DOMSTOLENS DOM (Første Afdeling)

22. juni 2023 ( *1 )

»Præjudiciel forelæggelse – behandling af personoplysninger – forordning (EU) 2016/679 – artikel 4 og 15 – omfanget af retten til indsigt i den i artikel 15 omhandlede information – oplysninger i logfiler, der genereres af et behandlingssystem (log data) – artikel 4 – begrebet »personoplysninger« – begrebet »modtagere« – tidsmæssig anvendelse«

I sag C-579/21,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Itä-Suomen hallinto-oikeus (forvaltningsdomstolen i Østfinland, Finland) ved afgørelse af 21. september 2021, indgået til Domstolen den 22. september 2021, i sagen

J.M.

procesdeltagere:

Apulaistietosuojavaltuutettu,

Pankki S,

har

DOMSTOLEN (Første Afdeling),

sammensat af afdelingsformanden, A. Arabadjiev, og dommerne P.G. Xuereb, T. von Danwitz, A. Kumin og I. Ziemele (refererende dommer),

generaladvokat: M. Campos Sánchez-Bordona,

justitssekretær: fuldmægtig C. Strömholm,

på grundlag af den skriftlige forhandling og efter retsmødet den 12. oktober 2022,

efter at der er afgivet indlæg af:

–	J.M., som selvmøder,

–	Apulaistietosuojavaltuutettu ved tietosuojavaltuutettu A. Talus,

–	Pankki S ved asianajajat T. Kalliokoski og J. Lång og oikeustieteen maisteri E.-L. Hokkonen,

–	den finske regering ved A. Laine og H. Leppo, som befuldmægtigede,

–	den tjekkiske regering ved A. Edelmannová, M. Smolek og J. Vláčil, som befuldmægtigede,

–	den østrigske regering ved A. Posch, som befuldmægtiget,

–	Europa-Kommissionen ved A. Bouchagiar, H. Kranenborg og I. Söderlund, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 15. december 2022,

afsagt følgende

Dom

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 15, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

Anmodningen er blevet indgivet i forbindelse med en sag anlagt af J.M. med påstand om annullation af en afgørelse truffet af Apulaistietosuojavaltuutettu (den stedfortrædende repræsentant for datatilsynet, Finland) om afslag på J.M.’s anmodning om, at Pankki S, der er en bank med hjemsted i Finland, blev pålagt at meddele J.M. visse oplysninger vedrørende søgninger i J.M.’s personoplysninger.

Retsforskrifter

Følgende fremgår af 4., 10., 11., 26., 39., 58., 60., 63. og 74. betragtning til databeskyttelsesforordningen:

»(4)	Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; […]

[…]

(10)

For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for [Den Europæiske Union] bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. […]

(11)	For at sikre effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af personoplysninger, […]

[…]

(26)	[…] For at afgøre, om en fysisk person er identificerbar, bør alle midler tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. […]

[…]

(39)

Enhver behandling af personoplysninger bør være lovlig og rimelig. Det bør være gennemsigtigt for de pågældende fysiske personer, at personoplysninger, der vedrører dem, indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog. Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. […]

[…]

(58)

Princippet om gennemsigtighed kræver, at enhver oplysning, som er rettet til offentligheden eller den registrerede, er kortfattet, lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog og endvidere, hvis det er passende, visualisering. Sådanne oplysninger kan gøres tilgængelige i elektronisk form, f.eks. når de er rettet mod offentligheden, via et websted. Dette er især relevant i situationer, hvor den hastige vækst i antallet af aktører og den anvendte teknologis kompleksitet gør det vanskeligt for den registrerede at vide og forstå, om, af hvem og til hvilket formål der indsamles personoplysninger om vedkommende, såsom i forbindelse med annoncering på internettet. Eftersom børn bør nyde særlig beskyttelse, bør alle oplysninger og meddelelser, hvis behandling er rettet mod et barn, være i et så klart og enkelt sprog, at et barn let kan forstå dem.

[…]

(60)

Principperne om rimelig og gennemsigtig behandling kræver, at den registrerede informeres om behandlingsaktiviteters eksistens og deres formål. Den dataansvarlige bør give den registrerede eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under. […]

[…]

(63)

En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed. […] Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, modtagerne af personoplysningerne, logikken, der ligger bag en automatisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i hvert fald når den er baseret på profilering. […] Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. […]

[…]

(74)

Der bør fastsættes bestemmelser om den dataansvarliges ansvar, herunder erstatningsansvar, for enhver behandling af personoplysninger, der foretages af den dataansvarlige eller på den dataansvarliges vegne. Den dataansvarlige bør navnlig have pligt til at gennemføre passende og effektive foranstaltninger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltningernes effektivitet. Disse foranstaltninger bør tage højde for behandlingens karakter, omfang, sammenhæng og formål og risikoen for fysiske personers rettigheder og frihedsrettigheder.«

4	Databeskyttelsesforordningens artikel 1 med overskriften »Genstand og formål« bestemmer i stk. 2: »Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.«

Denne forordnings artikel 4 bestemmer:

»I denne forordning forstås ved:

»personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person […]; ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

»behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]

7)	»dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; […]

[…]

9)	»modtager«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. […]

[…]

21)	»tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51

[…]«

Denne forordnings artikel 5 med overskriften »Principper for behandling af personoplysninger« har følgende ordlyd:

»1. Personoplysninger skal:

a)	behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

[…]

behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

Databeskyttelsesforordningens artikel 12 med overskriften »Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder« fastsætter:

»1. Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 13 og 14 og enhver meddelelse i henhold til artikel 15-22 og 34 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, […] Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. […]

[…]

5. […] Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten:

[…]

b)	afvise at efterkomme anmodningen.

Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

[…]«

Denne forordnings artikel 15 med overskriften »Den registreredes indsigtsret« bestemmer:

»1. Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

a)	formålene med behandlingen

b)	de berørte kategorier af personoplysninger

c)	de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer

d)	om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum

e)	retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling

f)	retten til at indgive en klage til en tilsynsmyndighed

g)	enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede

h)	forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

[…]

3. Den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. […]

4. Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.«

9	Nævnte forordnings artikel 16 og 17 fastsætter henholdsvis den registreredes ret til at få berigtiget urigtige personoplysninger (ret til berigtigelse) og under visse omstændigheder retten til sletning af sådanne oplysninger (retten til sletning eller »retten til at blive glemt«).

Samme forordnings artikel 18 med overskriften »Ret til begrænsning af behandling« bestemmer følgende i stk. 1:

»Den registrerede har ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af følgende forhold gør sig gældende:

a)	[R]igtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om personoplysningerne er korrekte.

b)	[B]ehandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og [anmoder] i stedet […] om, at anvendelse heraf begrænses.

c)	[D]en dataansvarlige [har] ikke længere […] brug for personoplysningerne til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

d)	[D]en registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.«

Databeskyttelsesforordningens artikel 21 med overskriften »Ret til indsigelse« fastsætter i stk. 1:

»Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 6, stk. 1, litra e) eller f), herunder profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.«

Denne forordnings artikel 24, stk. 1, bestemmer:

»Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. […]«

Forordningens artikel 29 med overskriften »Behandling, der udføres for den dataansvarlige eller databehandleren« har følgende ordlyd:

»Databehandleren og enhver, der udfører arbejde for den dataansvarlige eller databehandleren, og som har adgang til personoplysninger, behandler kun disse oplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret.«

Databeskyttelsesforordningens artikel 30 med overskriften »Fortegnelser over behandlingsaktiviteter« fastsætter:

»1. Hver dataansvarlig og, hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar. […]

[…]

4. Den dataansvarlige […] samt, hvis det er relevant, den dataansvarliges […] repræsentant stiller efter anmodning fortegnelserne til rådighed for tilsynsmyndigheden.

[…]«

Denne forordnings artikel 58 med overskriften »Beføjelser« bestemmer følgende i stk. 1:

»Hver tilsynsmyndighed har alle af følgende undersøgelsesbeføjelser:

a)	at give den dataansvarlige og databehandleren samt den dataansvarliges eller databehandlerens eventuelle repræsentant påbud om at give alle oplysninger, der kræves til udførelse af myndighedens opgaver

[...«

I den nævnte forordnings artikel 77 med overskriften »Ret til at indgive klage til en tilsynsmyndighed« er følgende præciseret:

»1. Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har enhver registreret ret til at indgive klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller hvor den påståede overtrædelse har fundet sted, hvis den registrerede finder, at behandlingen af personoplysninger vedrørende vedkommende overtræder denne forordning.

2. Den tilsynsmyndighed, som klagen er indgivet til, underretter klageren om forløbet og resultatet af klagen, herunder om muligheden for anvendelse af retsmidler, jf. artikel 78.«

Databeskyttelsesforordningens artikel 79 med overskriften »Adgang til effektive retsmidler over for en dataansvarlig eller databehandler« bestemmer følgende i stk. 1:

»Uden at det berører andre tilgængelige administrative eller udenretslige klageadgange, herunder retten til at indgive klage til en tilsynsmyndighed i henhold til artikel 77, skal den enkelte registrerede have adgang til effektive retsmidler, hvis vedkommende finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger i strid med denne forordning.«

Denne forordnings artikel 82 med overskriften »Ret til erstatning og erstatningsansvar« bestemmer følgende i stk. 1:

»Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.«

19	I henhold til databeskyttelsesforordningens artikel 99, stk. 2, har forordningen fundet anvendelse siden den 25. maj 2018.

Tvisten i hovedsagen og de præjudicielle spørgsmål

20	I løbet af 2014 fik J.M., der på daværende tidspunkt var ansat i og kunde hos Pankki S, kendskab til, at J.M.’s egne kundeoplysninger flere gange var blevet tilgået af bankens ansatte i perioden fra den 1. november til den 31. december 2013.

Da J.M., som i mellemtiden var blevet afskediget fra sin stilling i Pankki S, var i tvivl om lovligheden af disse søgninger, anmodede han den 29. maj 2018 Pankki S om at oplyse ham om identiteten på de personer, der havde tilgået hans kundeoplysninger, de nøjagtige datoer for søgningerne og formålene med behandlingen af de nævnte oplysninger.

I sit svar af 30. august 2018 afslog Pankki S i sin egenskab af dataansvarlig som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), at oplyse identiteten på de ansatte, der havde foretaget søgningerne med den begrundelse, at oplysningerne udgjorde de pågældende ansattes personoplysninger.

I dette svar præciserede Pankki S imidlertid, hvilke søgninger bankens interne revisionstjeneste havde foretaget efter dens ønske. Den forklarede således, at en af bankens kunder, som J.M. var rådgiver for, var kreditor i forhold til en person, der havde samme efternavn som J.M., og at den derfor havde ønsket at få afklaret, om sagsøgeren i hovedsagen og den pågældende debitor var én og samme person, og om der eventuelt forelå en upassende interessekonflikt. For at undersøge sagen havde det ifølge banken været nødvendigt at behandle J.M.’s oplysninger, og de medarbejdere i banken, som havde behandlet J.M.’s oplysninger, afgav hver især over for den interne revisionstjeneste en udtalelse om årsagerne til at behandle oplysningerne. Banken anførte endvidere, at søgningerne havde gjort det muligt at fjerne enhver mistanke om en interessekonflikt i forhold til J.M.

24	J.M. klagede til Tietosuojavaltuutetun toimisto (Ombudsmanden for beskyttelse af personoplysninger, Finland), der er tilsynsmyndighed som omhandlet i databeskyttelsesforordningens artikel 4, nr. 21), med henblik på, at Pankki S blev pålagt at udlevere de ønskede oplysninger.

Ved afgørelse af 4. august 2020 afviste den stedfortrædende repræsentant for datatilsynet J.M.’s anmodning. Den stedfortrædende ombudsmand oplyste, at en sådan anmodning havde til formål at give J.M. adgang til logfiler vedrørende de ansatte, og at sådanne filer ifølge ombudsmandens praksis udgjorde personoplysninger, der ikke vedrørte den registrerede, men derimod de ansatte, som havde behandlet den registreredes oplysninger.

26	J.M. har anlagt sag til prøvelse af denne afgørelse ved den forelæggende ret.

Den forelæggende ret har anført, at databeskyttelsesforordningens artikel 15 fastsætter den registreredes ret til fra den dataansvarlige at få adgang til de personoplysninger, der vedrører den pågældende, og information om bl.a. formålene med behandlingen og modtagerne af oplysningerne. Den forelæggende ret ønsker oplyst, om videregivelsen af de logfiler, der genereres i forbindelse med behandlingsaktiviteterne, og som indeholder sådan information, herunder bl.a. om identiteten på den dataansvarliges ansatte, er omfattet af databeskyttelsesforordningens artikel 15, for så vidt som disse logfiler kan vise sig at være nødvendige for den registrerede med henblik på at vurdere, om behandlingen af vedkommendes oplysninger er lovlig.

Under disse omstændigheder har Itä-Suomen hallinto-oikeus (forvaltningsdomstolen i Østfinland, Finland) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)

Skal den ret til indsigt, som tilkommer den registrerede i henhold til databeskyttelsesforordningens artikel 15, stk. 1, i forbindelse med [begrebet] »personoplysninger« som omhandlet i forordningens artikel 4, nr. 1), fortolkes således, at [information], der er indsamlet af den dataansvarlige, og hvoraf det fremgår, hvem der har behandlet den registreredes personoplysninger hvornår og til hvilket formål, ikke udgør [information], som den registrerede har ret til indsigt i, navnlig fordi der er tale om oplysninger om den dataansvarliges [ansatte]?

Såfremt det første spørgsmål besvares bekræftende, og den registrerede i medfør af databeskyttelsesforordningens artikel 15, stk. 1, ikke har ret til indsigt i [den] i dette spørgsmål nævnte [information], fordi [den] ikke udgør »personoplysninger« om den registrerede som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), skal der i den foreliggende sag da også tages hensyn til [den finformation], som den registrerede har ret til indsigt i i henhold til artikel 15, stk. 1, litra [a)-h)].

Hvordan skal formålet med behandlingen som omhandlet i [databeskyttelsesforordningen] artikel 15, stk. 1, litra a), fortolkes med hensyn til omfanget af den registreredes ret til indsigt, dvs. kan formålet med behandlingen begrunde en ret til indsigt i [logfiler], som den dataansvarlige har indsamlet, som f.eks. oplysninger om behandlerens personoplysninger, tidspunktet for og formålet med behandlingen af personoplysningerne?

b)	Kan de personer, der har behandlet J.M.’s kundeoplysninger, i denne forbindelse under visse kriterier anses for modtagere af personoplysningerne som omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra c), som den registrerede har ret til at få oplysning om?

3)	Er det relevant for sagen, at der er tale om en bank, som udøver en reguleret aktivitet, eller at J.M. på samme tid både arbejdede for banken og var kunde i den?

4)	Er det relevant for bedømmelsen af ovenstående spørgsmål, at J.M.’s oplysninger blev behandlet før databeskyttelsesforordningens ikrafttrædelse?«

Om de præjudicielle spørgsmål

Det fjerde spørgsmål

Med det fjerde spørgsmål, som skal behandles først, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 15, sammenholdt med denne forordnings artikel 99, stk. 2, skal fortolkes således, at bestemmelsen finder anvendelse på en anmodning om indsigt i information som den, der er omhandlet i førstnævnte bestemmelse, når de behandlingsaktiviteter, som anmodningen vedrører, blev udført inden anvendelsesdatoen for nævnte forordning, mens anmodningen først blev indleveret efter denne dato.

30	Med henblik på at besvare dette spørgsmål skal det bemærkes, at i henhold til databeskyttelsesforordningens artikel 99, stk. 2, har forordningen fundet anvendelse siden den 25. maj 2018.

I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at de i hovedsagen omhandlede behandlinger af personoplysninger fandt sted mellem den 1. november 2013 og den 31. december 2013, dvs. inden anvendelsesdatoen for databeskyttelsesforordningen. Det fremgår imidlertid ligeledes af denne afgørelse, at J.M. indgav sin anmodning om oplysninger til Pankki S efter denne dato, dvs. den 29. maj 2018.

Det skal i denne forbindelse bemærkes, at processuelle regler almindeligvis antages at finde anvendelse fra deres ikrafttrædelsestidspunkt, til forskel fra materielle regler, der normalt fortolkes således, at de kun omfatter forhold, der er opstået og endeligt fastlagt forud for ikrafttrædelsen, såfremt det af ordlyden, bestemmelsernes formål eller opbygning klart fremgår, at dette har været meningen (dom af 15.6.2021, Facebook Ireland m.fl., C-645/19, EU:C:2021:483, præmis 100 og den deri nævnte retspraksis).

I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at J.M.’s anmodning om at få udleveret de i hovedsagen omhandlede oplysninger er knyttet til databeskyttelsesforordningens artikel 15, stk. 1, som fastsætter den registreredes ret til at få indsigt i de personoplysninger om ham selv, som er genstand for en behandling, og i den information, der er omhandlet i denne bestemmelse.

Det må herved konstateres, at denne bestemmelse ikke vedrører betingelserne for, at behandlingen af den registreredes personoplysninger skal være lovlig. Databeskyttelsesforordningens artikel 15, stk. 1, præciserer nemlig blot omfanget af den registreredes ret til indsigt i de oplysninger og den information, som er omfattet af denne bestemmelse.

Det følger heraf, og således som generaladvokaten har anført i punkt 33 i forslaget til afgørelse, at databeskyttelsesforordningens artikel 15, stk. 1, giver de registrerede en proceduremæssig ret, der består i at indhente information om behandlingen af deres personoplysninger. Som en processuel regel finder denne bestemmelse anvendelse på anmodninger om indsigt, såsom J.M.’s begæring, der er indgivet allerede fra anvendelsesdatoen for denne forordning.

På denne baggrund skal det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 15, sammenholdt med denne forordnings artikel 99, stk. 2, skal fortolkes således, at bestemmelsen finder anvendelse på en anmodning om indsigt i information som den, der er omhandlet i denne bestemmelse, når de behandlingsaktiviteter som anmodningen vedrører, blev udført inden anvendelsesdatoen for nævnte forordning, men hvor anmodningen først blev indleveret efter denne dato.

Det første og det andet spørgsmål

Med det første og det andet spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 15, stk. 1, skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger, vedrørende datoerne for og formålet med disse søgninger og vedrørende identiteten på de fysiske personer, der har gennemført de pågældende søgninger, udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige i medfør af denne bestemmelse.

Det skal indledningsvis bemærkes, at det fremgår af fast praksis, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og de mål, der forfølges med den ordning, som den udgør en del af (dom af 12.1.2023, Österreichische Post (Oplysninger om modtagere af personoplysninger), C-154/21, EU:C:2023:3, præmis 29).

Hvad for det første angår ordlyden af databeskyttelsesforordningens artikel 15, stk. 1, skal det bemærkes, at denne bestemmelse fastsætter, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og information om bl.a. formålene med behandlingen og om de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til.

40	Det skal i denne forbindelse fremhæves, at de begreber, der er omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, er defineret i denne forordnings artikel 4.

Hvad for det første angår databeskyttelsesforordningens artikel 4, nr. 1), fastsætter denne bestemmelse, at der ved personoplysninger forstås »enhver form for information om en identificeret eller identificerbar fysisk person«, og den præciserer, at der »ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

Anvendelsen af udtrykket »enhver form for information« i definitionen af begrebet »personoplysninger«, som fremgår af denne bestemmelse, afspejler EU-lovgivers hensigt om at give begrebet en bred betydning, således at det potentielt omfatter enhver form for information, både objektiv og subjektiv i form af meningstilkendegivelser eller bedømmelser, forudsat at informationen er »om« den pågældende person (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 23).

I denne henseende er det blevet fastslået, at en information vedrører en identificeret eller identificerbar fysisk person, hvis den på grund af sit indhold, formål eller virkning er knyttet til en identificerbar person (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 24).

For så vidt angår karakteriseringen af en oplysning om en person som »identificerbar« fremgår det af 26. betragtning til databeskyttelsesforordningen, at »alle midler [bør] tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende«.

Det følger heraf, at den brede definition af begrebet »personoplysninger« ikke kun omfatter de oplysninger, der indsamles og opbevares af den dataansvarlige, men ligeledes alle oplysninger, som hidrører fra en behandling af personoplysninger, der vedrører en identificeret eller identificerbar person (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 26).

Hvad for det andet angår begrebet »behandling« som defineret i databeskyttelsesforordningens artikel 4, nr. 2), skal det konstateres, at EU-lovgiver ved anvendelsen af udtrykket »enhver aktivitet« har haft til hensigt at give dette begreb en vid rækkevidde, som udtrykkes ved en ikke-udtømmende karakter af enhver aktivitet eller række af aktiviteter, som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, opbevaring eller søgning (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 27).

Hvad for det tredje angår databeskyttelsesforordningens artikel 4, nr. 9), præciseres det heri, at der ved »modtager« forstås »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej«.

I denne henseende har Domstolen fastslået, at den registrerede har ret til at få oplysninger fra den dataansvarlige om de konkrete modtagere, som personoplysningerne vedrørende den pågældende er eller vil blive videregivet til (dom af 12.1.2023, Österreichische Post (Oplysninger om modtagere af personoplysninger), C-154/21, EU:C:2023:3, præmis 46).

Det følger derfor af en analyse af ordlyden af databeskyttelsesforordningens artikel 15, stk. 1, og af de i bestemmelsen omhandlede begreber, at den ret til indsigt, som den registrerede har i henhold til denne bestemmelse, er karakteriseret ved den brede rækkevidde af den information, som den dataansvarlige skal give den registrerede.

Hvad dernæst angår den sammenhæng, hvori databeskyttelsesforordningens artikel 15, stk. 1, indgår, skal det for det første bemærkes, at det følger af 63. betragtning til denne forordning, at den registrerede bør have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, og om modtagerne af personoplysningerne.

Det skal for det andet bemærkes, at det fremgår af 60. betragtning til databeskyttelsesforordningen, at principperne om rimelig og gennemsigtig behandling kræver, at den registrerede informeres om behandlingsaktiviteters eksistens og deres formål, idet det understreges, at den dataansvarlige bør give den registrerede eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under. Det følger desuden af princippet om gennemsigtighed, som den forelæggende ret har henvist til, som fremgår af 58. betragtning til databeskyttelsesforordningen, og som udtrykkelig er fastslået i denne forordnings artikel 12, stk. 1, at alle oplysninger, der sendes til den registrerede, skal være kortfattede, lettilgængelige, letforståelige og formuleret i et klart og enkelt sprog.

I denne henseende præciseres det i databeskyttelsesforordningens artikel 12, stk. 1, at oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk, og, når den registrerede anmoder om det, mundtligt. Denne bestemmelse er et udtryk for princippet om gennemsigtighed og tilsigter at gøre det muligt for den registrerede at opnå fuld forståelse af de fremsendte oplysninger (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 38 og den deri nævnte retspraksis).

53	Det følger af ovenstående analyse af sammenhængen, at databeskyttelsesforordningens artikel 15, stk. 1, udgør en af de bestemmelser, der har til formål at sikre gennemsigtighed i forbindelse med behandling af personoplysninger i forhold til den registrerede.

54	Endelig understøttes denne fortolkning af omfanget af den ret til indsigt, der er fastsat i databeskyttelsesforordningens artikel 15, stk. 1, af de formål, der forfølges med denne forordning.

55	For det første, og som det fremgår af 10. og 11. betragtning til denne forordning, har den nemlig til formål at sikre et ensartet og højt beskyttelsesniveau for fysiske personer inden for EU og at styrke og præcisere de berørte personers rettigheder.

Derudover fremgår det af 63. betragtning til databeskyttelsesforordningen, at en persons ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til den i denne forordnings artikel 15, stk. 1, omhandlede information, først og fremmest har til formål at gøre det muligt for denne person at forvisse sig om og kontrollere en behandlings lovlighed. Det følger af denne betragtning og af det i denne doms præmis 50 anførte, at enhver registreret bør have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, om modtagerne af personoplysningerne og om logikken bag en behandling af personoplysningerne.

I denne henseende skal det for det andet bemærkes, at Domstolen allerede har fastslået, at retten til indsigt, der er fastsat i databeskyttelsesforordningens artikel 15, skal gøre det muligt for den registrerede at sikre sig, at personoplysningerne om vedkommende er korrekte, og at de behandles lovligt (dom 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 34).

Denne ret til indsigt er navnlig nødvendig for, at den registrerede i givet fald kan udøve sin ret til berigtigelse, retten til sletning (»ret til at blive glemt«) og retten til begrænsning af behandling, der er indrømmet den registrerede i henholdsvis databeskyttelsesforordningens artikel 16 og artikel 18, og retten til i henhold til databeskyttelsesforordningens artikel 21 at gøre indsigelse mod behandling af sine personoplysninger, samt, jf. databeskyttelsesforordningens artikel 79 og 82, adgangen til at iværksætte retsmidler, såfremt denne har lidt skade (dom 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 35 og den deri nævnte retspraksis).

Databeskyttelsesforordningens artikel 15, stk. 1, udgør derfor en af de bestemmelser, der har til formål at sikre gennemsigtigheden af fremgangsmåden for behandling af personoplysninger i forhold til den registrerede (dom af 12.1.2023, Österreichische Post (Oplysninger om modtagere af personoplysninger), C-154/21, EU:C:2023:3, præmis 42), uden hvilken den registrerede ikke ville være i stand til at vurdere lovligheden af behandlingen af sine oplysninger og udøve de beføjelser, der bl.a. er fastsat i denne forordnings artikel 16-18, 21, 79 og 82.

I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at J.M. anmodede Pankki S om at få udleveret oplysninger om de søgninger, som hans personoplysninger havde været genstand for mellem den 1. november 2013 og den 31. december 2013, og oplysninger om datoerne for disse søgninger, formålet hermed og identiteten af de personer, der havde foretaget søgningerne. Den forelæggende ret har anført, at transmissionen af de logfiler, der var genereret i forbindelse med disse søgninger, gjorde det muligt at besvare J.M.’s anmodning.

I den foreliggende sag er det ubestridt, at de søgninger, som sagsøgeren i hovedsagens personoplysninger har været genstand for, udgør en »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), hvilket indebærer, at sagsøgeren i hovedsagen i henhold til denne forordnings artikel 15, stk. 1, ikke alene har ret til indsigt i disse personoplysninger, men ligeledes ret til at få den i sidstnævnte bestemmelse omhandlede information om de pågældende søgninger.

Hvad angår de oplysninger, som J.M. har anmodet om, gør meddelelsen om datoerne for søgningerne det for det første muligt for den registrerede at få bekræftet, at vedkommendes personoplysninger på et givet tidspunkt rent faktisk har været genstand for behandling. Eftersom de betingelser for lovlighed, der er fastsat i databeskyttelsesforordningens artikel 5 og 6, desuden skal være opfyldt på tidspunktet for selve behandlingen, udgør datoen for behandlingen et element, der gør det muligt at efterprøve dens lovlighed. Det skal dernæst bemærkes, at information om formålet med behandlingerne udtrykkeligt henhører under databeskyttelsesforordningens artikel 15, stk. 1, litra a). Endelig bestemmer denne forordnings artikel 15, stk. 1, litra c), at den dataansvarlige underretter den registrerede om de modtagere, som den registreredes oplysninger er blevet videregivet til.

Hvad nærmere bestemt angår en meddelelse af denne information gennem udlevering af logfiler vedrørende de i hovedsagen omhandlede behandlingsaktiviteter skal det bemærkes, at databeskyttelsesforordningens artikel 15, stk. 3, første punktum, bestemmer, at den dataansvarlige »udleverer en kopi af de personoplysninger, der behandles«.

I denne henseende har Domstolen allerede fastslået, at det således anvendte begreb »kopi« betegner en nøjagtig gengivelse eller afskrift af en original, således at en rent generel beskrivelse af de oplysninger, der er genstand for behandling, eller en henvisning til kategorier af personoplysninger ikke svarer til denne definition. Det fremgår desuden af ordlyden af denne forordnings artikel 15, stk. 3, første punktum, at oplysningspligten vedrører de personoplysninger, der er genstand for den omhandlede behandling (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 21).

Den kopi, som den dataansvarlige skal give, skal indeholde alle de personoplysninger, der behandles, udvise alle de karakteristika, der gør det muligt for den registrerede effektivt at udøve sine rettigheder i henhold til denne forordning, og den skal derfor gengive disse oplysninger fuldstændigt og nøjagtigt (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 32 og 39).

Med henblik på at sikre, at de således tilvejebragte oplysninger er lette at forstå, således som det kræves i henhold til databeskyttelsesforordningens artikel 12, stk. 1, sammenholdt med 58. betragtning hertil, kan det nemlig være nødvendigt at gengive uddrag af dokumenter såvel som hele dokumenter eller uddrag fra databaser, der bl.a. indeholder de personoplysninger, der er genstand for behandling, når en kontekstualisering af de behandlede oplysninger er nødvendig for at sikre deres forståelighed. Navnlig når personoplysninger genereres på grundlag af andre oplysninger, eller når sådanne oplysninger hidrører fra frie felter, dvs. manglende angivelse af en oplysning om den registrerede, er den sammenhæng, hvori disse oplysninger behandles, et nødvendigt element for at give den registrerede en gennemsigtig adgang til og en letforståelig præsentation af disse oplysninger (dom 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 41 og 42).

Som generaladvokaten har anført i punkt 90-88 i forslaget til afgørelse, svarer de logfiler, som indeholder de oplysninger, som J.M. har anmodet om, til fortegnelser over behandlingsaktiviteter som omhandlet i databeskyttelsesforordningens artikel 30. De skal anses for at være omfattet af de foranstaltninger, der er nævnt i 74. betragtning til denne forordning, og som gennemføres af den dataansvarlige med henblik på at påvise, at behandlingsaktiviteterne er forenelige med denne forordning. Samme forordnings artikel 30, stk. 4, præciserer navnlig, at disse fortegnelser efter anmodning skal stilles til rådighed for tilsynsmyndigheden.

For så vidt som disse fortegnelser over behandlingsaktiviteter ikke indeholder oplysninger om en identificeret eller identificerbar fysisk person som omhandlet i den retspraksis, der er nævnt i denne doms præmis 42 og 43, gør disse fortegnelser det udelukkende muligt for den dataansvarlige at opfylde sine forpligtelser over for den tilsynsmyndighed, der anmoder om at få dem udleveret.

Hvad nærmere bestemt angår den dataansvarliges logfiler kan det være nødvendigt at fremsende en kopi af den i disse filer omhandlede information med henblik på at opfylde forpligtelsen til at give den registrerede adgang til alle de oplysninger, der er omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, og for at sikre en retfærdig og gennemsigtig behandling, der gør det muligt for den registrerede fuldt ud at gøre sine rettigheder i henhold til databeskyttelsesforordningen gældende.

For det første viser sådanne filer nemlig, at oplysningerne er blevet behandlet, hvilket udgør information, som den registrerede skal have adgang til i henhold til databeskyttelsesforordningens artikel 15, stk. 1. Filerne giver desuden oplysninger om, hvor tit og i hvilket omfang der er søgt, således at den registrerede kan sikre sig, at den udførte behandling rent faktisk er begrundet i de formål, som er anført af den dataansvarlige.

71	For det andet indeholder disse filer oplysninger om identiteten på de personer, der har foretaget søgningen.

72	I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at de personer, der har foretaget de i hovedsagen omhandlede søgninger, er ansatte i Pankki S, som har handlet under Pankki S’s ledelse og efter instruks fra banken.

Selv om det ganske vist fremgår af databeskyttelsesforordningens artikel 15, stk. 1, litra c), at den registrerede har ret til fra den dataansvarlige at få oplysninger om de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, kan den dataansvarliges ansatte ikke som anført i nærværende doms præmis 47 og 48 anses for at være »modtagere« som omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra c), når de behandler personoplysninger under den nævnte dataansvarliges ledelse og efter instruks fra vedkommende, således som generaladvokaten har anført i punkt 63 i forslaget til afgørelse.

74	Det skal i denne henseende fremhæves, at i henhold til databeskyttelsesforordningens artikel 29 behandler enhver, der udfører arbejde for den dataansvarlige, og som har adgang til personoplysninger, kun disse oplysninger efter instruks fra den dataansvarlige.

Når dette er sagt, kan de oplysninger, der er indeholdt i logfilerne vedrørende de personer, der har foretaget søgninger i den registreredes personoplysninger, udgøre oplysninger som dem, der er omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), og som dem, der er henvist til i nærværende doms præmis 41, der gør det muligt for den registrerede at kontrollere lovligheden af den behandling, som vedkommendes personoplysninger har været genstand for, og navnlig at sikre sig, at behandlingsaktiviteterne rent faktisk er blevet udført under den dataansvarliges myndighed og efter instruks fra denne.

Ikke desto mindre fremgår det for det første af forelæggelsesafgørelsen, at sådanne oplysninger i logfiler som de i hovedsagen omhandlede gør det muligt at identificere de ansatte, der har udført behandlingsaktiviteterne, og indeholder sådanne personoplysninger om de pågældende ansatte som dem, der er omhandlet i databeskyttelsesforordningens artikel 4, nr. 1).

77	Det skal i denne henseende bemærkes, at hvad angår retten indsigt i henhold til databeskyttelsesforordningens artikel 15 præciseres det i 63. betragtning til denne forordning, at »[d]enne ret [ikke] må […] krænke andres rettigheder eller frihedsrettigheder«.

I henhold til fjerde betragtning til databeskyttelsesforordningen er retten til beskyttelse af personoplysninger nemlig ikke en absolut ret, men skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 172).

Selv om videregivelsen af oplysninger om identiteten af den dataansvarliges ansatte til den person, der er genstand for behandlingen, kan vise sig at være nødvendig for sidstnævnte for at sikre sig, at behandlingen af vedkommendes personoplysninger er lovlig, kan dette imidlertid krænke de ansattes rettigheder og friheder.

I tilfælde af konflikt mellem på den ene side udøvelsen af en ret til indsigt, som sikrer den effektive virkning af de rettigheder, som databeskyttelsesforordningen tillægger den registrerede, og på den anden side andres rettigheder eller frihedsrettigheder, er det under sådanne omstændigheder nødvendigt at foretage en afvejning af de omhandlede rettigheder eller frihedsrettigheder. Hvis det er muligt, skal der vælges fremgangsmåder, som ikke krænker andres rettigheder eller frihedsrettigheder, under hensyntagen til – sådan som det fremgår af 63. betragtning til databeskyttelsesforordningen – at disse vurderinger ikke må »resultere i en afvisning af at give al information til den registrerede« (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 44).

Det skal imidlertid for det andet bemærkes, at det fremgår af forelæggelsesafgørelsen, at J.M. ikke har anmodet om oplysninger om identiteten på de ansatte i Pankki S, der har søgt i hans personoplysninger med den begrundelse, at de rent faktisk ikke handlede under den dataansvarliges ledelse og efter vedkommendes instruks, men at J.M. synes at være i tvivl om rigtigheden af de oplysninger, som Pankki S har videregivet om formålet med de pågældende søgninger.

Såfremt den registrerede under sådanne omstændigheder måtte være af den opfattelse, at de oplysninger, som den dataansvarlige har videregivet, er utilstrækkelige til, at den registrerede kan afkræfte den tvivl, som vedkommende nærer med hensyn til lovligheden af den behandling, som den registreredes personoplysninger har været genstand for, har den registrerede i henhold til denne forordnings artikel 77, stk. 1, ret til at indgive en klage til tilsynsmyndigheden, der i henhold til samme forordnings artikel 58, stk. 1, litra a), har beføjelse til at anmode den dataansvarlige om at fremsende alle oplysninger, som tilsynsmyndigheden har brug for til at behandle den registreredes klage.

Det følger af ovenstående betragtninger, at databeskyttelsesforordningens artikel 15, stk. 1, skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger og vedrørende datoerne for og formålet med disse søgninger udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige. Denne bestemmelse foreskriver derimod ikke en sådan ret for så vidt angår information om identiteten på de af den dataansvarliges ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra denne, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til denne forordning, og forudsat at de ansattes rettigheder og frihedsrettigheder iagttages.

Det tredje spørgsmål

Med det tredje spørgsmål ønsker den forelæggende ret nærmere oplyst, om den omstændighed dels, at den dataansvarlige driver reguleret bankvirksomhed, dels at den person, hvis personoplysninger er blevet behandlet i vedkommendes egenskab af den dataansvarliges kunde, ligeledes har arbejdet for den nævnte dataansvarlige, er relevant for fastlæggelsen af omfanget af den ret til indsigt, som den pågældende person har i henhold til databeskyttelsesforordningens artikel 15, stk. 1.

Det skal indledningsvis fremhæves, at der hvad angår anvendelsesområdet for den ret til indsigt, der er fastsat i databeskyttelsesforordningens artikel 15, stk. 1, ikke er nogen bestemmelse i denne forordning, der sondrer mellem arten af den dataansvarliges virksomhed eller hvem den person, hvis personoplysninger behandles, er.

86	Hvad for det første angår den regulerede karakter af Pankki S virksomhed giver databeskyttelsesforordningens artikel 23 medlemsstaterne mulighed for ved lovgivningsmæssige foranstaltninger at begrænse rækkevidden af de forpligtelser og rettigheder, der bl.a. er foreskrevet i denne forordnings 15.

87	Det fremgår imidlertid ikke af forelæggelsesafgørelsen, at Pankki S’s virksomhed er omfattet af en sådan lovgivning.

Hvad for det andet angår den omstændighed, at J.M. både har været kunde i og ansat hos Pankki S, bemærkes, at henset ikke alene til formålene med databeskyttelsesforordningen, men også til omfanget af den registreredes ret til indsigt, således som anført i nærværende doms præmis 49 og 55-59, kan den sammenhæng, hvori den registrerede anmoder om adgang til den information, der er omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, ikke på nogen måde påvirke omfanget af denne ret.

Følgelig skal databeskyttelsesforordningens artikel 15, stk. 1, fortolkes således, at den omstændighed dels, at den dataansvarlige driver reguleret bankvirksomhed, dels at den person, hvis personoplysninger er blevet behandlet i vedkommendes egenskab af den dataansvarliges kunde, ligeledes har arbejdet for den nævnte dataansvarlige, principielt ikke er relevant for omfanget af den rettighed, som den pågældende person har i henhold til denne bestemmelse.

Sagsomkostninger

Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

Artikel 15 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med denne forordnings artikel 99, stk. 2,

skal fortolkes således, at

bestemmelsen finder anvendelse på en anmodning om indsigt i information som den, der er omhandlet i denne bestemmelse, når de behandlingsaktiviteter, som anmodningen vedrører, blev udført inden anvendelsesdatoen for nævnte forordning, men hvor anmodningen først blev indleveret efter denne dato.

Artikel 15, stk. 1, i forordning 2016/679

skal fortolkes således, at

information vedrørende søgninger i en persons personoplysninger og vedrørende datoerne for og formålet med disse søgninger udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige. Denne bestemmelse foreskriver derimod ikke en sådan ret for så vidt angår information om identiteten på de af den dataansvarliges ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra vedkommende, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til denne forordning, og forudsat at de ansattes rettigheder og frihedsrettigheder iagttages.

Artikel 15, stk. 1, i forordning 2016/679

skal fortolkes således, at

den omstændighed dels, at den dataansvarlige driver reguleret bankvirksomhed, dels at den person, hvis personoplysninger er blevet behandlet i vedkommendes egenskab af den dataansvarliges kunde, ligeledes har arbejdet for den nævnte dataansvarlige, principielt ikke er relevant for omfanget af den rettighed, som den pågældende person har i henhold til denne bestemmelse.

Underskrifter

( *1 ) – Processprog: finsk.