registre eller fortegnelser over aktiviteter. Selv om alle disse registre eller fortegnelser, således som jeg allerede har anført, ikke nødvendigvis har samme indhold, er det generelt accepteret, at de afspejler hvem (blandt den dataansvarliges ansatte), hvorledes og hvornår vedkommende har tilgået kundeoplysningerne.

83.

Sådanne registre gør det muligt for den dataansvarlige at opfylde sin forpligtelse til at overholde de principper, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, og til at gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på at sikre og godtgøre, at behandlingen er i overensstemmelse med mandatet i denne forordning (databeskyttelsesforordningens artikel 24, stk. 1, og artikel 25, stk. 2).

84.

Inden for det specifikke anvendelsesområde for direktiv (EU) 2016/680 ( 30 ), som Kommissionen har henvist til som eksempel ( 31 ) på en særlig databeskyttelsesordning vedrørende strafbare handlinger:

85.

I henhold til artikel 14 i direktiv 2016/680 er information om bl.a. identiteten på den ansatte, der har behandlet personoplysningerne, imidlertid ikke blandt de informationer, som den registrerede har ret til at få indsigt i.

86.

Derudover foreskriver databeskyttelsesforordningens artikel 30, at der skal foreligge såkaldte »fortegnelser over behandlingsaktiviteter«, hvis indhold – med en mindre grad af konkretisering for så vidt angår definitionen af aktiviteterne – svarer til indholdet i artikel 25 i direktiv 2016/680 ( 33 ). I lighed med sidstnævnte er de informationer, der er registreret om den ansattes identitet, ikke nævnt blandt de informationer, som den registrerede har adgang til i henhold til databeskyttelsesforordningens artikel 15.

87.

Grunden til denne asymmetri mellem den registrerede information og retten til indsigt i denne information er, at der er forskelle, for så vidt angår formålet med de bestemmelser, som regulerer henholdsvis fortegnelserne over behandlingsaktiviteter og adgangen til indholdet i disse fortegnelser.

88.

Formålet med de fortegnelser, som er omhandlet i databeskyttelsesforordningens artikel 30, er som tidligere nævnt at sikre, at behandlingen er lovlig, og at sikre oplysningernes integritet og sikkerhed. Ansvaret herfor påhviler generelt tilsynsmyndigheden, til hvem den dataansvarlige eller databehandleren skal stille fortegnelserne til rådighed (databeskyttelsesforordningens artikel 30, stk. 4).

89.

I databeskyttelsesforordningen har retten til at indgive en klage til en tilsynsmyndighed [artikel 15, stk. 1, litra f)], som det påhviler at sikre dens korrekte anvendelse, til formål at beskytte fysiske personers rettigheder i forbindelse med behandlingen af deres oplysninger. Dette fremgår af databeskyttelsesforordningens artikel 51, stk. 1, og det følger af opregningen af de opgaver, som de er tillagt ved forordningens artikel 57.

90.

Den generelle opgave med at overvåge anvendelsen af databeskyttelsesforordningen og beskytte fysiske personers rettigheder begrunder tilsynsmyndighedens prærogativer, herunder at få kendskab til de omstændigheder, hvorunder behandlingen af oplysninger er blevet foretaget på vegne af en databehandler eller en dataansvarlig. Det er netop en af disse omstændigheder, der er relevant i det foreliggende tilfælde: identiteten på de personer, som tilgår kundernes personoplysninger på vegne af den dataansvarlige eller databehandleren.

91.

Databeskyttelsesforordningen indeholder imidlertid ingen krav om, at disse henvisninger til identiteten på de ansatte, der er opført i enhedens interne fortegnelser, hvorved disse kan få kendskab til (og i givet fald stille til rådighed for tilsynsmyndigheden), hvem der har tilgået en kundes personoplysninger og hvornår, skal være tilgængelige for kunden.

92.

Derimod skal den person, som er berørt af en konkret behandling, gives den information, som er nødvendig for at få kendskab til de relevante omstændigheder, med henblik på at vurdere behandlingens lovlighed og i givet fald anfægte den for tilsynsmyndigheden eller i sidste ende for en retslig myndighed.

93.

Det forholder sig ikke desto mindre således, at hvis disse fortegnelser over aktiviteter faktisk indeholder den registreredes personoplysninger (dvs. andre oplysninger end blot de ansattes identitet), vil den registrerede logisk set have ret til at få den dataansvarliges bekræftelse på, at den pågældendes personoplysninger behandles. Det er i denne forbindelse uden betydning, om disse er indeholdt i en fortegnelse over aktiviteter eller i et andet internt register eller en anden intern database hos enheden.

94.

Den forelæggende ret ønsker oplyst, om det »er […] relevant for sagen, at der er tale om en bank, som udøver en reguleret aktivitet, eller at J.M. på samme tid både arbejdede for banken og var kunde i den«.

95.

Efter min opfattelse ændrer det ovenstående sig ikke, eftersom den dataansvarlige for personoplysningerne udøver en reguleret aktivitet. Den omstændighed, at den registeransvarlige er en bank, som er underlagt særlige bestemmelser, der gælder for denne type enhed ( 34 ), kan imidlertid have betydning for fastlæggelsen af behandlingens lovlighed (retsgrundlaget), når behandlingen følger af overholdelsen af de retlige forpligtelser, som den er underlagt ( 35 ).

96.

Desuden er det i princippet heller ikke relevant, at den person, hvis oplysninger er blevet tilgået, både arbejdede for banken og var kunde i den. Databeskyttelsesforordningens artikel 15, stk. 1, sondrer ikke i forhold til den registreredes erhvervsmæssige virksomhed, som ligger ud over vedkommendes status som kunde i banken ( 36 ).

97.

Som Kommissionen har anført, giver databeskyttelsesforordningens artikel 23 ganske vist medlemsstaterne mulighed for ved lov at begrænse anvendelsesområdet for de forpligtelser og rettigheder, der bl.a. er fastsat i forordningens artikel 15, ved hjælp af sektorspecifikke bestemmelser for en specifik kategori af berørte personer. Den forelæggende ret har imidlertid ikke anført nogen sådan national begrænsning.

98.

På baggrund af det ovenstående foreslår jeg Domstolen at besvare de af Itä-Suomen hallinto-oikeus (forvaltningsdomstolen i Østfinland) forelagte spørgsmål som følger:

»Artikel 15, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med forordningens artikel 4, nr. 1),

skal fortolkes således, at

denne bestemmelse finder anvendelse, såfremt den anmodning om indsigt i informationer, som den registrerede har indgivet til den dataansvarlige for den pågældendes oplysninger, er indgivet efter den 25. maj 2018

bestemmelsen ikke giver den registrerede ret til blandt de informationer, som den dataansvarlige råder over (i givet fald gennem fortegnelser eller registre over aktiviteter), at få kendskab til identiteten på den eller de ansatte, som under den dataansvarliges myndighed og efter instruks fra denne har tilgået den registreredes personoplysninger.«