1.

Υπάλληλος χρηματοπιστωτικού ιδρύματος, ο οποίος ήταν συγχρόνως πελάτης του, ζήτησε από το εν λόγω ίδρυμα να του παράσχει πληροφορίες σχετικά με την ταυτότητα των προσώπων που είχαν αναζητήσει πληροφορίες στα δεδομένα του προσωπικού χαρακτήρα στο πλαίσιο εσωτερικής έρευνας. Μετά την άρνηση του χρηματοπιστωτικού ιδρύματος να του παράσχει τις ζητηθείσες πληροφορίες, ο ενδιαφερόμενος άσκησε τα σχετικά ένδικα βοηθήματα και η υπόθεσή του εκκρεμεί πλέον ενώπιον του Itä-Suomen hallinto-oikeus (διοικητικού πρωτοδικείου Ανατολικής Φινλανδίας, Φινλανδία).

2.

Το προμνησθέν δικαστήριο υπέβαλε στο Δικαστήριο αίτηση προδικαστικής αποφάσεως με αντικείμενο την ερμηνεία του κανονισμού (ΕΕ) 2016/679 ( 2 ). Προκειμένου να απαντήσει στα προδικαστικά ερωτήματα, το Δικαστήριο θα πρέπει να αποφανθεί σχετικά με το δικαίωμα του υποκειμένου των δεδομένων να αποκτήσει πρόσβαση σε συγκεκριμένες πληροφορίες οι οποίες σχετίζονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

3.

Η αιτιολογική σκέψη 11 διαλαμβάνει τα εξής:

«Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και των αντίστοιχων εξουσιών παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και των αντίστοιχων κυρώσεων για τις παραβιάσεις στα κράτη μέλη.»

4.

Το άρθρο 4 («Ορισμοί») έχει ως εξής:

«Για τους σκοπούς του παρόντος κανονισμού, νοούνται ως:

5.

Το άρθρο 15 («Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων») ορίζει στην παράγραφό του 1 τα εξής:

«Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

6.

Το άρθρο 24 («Ευθύνη του υπευθύνου επεξεργασίας») προβλέπει στην παράγραφό του 1 τα εξής:

«Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.»

7.

Το άρθρο 25 («Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού») ορίζει στην παράγραφό του 2 τα εξής:

«Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.»

8.

Το άρθρο 29 («Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία») έχει ως εξής:

«Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.»

9.

Το άρθρο 30 («Αρχεία των δραστηριοτήτων επεξεργασίας») ορίζει τα εξής:

«1.   Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:

[…]

2.   Κάθε εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο περιλαμβάνει τα εξής:

3.   Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.

4.   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.

5.   Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων […] ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα […]».

10.

Το άρθρο 58 («Εξουσίες») ορίζει στην παράγραφό του 1 τα εξής:

«Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:

[…]».

11.

Κατά το άρθρο 30, οι διατάξεις σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εργαζομένων, τους ελέγχους που πρέπει να πραγματοποιούνται σε αυτούς, τις απαιτήσεις που πρέπει να τηρούνται συναφώς, καθώς και την τεχνική εποπτεία στον χώρο εργασίας και την αναζήτηση και το άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου εργαζομένου, περιλαμβάνονται στον Laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ).

12.

Δυνάμει του άρθρου 34, παράγραφος 1, το υποκείμενο των δεδομένων δεν έχει δικαίωμα πρόσβασης κατά την έννοια του άρθρου 15 του ΓΚΠΔ στα συλλεγέντα δεδομένα που το αφορούν, εφόσον:

13.

Κατά το άρθρο 34, παράγραφος 2, αν μέρος μόνον των δεδομένων που αναφέρονται στην παράγραφο 1 εξαιρείται από το δικαίωμα που προβλέπεται στο άρθρο 15 του ΓΚΠΔ, το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε οποιοδήποτε άλλο δεδομένο που το αφορά.

14.

Κατά το άρθρο 34, παράγραφος 3, οι λόγοι του περιορισμού πρέπει να γνωστοποιούνται στο υποκείμενο των δεδομένων, εφόσον τούτο δεν θίγει τον σκοπό του περιορισμού.

15.

Κατά το άρθρο 34, παράγραφος 4, τα δεδομένα που αναφέρονται στο άρθρο 15, παράγραφος 1, του ΓΚΠΔ πρέπει, κατόπιν αιτήσεως του υποκειμένου των δεδομένων, να τίθενται στη διάθεση του επόπτη προστασίας δεδομένων, εφόσον το υποκείμενο των δεδομένων δεν έχει δικαίωμα πρόσβασης στα συλλεγέντα δεδομένα που το αφορούν.

16.

Κατά το άρθρο 4, δεύτερο εδάφιο, του δευτέρου κεφαλαίου, ο εργοδότης υποχρεούται να ενημερώνει εκ των προτέρων τον εργαζόμενο για τη συλλογή δεδομένων που αποσκοπούν στη διερεύνηση της αξιοπιστίας του. Όταν ο εργοδότης εξετάζει τη φερεγγυότητα του εργαζομένου, πρέπει επιπροσθέτως να τον ενημερώνει από ποιο μητρώο αντλήθηκαν οι σχετικές πληροφορίες. Όταν δεδομένα που αφορούν τον εργαζόμενο δεν έχουν συλλεγεί από τον ίδιο, αλλά από άλλο πρόσωπο, ο εργοδότης οφείλει να γνωστοποιήσει στον εργαζόμενο τα δεδομένα που έλαβε πριν τα χρησιμοποιήσει σε αποφάσεις που τον αφορούν. Οι υποχρεώσεις του υπεύθυνου επεξεργασίας για τη διάθεση δεδομένων στο υποκείμενο των δεδομένων, καθώς και το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα αυτά, ρυθμίζονται στο κεφάλαιο ΙΙΙ του ΓΚΠΔ.

17.

Το 2014 ο J. M. πληροφορήθηκε ότι είχαν αναζητηθεί πληροφορίες στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν, ως πελάτη του χρηματοπιστωτικού ιδρύματος Suur-Savon Osuuspankki (στο εξής: Pankki), στο διάστημα από την 1η Νοεμβρίου έως την 31η Δεκεμβρίου 2013. Στο διάστημα αυτό, εκτός από πελάτης, ο J. M. ήταν υπάλληλος της Pankki.

18.

Στις 29 Μαΐου 2018, έχοντας υπόνοιες ότι οι λόγοι αναζήτησης πληροφοριών δεν ήταν καθ’ όλα σύννομοι, ο J. M. ζήτησε από την Pankki να του παράσχει πληροφορίες σχετικά με την ταυτότητα των υπαλλήλων που είχαν αποκτήσει πρόσβαση στα δεδομένα που τον αφορούν κατά το προμνησθέν διάστημα και σχετικά με τους σκοπούς της επεξεργασίας.

19.

Εν τω μεταξύ, η Pankki είχε απολύσει τον J. M., ο οποίος αιτιολόγησε το αίτημά του προβάλλοντας, ειδικότερα, την επιθυμία να αποσαφηνίσει τους λόγους της απόλυσής του.

20.

Στις 30 Αυγούστου 2018 η Pankki, υπό την ιδιότητα του υπευθύνου επεξεργασίας, αρνήθηκε να παράσχει στον J. M. πληροφορίες σχετικά με τα ονόματα των υπαλλήλων που είχαν επεξεργασθεί τα δεδομένα του προσωπικού χαρακτήρα. Η Pankki υποστήριξε ότι το προβλεπόμενο στο άρθρο 15 του ΓΚΠΔ δικαίωμα δεν εφαρμόζεται στα αρχεία καταγραφής ενεργειών ή στα εσωτερικά αρχεία στα οποία καταγράφονται τα στοιχεία των υπαλλήλων που απέκτησαν πρόσβαση στο σύστημα πληροφορικής που περιέχει τα δεδομένα των πελατών και ο χρόνος της εν λόγω πρόσβασης. Επιπλέον, οι ζητηθείσες πληροφορίες αφορούσαν δεδομένα προσωπικού χαρακτήρα των εν λόγω υπαλλήλων και όχι του J. M.

21.

Προς αποφυγή παρανοήσεων, η Pankki παρέσχε στον J. M. τις ακόλουθες πρόσθετες επεξηγήσεις:

22.

Ο J. M. απευθύνθηκε στην εθνική εποπτική αρχή (γραφείο του επόπτη προστασίας δεδομένων, Φινλανδία) ζητώντας να δώσει εντολή στην Pankki να παράσχει τις σχετικές πληροφορίες.

23.

Στις 4 Αυγούστου 2020 ο αναπληρωτής επόπτης προστασίας δεδομένων απέρριψε την καταγγελία του J. M.

24.

Ο J. M. άσκησε προσφυγή ενώπιον του Itä-Suomen hallinto-oikeus (διοικητικού πρωτοδικείου Ανατολικής Φινλανδίας), υποστηρίζοντας ότι, βάσει του ΓΚΠΔ, έχει δικαίωμα πρόσβασης στις πληροφορίες που αφορούν την ταυτότητα και τα καθήκοντα των προσώπων που αναζήτησαν πληροφορίες στα δεδομένα του στο χρηματοπιστωτικό ίδρυμα.

25.

Υπό τις συνθήκες αυτές, το αιτούν δικαστήριο υπέβαλε στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

26.

Η αίτηση προδικαστικής αποφάσεως πρωτοκολλήθηκε στη Γραμματεία του Δικαστηρίου στις 22 Σεπτεμβρίου 2021.

27.

Γραπτές παρατηρήσεις υπέβαλαν ο J. M., η Pankki, η Αυστριακή, η Τσεχική και η Φινλανδική Κυβέρνηση καθώς και η Ευρωπαϊκή Επιτροπή.

28.

Στην επ’ ακροατηρίου συζήτηση που διεξήχθη στις 12 Οκτωβρίου 2022 παρέστησαν ο J. M., το γραφείο του επόπτη προστασίας δεδομένων, η Pankki, η Φινλανδική Κυβέρνηση και η Επιτροπή.

29.

Στο μέτρο που το αιτούν δικαστήριο ζητεί να ερμηνευθούν πλείονες διατάξεις του ΓΚΠΔ, πρέπει να αποσαφηνισθεί κατ’ αρχάς αν ο συγκεκριμένος κανονισμός έχει, ratione temporis, εφαρμογή στη διαφορά της κύριας δίκης. Αυτή είναι η αμφιβολία που διατυπώνεται με το τέταρτο προδικαστικό ερώτημα.

30.

Δυνάμει του άρθρου του 99, παράγραφος 1, ο ΓΚΠΔ άρχισε να ισχύει από τις 24 Μαΐου 2016. Εντούτοις, η εφαρμογή του αναβλήθηκε για τις 25 Μαΐου 2018 ( 6 ).

31.

Η εξέταση των δεδομένων προσωπικού χαρακτήρα του J. M. πραγματοποιήθηκε στο διάστημα από την 1η Νοεμβρίου έως την 31η Δεκεμβρίου 2013, ήτοι πριν από την έναρξη ισχύος και την εφαρμογή του ΓΚΠΔ.

32.

Εντούτοις, κρίσιμη ημερομηνία είναι η 29η Μαΐου 2018 κατά την οποία ο J. M., επικαλούμενος το άρθρο 15, παράγραφος 1, του ΓΚΠΔ (που εφαρμοζόταν από τις 25 Μαΐου 2018), ζήτησε τις επίμαχες πληροφορίες.

33.

Όπως επισήμανε η Αυστριακή Κυβέρνηση, το άρθρο 15, παράγραφος 1, του ΓΚΠΔ αναγνωρίζει στα υποκείμενα των δεδομένων δικαίωμα διαδικαστικού χαρακτήρα (δικαίωμα πρόσβασης) για τη λήψη πληροφοριών σχετικά με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα ( 7 ). Λόγω της φύσεως της, η συγκεκριμένη διάταξη έχει εφαρμογή από την έναρξη της ισχύος της ( 8 ). Επομένως, ο J. M. μπορούσε να την επικαλεσθεί όταν ζήτησε τις πληροφορίες από την Pankki.

34.

Είναι αληθές ότι ο σύννομος χαρακτήρας της επεξεργασίας των δεδομένων που συλλέχθηκαν πριν από την έναρξη ισχύος του ΓΚΠΔ θα πρέπει να εξετασθεί υπό το πρίσμα του ουσιαστικού δικαίου που ίσχυε τότε, ήτοι της οδηγίας 95/46/ΕΚ ( 9 ), και, καθόσον έχει αναδρομική εφαρμογή, του ΓΚΠΔ ( 10 ).

35.

Δεδομένου ότι δεν αμφισβητείται ότι οι ζητηθείσες πληροφορίες βρίσκονταν στην κατοχή του υπευθύνου επεξεργασίας όταν ο J. M. ζήτησε πρόσβαση σε αυτές (δικαίωμα το οποίο κατοχυρώνεται στο άρθρο 15, παράγραφος 1, του ΓΚΠΔ), εφαρμογή είχε ο προμνησθείς κανονισμός ( 11 ).

36.

Κατά συνέπεια, το γεγονός ότι τα επίμαχα δεδομένα υποβλήθηκαν σε επεξεργασία πριν από την έναρξη ισχύος του ΓΚΠΔ είναι άνευ σημασίας για την ικανοποίηση ή μη του αιτήματος παροχής πληροφοριών του υποκειμένου των δεδομένων βάσει του άρθρου 15, παράγραφος 1, του ΓΚΠΔ.

37.

Το πρώτο και το δεύτερο προδικαστικό ερώτημα μπορούν να εξετασθούν από κοινού. Το ζήτημα που εγείρεται με αυτά είναι κατ’ ουσίαν αν τα δεδομένα προσωπικού χαρακτήρα του J. M., τα οποία συνέλεξε και επεξεργάσθηκε η Pankki, συμπίπτουν με τις πληροφορίες που το υποκείμενο των δεδομένων δικαιούται να λάβει δυνάμει του άρθρου 15, παράγραφος 1, του ΓΚΠΔ.

38.

Υπενθυμίζω ότι οι πληροφορίες που ζήτησε ο J. M. αφορούσαν την ταυτότητα των υπαλλήλων που είχαν αναζητήσει πληροφορίες στα δεδομένα του ως πελάτη το 2013, καθώς και τον χρόνο διενέργειας και τον σκοπό της επεξεργασίας.

39.

Κατά την επ’ ακροατηρίου συζήτηση επιβεβαιώθηκε ότι ο J. M. περιόρισε το αίτημά του στην παροχή πληροφοριών σχετικά με την ταυτότητα των εν λόγω υπαλλήλων. Συγκεκριμένα, στο πλαίσιο της διαφοράς δεν αμφισβητείται ότι η επεξεργασία των δεδομένων του J. M. από το τραπεζικό ίδρυμα είχε νόμιμη βάση ( 12 ).

40.

Επομένως:

41.

Συνεπώς, το ζήτημα επικεντρώνεται αποκλειστικά και μόνον στις πληροφορίες σχετικά με την ταυτότητα των υπαλλήλων της Pankki που επεξεργάσθηκαν τα δεδομένα προσωπικού χαρακτήρα του J. M.

42.

Στην πραγματικότητα, οι συγκεκριμένες πληροφορίες αφορούν μια λεπτομέρεια των πράξεων επεξεργασίας και όχι τα καθαυτό δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων, κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ ( 14 ).

43.

Είναι σαφές ότι το πρόσωπο στα δεδομένα του οποίου αναζητήθηκαν πληροφορίες ήταν ο J. M. ( 15 ). Εφόσον ο J. M. έλαβε επιβεβαίωση από την Pankki σχετικά με την υποβολή των δεδομένων του σε επεξεργασία ( 16 ), οι πληροφορίες τις οποίες εδικαιούτο να λάβει, κατά το άρθρο 15, παράγραφος 1, του ΓΚΠΔ, είναι οι παρατιθέμενες στα στοιχεία αʹ έως ηʹ της εν λόγω διάταξης ( 17 ). Με την παροχή των πληροφοριών, διευκολύνεται η άσκηση των δικαιωμάτων που διαθέτει το υποκείμενο των δεδομένων ( 18 ), στο πλαίσιο των μηχανισμών που διασφαλίζουν τον σύννομο χαρακτήρα της επεξεργασίας δεδομένων.

44.

Από το άρθρο 15, παράγραφος 1, του ΓΚΠΔ συνάγεται ότι οι πληροφορίες που μνημονεύονται σε αυτό αφορούν τις περιστάσεις της επεξεργασίας των δεδομένων.

45.

Συγκεκριμένα, το άρθρο 15, παράγραφος 1, του ΓΚΠΔ αναγνωρίζει στο υποκείμενο των δεδομένων το δικαίωμα να λάβει από τον υπεύθυνο επεξεργασίας:

46.

Στη διάταξη γίνεται διάκριση μεταξύ, αφενός, των «δεδομένων προσωπικού χαρακτήρα» και, αφετέρου, των «πληροφοριών» που παρατίθενται στα στοιχεία αʹ έως ηʹ της παραγράφου 1.

47.

Επομένως, οι πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων δυνάμει του άρθρου 15, παράγραφος 1, στοιχεία αʹ έως ηʹ, του ΓΚΠΔ δεν πρέπει να συγχέονται με τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, κατά την έννοια του άρθρου 4, σημείο 1, του ίδιου κανονισμού.

48.

Συνεπώς, δεν αποτελούν δεδομένα, αλλά πληροφορίες τα στοιχεία που αφορούν:

49.

Σε όλες τις προεκτεθείσες περιπτώσεις οι πληροφορίες αφορούν είτε συγκεκριμένα δικαιώματα του υποκειμένου των δεδομένων είτε, ειδικότερα, στοιχεία σχετικά με την πραγματοποιηθείσα επεξεργασία, όπως ο σκοπός της (ο οποίος είναι και η αιτία της) και το αντικείμενό της (οι κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία).

50.

Οι πληροφορίες σχετικά με τους αποδέκτες στους οποίους κοινοποιήθηκαν ή θα κοινοποιηθούν τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων (άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ) συνεπάγονται περισσότερες εννοιολογικές δυσχέρειες, τις οποίες θα εξετάσω στη συνέχεια.

51.

Εν ολίγοις, το άρθρο 15, παράγραφος 1, του ΓΚΠΔ θεσπίζει δικαίωμα πρόσβασης στις πληροφορίες σχετικά με την καθαυτό πράξη της επεξεργασίας και σχετικά με τις περιστάσεις της. Στις εν λόγω πληροφορίες προστίθενται οι σχετικές με τα δικαιώματα που διαθέτει το υποκείμενο των δεδομένων σε σχέση με τα δεδομένα που υποβάλλονται σε επεξεργασία, όπως το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή.

52.

Κατά τη γνώμη μου, η ύπαρξη και μόνον της επεξεργασίας και οι περιστάσεις της δεν συνιστούν «δεδομένα προσωπικού χαρακτήρα» κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ.

53.

Είναι αληθές ότι από την επεξεργασία μπορεί να προκύψουν αποφάσεις που επηρεάζουν το υποκείμενο των δεδομένων, όπως επισήμανε το αιτούν δικαστήριο ( 21 ). Εντούτοις, το αποτέλεσμα αυτό δεν εξαρτάται από την ταυτότητα του συγκεκριμένου φυσικού προσώπου ή των συγκεκριμένων φυσικών προσώπων που εξέτασαν τα δεδομένα για λογαριασμό και υπό την ευθύνη της Pankki, η οποία είναι η επίμαχη πληροφορία στην υπόθεση της κύριας δίκης.

54.

Επομένως, ο J. M. θα εδικαιούτο να ζητήσει από την Pankki, ως υπεύθυνη επεξεργασίας, να του παράσχει πληροφορίες σχετικά με τα δεδομένα προσωπικού χαρακτήρα που έχει στην κατοχή της, είτε συλλέχθηκαν από τον ίδιο τον J. M. (άρθρο 13 του ΓΚΠΔ) είτε συλλέχθηκαν με άλλους τρόπους (άρθρο 14 του ΓΚΠΔ). Ο J. M. θα εδικαιούτο –δυνάμει πλέον του άρθρου 15 του ΓΚΠΔ– να λάβει πληροφορίες σχετικά με την ύπαρξη και τις περιστάσεις κάθε επεξεργασίας στην οποία υποβλήθηκαν τα εν λόγω δεδομένα, πλην όμως όχι επειδή τούτο συνιστά καθαυτό «δεδομένο προσωπικού χαρακτήρα», αλλά λόγω ρητής επιταγής του άρθρου 15 του ΓΚΠΔ ( 22 ).

55.

Όπως θα εκθέσω αναλυτικότερα στη συνέχεια, στην υπό κρίση υπόθεση σημασία έχει ότι η ταυτότητα των υπαλλήλων που αναζήτησαν πληροφορίες στα δεδομένα του J. M. δεν συνιστά «δεδομένο προσωπικού χαρακτήρα» που αφορά τον ίδιο.

56.

Είναι διαφορετικό το ζήτημα του αν στα αρχεία ή στις καταχωρίσεις, στα οποία θα επανέλθω κατωτέρω, περιλαμβάνονται, άμεσα ή έμμεσα, δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων, πέραν της μνείας της ταυτότητας των συγκεκριμένων υπαλλήλων που απέκτησαν πρόσβαση σε αυτά. Το αν συντρέχει τέτοια περίπτωση θα εξαρτηθεί σε μεγάλο βαθμό από το περιεχόμενο των αντίστοιχων αρχείων ή καταχωρίσεων. Επαναλαμβάνω, όμως, ότι, καθόσον το αντικείμενο της κύριας δίκης περιορίζεται στην παροχή πληροφοριών σχετικά με την ταυτότητα των υπαλλήλων της Pankki, το στοιχείο αυτό δεν περιλαμβάνεται στα δεδομένα προσωπικού χαρακτήρα του J. M., αλλά σε εκείνα των εν λόγω υπαλλήλων.

57.

Το αιτούν δικαστήριο ζητεί να διευκρινισθεί αν, ακόμη και αν δεν συνιστούν δεδομένα προσωπικού χαρακτήρα που τον αφορούν, ο J. M. θα εδικαιούτο, υπό το πρίσμα του άρθρου 15, παράγραφος 1, στοιχεία αʹ και γʹ, του ΓΚΠΔ, να ζητήσει από την Pankki να του παράσχει πληροφορίες σχετικά με τους υπαλλήλους που είχαν επεξεργασθεί τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν.

58.

Κατά το στοιχείο αʹ της προμνησθείσας διάταξης, το υποκείμενο των δεδομένων δικαιούται να λάβει επιβεβαίωση από τον υπεύθυνο επεξεργασίας σχετικά με τους σκοπούς της επεξεργασίας. Εντούτοις, η συγκεκριμένη διάταξη (την οποία η Pankki τήρησε στην υπό κρίση υπόθεση, καθότι ενημέρωσε τον J. M. σχετικά με τον σκοπό της επεξεργασίας) δεν παρέχει κριτήρια προκειμένου να προσδιορισθούν οι αποδέκτες των δεδομένων προσωπικού χαρακτήρα του J. M.

59.

Αντιθέτως, το προδικαστικό ερώτημα αποκτά νόημα καθόσον ζητεί την ερμηνεία του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ. Υπενθυμίζω ότι, κατά τη συγκεκριμένη διάταξη, το υποκείμενο των δεδομένων δικαιούται να λάβει πληροφορίες σχετικά με «τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα […]».

60.

Εξάλλου, κατά το άρθρο 4, σημείο 9, του ΓΚΠΔ, ως «αποδέκτης» νοείται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι».

61.

Όπως επισημάνθηκε κατά την επ’ ακροατηρίου συζήτηση, η τελευταία ως άνω φράση («είτε πρόκειται για τρίτον είτε όχι») θα μπορούσε να δημιουργεί αμφιβολίες όσον αφορά το υποκειμενικό πεδίο εφαρμογής της διάταξης. Μια επιφανειακή και, κατά τη γνώμη μου, εσφαλμένη ερμηνεία της διάταξης θα μπορούσε να οδηγήσει στην άποψη ότι «αποδέκτης» δεν θα είναι μόνον οποιοσδήποτε τρίτος στον οποίο η Pankki έχει κοινοποιήσει τα δεδομένα προσωπικού χαρακτήρα του J. M., αλλά και καθένας από τους υπαλλήλους που αναζήτησαν, συγκεκριμένα, πληροφορίες στα εν λόγω δεδομένα εξ ονόματος και για λογαριασμό του νομικού προσώπου που είναι η Pankki.

62.

Κατά το άρθρο 4, σημείο 10, του ΓΚΠΔ, ως «τρίτος» νοείται «οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα» ( 23 ).

63.

Υπό το πρίσμα των ως άνω παραδοχών, εκτιμώ, όμως, ότι η έννοια του αποδέκτη δεν περιλαμβάνει τους υπαλλήλους νομικού προσώπου οι οποίοι, κάνοντας χρήση του συστήματος πληροφορικής του νομικού προσώπου, αναζητούν πληροφορίες στα δεδομένα προσωπικού χαρακτήρα πελάτη, κατ’ εντολή των διευθυντικών οργάνων του νομικού προσώπου. Όταν οι εν λόγω υπάλληλοι ενεργούν υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας δεν αποκτούν, εκ του λόγου αυτού και μόνον, την ιδιότητα «αποδεκτών» των δεδομένων ( 24 ).

64.

Εντούτοις, ενδέχεται ένας υπάλληλος να παραβεί τις διαδικασίες που έχει θεσπίσει ο υπεύθυνος επεξεργασίας και, με δική του πρωτοβουλία, να αποκτήσει πρόσβαση, με μη σύννομο τρόπο, στα δεδομένα πελατών ή άλλων υπαλλήλων. Εν τοιαύτη περιπτώσει, ο υπάλληλος που παρέβη τις διαδικασίες δεν θα έχει ενεργήσει για λογαριασμό και εξ ονόματος του υπευθύνου επεξεργασίας.

65.

Στο μέτρο αυτό, ο υπάλληλος που παρέβη τις διαδικασίες θα μπορούσε να χαρακτηρισθεί «αποδέκτης» στον οποίο «κοινοποιήθηκαν» (μεταφορικώς), μολονότι με δική του πρωτοβουλία και, συνεπώς, παρανόμως, δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων ( 25 ), ή ακόμη (αυτόνομος) υπεύθυνος επεξεργασίας ( 26 ).

66.

Από την έκθεση των πραγματικών περιστατικών στη διάταξη περί παραπομπής και τα επιχειρήματα που προέβαλε η Pankki κατά την επ’ ακροατηρίου συζήτηση προκύπτει ότι η εν λόγω οντότητα εξουσιοδότησε τους υπαλλήλους τους να αναζητήσουν πληροφορίες, υπό την ευθύνη της, στα δεδομένα προσωπικού χαρακτήρα του J. M. Επομένως, οι συγκεκριμένοι υπάλληλοι ακολούθησαν τις εντολές και ενήργησαν για λογαριασμό του υπευθύνου επεξεργασίας. Ως εκ τούτου, δεν μπορούν να χαρακτηρισθούν αποδέκτες κατά την έννοια του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ ( 27 ).

67.

Διαφορετικό είναι το ζήτημα ότι ο προσδιορισμός των υπαλλήλων και του χρόνου κατά τον οποίο οιοσδήποτε εξ αυτών απέκτησε πρόσβαση στα δεδομένα προσωπικού χαρακτήρα του πελάτη (ήτοι το περιεχόμενο των όσων μνημονεύονται στα αρχεία ή τις καταχωρίσεις που θα εξετάσω στη συνέχεια) πρέπει να τίθεται στη διάθεση των εποπτικών αρχών προκειμένου να ελέγχεται η νομιμότητα των ενεργειών τους.

68.

Τούτο επιβεβαιώνεται από το άρθρο 29 του ΓΚΠΔ το οποίο κάνει λόγο για το πρόσωπο που ενεργεί «υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα». Το εν λόγω πρόσωπο θα μπορεί να επεξεργασθεί τα δεδομένα μόνον κατ’ εντολή του εργοδότη του, ο οποίος είναι ο πραγματικός υπεύθυνος επεξεργασίας (ή εκτελών την επεξεργασία).

69.

Σκοπός του άρθρου 15, παράγραφος 1, του ΓΚΠΔ είναι να διευκολύνει την αποτελεσματική άσκηση (προάσπιση), από το υποκείμενο των δεδομένων, των δικαιωμάτων που διαθέτει σε σχέση με τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Προς τούτο, πρέπει να ενημερώνεται για τον υπεύθυνο επεξεργασίας και, ενδεχομένως, τους αποδέκτες στους οποίους κοινοποιούνται τα εν λόγω δεδομένα. Με τις πληροφορίες αυτές, το υποκείμενο των δεδομένων θα μπορεί να απευθυνθεί, επιπλέον του υπευθύνου επεξεργασίας, στους αποδέκτες που έλαβαν γνώση των δεδομένων που το αφορούν.

70.

Είναι αληθές ότι το υποκείμενο των δεδομένων μπορεί να διατηρεί αμφιβολίες σχετικά με τη νομιμότητα της παρέμβασης συγκεκριμένων προσώπων στη διαχείριση της επεξεργασίας των δεδομένων που το αφορούν για λογαριασμό του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και υπό την εποπτεία αυτών.

71.

Σε τέτοια περίπτωση, όπως υπογράμμισε η Τσεχική Κυβέρνηση και επισήμανε η Επιτροπή κατά την επ’ ακροατηρίου συζήτηση, το υποκείμενο των δεδομένων μπορεί να απευθυνθεί στον υπεύθυνο προστασίας δεδομένων (άρθρο 38, παράγραφος 4, του ΓΚΠΔ) ή στην εποπτική αρχή προκειμένου να υποβάλει καταγγελία [άρθρο 15, παράγραφος 1, στοιχείο στʹ, και άρθρο 77 του ΓΚΠΔ]. Το υποκείμενο των δεδομένων δεν έχει, όμως, δικαίωμα να λάβει άμεσα συγκεκριμένο δεδομένο προσωπικού χαρακτήρα (την ταυτότητα) του υπαλλήλου, ο οποίος ως υφιστάμενος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ενεργεί κατ’ αρχήν βάσει των εντολών του.

72.

Κατά την επ’ ακροατηρίου συζήτηση αντηλλάγησαν απόψεις σχετικά με το αν η δυνατότητα του υποκειμένου των δεδομένων να απευθυνθεί στον υπεύθυνο προστασίας δεδομένων ή στην εποπτική αρχή συνιστά επαρκή εγγύηση, από την άποψη της προάσπισης των δικαιωμάτων του προσώπου του οποίου τα δικαιώματα υποβάλλονται σε επεξεργασία.

73.

Προς επίλυση της διαφωνίας, μπορεί να υιοθετηθεί μαξιμαλιστική άποψη, ώστε κάθε υποκείμενο των δεδομένων να έχει δικαίωμα να γνωρίζει την ταυτότητα των υπαλλήλων του υπευθύνου επεξεργασίας που απέκτησαν πρόσβαση στα δεδομένα που το αφορούν, ακόμη και τούτο συνέβη κατ’ εντολήν και υπό την καθοδήγηση του εν λόγω υπευθύνου επεξεργασίας.

74.

Φρονώ ότι ο ΓΚΠΔ δεν παρέχει έρεισμα προς στήριξη της άποψης αυτής, μολονότι τα κράτη μέλη μπορούν να την υιοθετήσουν στην εσωτερική νομοθεσία τους, σε έναν ή πλείονες ειδικούς τομείς ( 28 ).

75.

Κατά τη γνώμη μου, δεν θα ήταν συνετό, ασκώντας οιονεί νομοθετικά καθήκοντα, το Δικαστήριο να τροποποιήσει τον ΓΚΠΔ προκειμένου να εισαγάγει νέα υποχρέωση παροχής πληροφοριών επιπλέον εκείνων που προβλέπονται στο άρθρο του 15, παράγραφος 1. Τούτο θα συνέβαινε εάν ο υπεύθυνος επεξεργασίας είχε, αδιακρίτως, υποχρέωση να παράσχει στο υποκείμενο των δεδομένων την ταυτότητα όχι πλέον του αποδέκτη στον οποίο κοινοποιήθηκαν τα δεδομένα, αλλά κάθε υπαλλήλου, ή προσώπου από τον εσωτερικό κύκλο της επιχείρησης, που απέκτησε νομίμως πρόσβαση στα εν λόγω δεδομένα ( 29 ).

76.

Όπως επισήμανε η Pankki κατά την επ’ ακροατηρίου συζήτηση, η ταυτότητα των μεμονωμένων υπαλλήλων που διαχειρίσθηκαν την επεξεργασία δεδομένων πελάτη συνιστά ιδιαιτέρως ευαίσθητη πληροφορία από την άποψη της ασφάλειάς τους, τουλάχιστον σε ορισμένους οικονομικούς τομείς.

77.

Οι συγκεκριμένοι υπάλληλοι θα μπορούσαν να εκτεθούν σε απόπειρες άσκησης πιέσεων και επιρροής εκ μέρους προσώπων, όπως οι πελάτες του τραπεζικού ιδρύματος, που μπορεί να έχουν συμφέρον να εξατομικεύσουν τον συνομιλητή τους, ο οποίος δεν θα είναι πλέον το ίδιο το χρηματοπιστωτικό ίδρυμα, αλλά κάποιος ή κάποιοι από τους εργαζομένους του, ως πιο αδύναμοι κρίκοι της επιχειρηματικής αλυσίδας. Τούτο θα μπορούσε να συμβεί, για παράδειγμα, όταν η παρακολούθηση των συναλλαγών, μέσω της αναζήτησης πληροφοριών στα δεδομένα του πελάτη, πραγματοποιείται με σκοπό την εκπλήρωση των υποχρεώσεων που οι τράπεζες υπέχουν σε σχέση με την πρόληψη και την καταπολέμηση του χρηματοοικονομικού εγκλήματος.

78.

Είναι αληθές ότι ο πελάτης μπορεί να διατηρεί αμφιβολίες όσον αφορά την ακεραιότητα ή την αμεροληψία του φυσικού προσώπου που παρενέβη, για λογαριασμό του υπευθύνου επεξεργασίας, στην επεξεργασία των δεδομένων που τον αφορούν. Η αμφιβολία αυτή, εάν είναι εύλογη, θα μπορούσε να δικαιολογεί το συμφέρον του να γνωρίζει την ταυτότητα του υπαλλήλου, προκειμένου να ασκήσει το δικαίωμά του να απευθυνθεί σε αυτό.

79.

Λαμβανομένου υπόψη του ευαίσθητου χαρακτήρα της προμνησθείσας πληροφορίας, το συμφέρον του υποκειμένου των δεδομένων να γνωρίζει την ταυτότητα του υπαλλήλου έρχεται σε σύγκρουση με το εξίσου αδιαμφισβήτητο συμφέρον των διαχειριστών της επεξεργασίας να διατηρήσουν εχεμύθεια όσον αφορά την ταυτότητα των υπαλλήλων τους και με το δικαίωμα των εν λόγω υπαλλήλων στην προστασία των δεδομένων που τα αφορούν. Κατά τη γνώμη μου, η εξισορρόπηση επιτυγχάνεται με τη διαμεσολάβηση της εποπτικής αρχής, η οποία θα σταθμίσει τα δύο αυτά αντικρουόμενα συμφέροντα.

80.

Επομένως, σε περίπτωση όπως η επίμαχη στην υπό κρίση υπόθεση, η εποπτική αρχή θα πρέπει, από θέση αμερόληπτου κριτή, να εκτιμήσει αν οι αμφιβολίες σχετικά με τις ενέργειες των υπαλλήλων της τραπεζικής οντότητας είναι βάσιμες και συνεκτικές ώστε να δικαιολογείται η αποκάλυψη της ταυτότητάς τους.

81.

Η απάντηση στο πρώτο και στο δεύτερο προδικαστικό ερώτημα θα μπορούσε να περιορισθεί στα προεκτεθέντα, καθόσον διαπιστώθηκε ότι οι υπάλληλοι της οντότητας οι οποίοι ενεργούν για λογαριασμό και κατ’ εντολήν της δεν είναι, καθ’ εαυτούς, οι αποδέκτες που μνημονεύονται στο άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ.

82.

Εντούτοις, είναι σκόπιμο η απάντηση να συμπληρωθεί με την ανάλυση του ενδεχόμενου δικαιώματος του υποκειμένου των δεδομένων να γνωρίζει την ταυτότητα των υπαλλήλων, όταν μνημονεύεται στα αρχεία ή στις καταχωρίσεις πράξεων μιας οντότητας. Μολονότι, όπως προεκτέθηκε, δεν θα έχουν κατ’ ανάγκην όλα τα αρχεία ή οι καταχωρίσεις ταυτόσημο περιεχόμενο, γίνεται γενικά δεκτό ότι παρέχουν στοιχεία σχετικά με το ποιος (από τους υπαλλήλους του υπευθύνου επεξεργασίας), το πώς και το πότε αναζήτησε πληροφορίες στα δεδομένα των πελατών.

83.

Το συγκεκριμένο είδος καταχωρίσεων παρέχει στον υπεύθυνο επεξεργασίας τη δυνατότητα να εκπληρώσει την υποχρέωσή του τήρησης των αρχών που προβλέπονται στο άρθρο 5, παράγραφος 1, του ΓΚΠΔ και να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τις απαιτήσεις του εν λόγω κανονισμού (άρθρο 24, παράγραφος 1, και άρθρο 25, παράγραφος 2, του ΓΚΠΔ).

84.

Στο ειδικό πεδίο της οδηγίας (ΕΕ) 2016/680 ( 30 ), την οποία η Επιτροπή μνημόνευσε ως παράδειγμα ( 31 ) ιδιαίτερου καθεστώτος προστασίας δεδομένων στο πλαίσιο των ποινικών αδικημάτων:

85.

Κατά το άρθρο 14 της οδηγίας 2016/680, όμως, οι πληροφορίες οι οποίες αφορούν, ειδικότερα, την ταυτότητα του υπαλλήλου που επεξεργάσθηκε τα δεδομένα προσωπικού χαρακτήρα δεν περιλαμβάνονται σε εκείνες στις οποίες έχει δικαίωμα πρόσβασης το ενδιαφερόμενο πρόσωπο.

86.

Στο ίδιο πνεύμα, το άρθρο 30 του ΓΚΠΔ επιβάλλει την τήρηση του επονομαζόμενου «αρχείου των δραστηριοτήτων επεξεργασίας», το περιεχόμενο του οποίου συμπίπτει –με μικρότερο βαθμό ακρίβειας όσον αφορά τον ορισμό των πράξεων– με εκείνο του άρθρου 25 της οδηγίας 2016/680 ( 33 ). Επίσης, όπως και στην περίπτωση της οδηγίας 2016/680, οι καταχωρισμένες πληροφορίες σχετικά με την ταυτότητα του υπαλλήλου επίσης δεν απαριθμούνται μεταξύ εκείνων στις οποίες το υποκείμενο των δεδομένων μπορεί να έχει πρόσβαση δυνάμει του άρθρου 15 του ΓΚΠΔ.

87.

Ο λόγος της προεκτεθείσας αναντιστοιχίας μεταξύ, αφενός, των καταχωρισμένων πληροφοριών και, αφετέρου, του δικαιώματος πρόσβασης σε αυτές έγκειται στους διαφορετικούς σκοπούς που εξυπηρετούν οι διατάξεις οι οποίες ρυθμίζουν τα αρχεία των δραστηριοτήτων επεξεργασίας και τη δυνατότητα πρόσβασης στο περιεχόμενό τους, αντιστοίχως.

88.

Επαναλαμβάνω ότι σκοπός των αρχείων που μνημονεύονται στο άρθρο 30 του ΓΚΠΔ είναι να διασφαλίζονται η νομιμότητα της επεξεργασίας καθώς και η ακεραιότητα και η ασφάλεια των δεδομένων. Τη σχετική ευθύνη φέρει, γενικά, η εποπτική αρχή, στη διάθεση της οποίας θέτουν τα αρχεία πράξεων ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία (άρθρο 30, παράγραφος 4, του ΓΚΠΔ).

89.

Στον ΓΚΠΔ, το δικαίωμα υποβολής καταγγελίας στις εποπτικές αρχές (άρθρο 15, παράγραφος 1, στοιχείο στʹ), οι οποίες είναι αρμόδιες να μεριμνούν για τη δέουσα εφαρμογή του, κατατείνει στην προστασία των δικαιωμάτων των φυσικών προσώπων όσον αφορά την επεξεργασία των δεδομένων που τα αφορούν. Τούτο προβλέπεται στο άρθρο 51, παράγραφος 1, του ΓΚΠΔ και προκύπτει από την απαρίθμηση των καθηκόντων που ανατίθενται στις εποπτικές αρχές στο άρθρο 57 του εν λόγω κανονισμού.

90.

Το γενικό καθήκον παρακολούθησης της εφαρμογής του ΓΚΠΔ και προστασίας των δικαιωμάτων των φυσικών προσώπων δικαιολογεί τα προνόμια της εποπτικής αρχής. Σε αυτά περιλαμβάνεται η γνώση των περιστάσεων υπό τις οποίες διενεργήθηκε η επεξεργασία δεδομένων από τον εκτελούντα την επεξεργασία ή τον υπεύθυνο της επεξεργασίας. Εν προκειμένω, σημασία έχει ακριβώς μία από τις περιστάσεις αυτές: η ταυτότητα των προσώπων που αναζητούν πληροφορίες στα δεδομένα προσωπικού χαρακτήρα των πελατών εξ ονόματος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

91.

Εντούτοις, καμία διάταξη του ΓΚΠΔ δεν επιβάλλει να γνωστοποιούνται στον πελάτη οι εν λόγω αναφορές στην ταυτότητα των υπαλλήλων οι οποίες περιέχονται στα εσωτερικά αρχεία των οντοτήτων, χάρη στα οποία οι οντότητες μπορούν να γνωρίζουν (και, ενδεχομένως, να θέτουν στη διάθεση της εποπτικής αρχής) τα στοιχεία του προσώπου που εξέτασε τα δεδομένα προσωπικού χαρακτήρα πελάτη και τον χρόνο διενέργειας της εν λόγω εξέτασης.

92.

Αντιθέτως, στο ενδιαφερόμενο πρόσωπο, σε σχέση με συγκεκριμένη επεξεργασία, θα πρέπει να παρέχονται οι πληροφορίες που είναι αναγκαίες ώστε να γνωρίζει τις σχετικές περιστάσεις, προκειμένου να μπορεί να εκτιμήσει τον σύννομο χαρακτήρα της επεξεργασίας και να τον αμφισβητήσει, ενδεχομένως, ενώπιον της εποπτικής αρχής και, τελικώς, ενώπιον της δικαστικής αρχής.

93.

Τα ανωτέρω δεν ανατρέπονται από το γεγονός ότι, εάν στις εν λόγω καταχωρίσεις πράξεων περιέχονται όντως δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων (ήτοι δεδομένα πέραν της ταυτότητας και μόνον των υπαλλήλων), το υποκείμενο των δεδομένων θα διαθέτει, ευλόγως, δικαίωμα να λάβει από τον υπεύθυνο επεξεργασίας επιβεβαίωση ότι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υποβάλλονται σε επεξεργασία. Προς τούτο, είναι άνευ σημασίας αν τα εν λόγω δεδομένα περιέχονται σε καταχώριση πράξεων ή σε οποιοδήποτε άλλο αρχείο ή εσωτερική βάση δεδομένων της οντότητας.

94.

Το αιτούν δικαστήριο ζητεί να διευκρινισθεί αν «έχει σημασία στο πλαίσιο της διαφοράς το αν πρόκειται για τράπεζα, η οποία ασκεί νομοθετικά ρυθμιζόμενη δραστηριότητα, ή το γεγονός ότι ο J. M. ήταν ταυτόχρονα υπάλληλος και πελάτης της».

95.

Κατά τη γνώμη μου, τα προεκτεθέντα δεν αναιρούνται από το γεγονός ότι ο υπεύθυνος επεξεργασίας των δεδομένων ασκεί νομοθετικά ρυθμιζόμενη δραστηριότητα. Εντούτοις, το γεγονός ότι ο υπεύθυνος επεξεργασίας είναι τράπεζα υποκείμενη στην ειδική ρύθμιση για το συγκεκριμένο είδος οντοτήτων ( 34 ) μπορεί να ασκεί επιρροή κατά την εξακρίβωση της νομιμότητας (της νομικής βάσης) της επεξεργασίας, όταν αυτή είναι απόρροια της εκπλήρωσης των νόμιμων υποχρεώσεων τις οποίες υπέχει η τράπεζα ( 35 ).

96.

Κατ’ αρχήν, στερείται επίσης σημασίας το γεγονός ότι το πρόσωπο στα δεδομένα του οποίου έγινε αναζήτηση πληροφοριών υπήρξε εργαζόμενος και, συγχρόνως, πελάτης της εν λόγω τράπεζας. Το άρθρο 15, παράγραφος 1, του ΓΚΠΔ δεν εισάγει διαφοροποιήσεις ανάλογα με την επαγγελματική δραστηριότητα του υποκειμένου των δεδομένων, επιπλέον της ιδιότητάς του ως πελάτη του χρηματοπιστωτικού ιδρύματος ( 36 ).

97.

Είναι αληθές, όπως υπογράμμισε η Επιτροπή, ότι το άρθρο 23 του ΓΚΠΔ επιτρέπει στα κράτη μέλη να περιορίζουν νομοθετικά το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται, μεταξύ άλλων, στο άρθρο του 15, μέσω τομεακών διατάξεων για συγκεκριμένη κατηγορία ενδιαφερόμενων προσώπων. Εντούτοις, το αιτούν δικαστήριο δεν μνημονεύει οποιονδήποτε εθνικό περιορισμό του είδους αυτού.

98.

Λαμβανομένων υπόψη των προεκτεθέντων, προτείνω στο Δικαστήριο να απαντήσει στα προδικαστικά ερωτήματα που υπέβαλε το Itä-Suomen hallinto-oikeus (διοικητικό πρωτοδικείο Ανατολικής Φινλανδίας, Φινλανδία) ως εξής:

«Το άρθρο 15, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), σε συνδυασμό με το άρθρο 4, σημείο 1, του ίδιου κανονισμού,

έχει την έννοια ότι:

έχει εφαρμογή όταν το αίτημα πρόσβασης στις πληροφορίες, το οποίο απηύθυνε το υποκείμενο των δεδομένων στον υπεύθυνο επεξεργασίας των δεδομένων που το αφορούν, υποβλήθηκε μετά τις 25 Μαΐου 2018·

δεν αναγνωρίζει στο υποκείμενο των δεδομένων το δικαίωμα να γνωρίζει, μεταξύ των πληροφοριών που διαθέτει ο υπεύθυνος επεξεργασίας (ενδεχομένως, μέσω αρχείων ή καταχωρίσεων πράξεων), την ταυτότητα του υπαλλήλου ή των υπαλλήλων που, υπό την εποπτεία και κατ’ εντολήν του υπευθύνου επεξεργασίας, αναζήτησαν πληροφορίες στα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων.»