EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CC0579

Kohtujurist Campos Sánchez-Bordona ettepanek, 15.12.2022.
J. M. versus Apulaistietosuojavaltuutettu ja Pankki S.
Eelotsusetaotlus, mille on esitanud Itä-Suomen hallinto-oikeus.
Eelotsusetaotlus – Isikuandmete töötlemine – Määrus (EL) 2016/679 – Artiklid 4 ja 15 – Artiklis 15 ette nähtud andmetega tutvumise õiguse ulatus – Töötlemissüsteemi loodavate logifailide teave (log data) – Artikkel 4 – Mõiste „isikuandmed“ – Mõiste „vastuvõtjad“ – Ajaline kohaldamine.
Kohtuasi C-579/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:1001

 KOHTUJURISTI ETTEPANEK

MANUEL CAMPOS SÁNCHEZ-BORDONA

esitatud 15. detsembril 2022 ( 1 )

Kohtuasi C‑579/21

J. M.

menetluses osales:

Apulaistietosuojavaltuutettu,

Pankki S

(eelotsusetaotlus, mille on esitanud Itä-Suomen hallinto-oikeus (Ida-Soome halduskohus, Soome))

Eelotsusemenetlus – Isikuandmete töötlemine – Määrus (EL) 2016/679 – Andmed toimingute registris – Andmetega tutvumise õigus – Mõiste „isikuandmed“ – Mõiste „vastuvõtja“ – Vastutava töötleja teenistuses olevad töötajad

1.

Üks krediidiasutuse töötaja, kes samal ajal on ka selle krediidiasutuse klient, palus krediidiasutusel teatada talle nende isikute nimed, kes olid asutusesisese uurimise käigus tutvunud tema isikuandmetega. Kuna asutus keeldus talle seda teavet andmast, kasutas ta vastavaid õiguskaitsevahendeid kuni Itä-Suomen hallinto-oikeuseni (Ida-Soome halduskohus, Soome).

2.

See kohus esitas Euroopa Kohtule eelotsusetaotluse määruse (EL) 2016/679 ( 2 ) tõlgendamise kohta. Sellele vastates tuleb Euroopa Kohtul otsustada andmesubjekti õiguse üle tutvuda teatud andmetega, mis on seotud tema isikuandmete töötlemisega.

I. Õiguslik raamistik

A.   Liidu õigus. Isikuandmete kaitse üldmäärus

3.

Põhjenduses 11 on märgitud:

„Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides“.

4.

Artiklis 4 („Mõisted“) on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1)

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2)

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

9)

„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte […]“.

5.

Artikli 15 („Andmesubjekti õigus tutvuda andmetega“) lõikes 1 on märgitud:

„Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

a)

töötlemise eesmärk;

b)

asjaomaste isikuandmete liigid;

c)

vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

kui võimalik, siis kavandatav isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

e)

teave õiguse kohta taotleda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist, kustutamist või töötlemise piiramist või esitada vastuväide sellisele isikuandmete töötlemisele;

f)

teave õiguse kohta esitada kaebus järelevalveasutusele;

g)

kui isikuandmeid ei koguta andmesubjektilt, siis olemasolev teave nende allika kohta;

h)

teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks“.

6.

Artikli 24 („Vastutava töötleja vastutus“) lõikes 1 on sätestatud:

„Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.“

7.

Artikli 25 („Lõimitud andmekaitse ja vaikimisi andmekaitse“) lõikes 2 on sätestatud:

„Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks“.

8.

Artiklis 29 „Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel“ on sätestatud:

„Volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.“

9.

Artiklis 30 („Isikuandmete töötlemise toimingute registreerimine“) on sätestatud:

„1.   Vastutav töötleja ja asjakohasel juhul vastutava töötleja esindaja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. See kanne sisaldab järgmist teavet:

a)

vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)

töötlemise eesmärgid;

c)

andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

d)

vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad ja rahvusvahelised organisatsioonid;

[…]

f)

võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;

g)

võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

2.   Volitatud töötleja või asjakohasel juhul volitatud töötleja esindaja peab kõigi vastutava töötleja nimel tehtavate isikuandmete töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:

a)

volitatud töötleja või töötlejate ja vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)

vastutava töötleja nimel tehtava töötlemise kategooriad;

c)

kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile […];

d)

võimaluse korral artikli 3[0] lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

3.   Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.

4.   Taotluse korral teeb vastutav töötleja ja volitatud töötleja ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja registri kättesaadavaks järelevalveasutusele.

5.   Lõigetes 1 ja 2 osutatud kohustusi ei kohaldata vähem kui 250 töötajaga ettevõtjale või organisatsioonile, välja arvatud juhul, kui tema teostatav töötlemine kujutab endast tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele, töötlemine ei ole juhtumipõhine või töödeldakse […] isikuandmete eriliike või […] süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.“

10.

Artikli 58 („Volitused“) lõikes 1 on sätestatud:

„Järelevalveasutusel on järgmised uurimisvolitused:

a)

anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

[…]“.

B.   Liikmesriigi õigus

1. Andmekaitseseadus (Tietosuojalaki (1050/2018)) ( 3 )

11.

Töötajate isikuandmete töötlemist, töötajate testimist ja kontrollimist ning nõudeid, mida tuleb seejuures täita, samuti töökohal tehnilist järelevalvet ning töötaja e-kirjadele ligipääsu ja nende avamist reguleerib vastavalt selle §-le 30 seadus, mis käsitleb eraelu kaitset töökohal (Laki yksityisyyden suojasta työelämässä) (759/2004) ( 4 ).

12.

Paragrahvi 34 lõike 1 kohaselt ei ole andmesubjektil õigust tutvuda teda käsitlevate andmetega isikuandmete kaitse üldmääruse artikli 15 tähenduses, kui:

1)

andmete kättesaadavaks tegemine võib ohustada riigi julgeolekut, riigikaitset või avalikku korda ja julgeolekut või takistada süütegude tõkestamist või uurimist;

2)

andmete kättesaadavaks tegemine võib tõsiselt ohustada andmesubjekti tervist või ravi või andmesubjekti või kolmanda isiku õigusi või

3)

isikuandmeid on kasutatud järelevalve- ja kontrollitegevuse käigus ning andmete kättesaadavaks tegemisest keeldumine on vajalik Soome või Euroopa Liidu olulise majandusliku või finantshuvi kaitseks.

13.

Vastavalt § 34 lõikele 2 on andmesubjektil juhul, kui ainult osa lõikes 1 osutatud andmetest ei ole kaitstud isikuandmete kaitse üldmääruse artiklis 15 ette nähtud õigusega, õigus tutvuda kõigi ülejäänud teda puudutavate andmetega.

14.

Paragrahvi 34 lõike 3 kohaselt tuleb piirangu põhjendused huvitatud isikule teatavaks teha, kuivõrd see ei sea ohtu piirangu eesmärki.

15.

Paragrahvi 34 lõike 4 kohaselt tuleb juhul, kui andmesubjektil ei ole õigust tema kohta kogutud andmetega tutvuda, andmesubjekti taotlusel teha isikuandmete kaitse üldmääruse artikli 15 lõikes 1 osutatud andmed kättesaadavaks andmekaitseametnikule.

2. Seadus, mis reguleerib eraelu kaitset töökohal (Laki yksityisyyden suojasta työelämässä (759/2004))

16.

Tööandja peab 2. jao § 4 lõike 2 kohaselt töötajale enne teatama, et tema kohta on kogutud andmeid, mis võimaldavad hinnata töötaja usaldusväärsust. Töötaja krediidivõime hindamisel peab tööandja töötajale lisaks teatama, millisest registrist krediiditeave pärineb. Kui töötajat puudutavad andmed on kogutud muult isikult kui töötaja ise, peab tööandja saadud andmed töötajale teatavaks tegema, enne kui ta kasutab neid töötajat puudutavate otsuste tegemiseks. Vastutava töötleja kohustusi teha andmed andmesubjektile kättesaadavaks ja andmesubjekti õigust andmetega tutvuda reguleerib isikuandmete kaitse üldmääruse III peatükk.

II. Faktilised asjaolud, kohtuvaidlus ja eelotsuse küsimused

17.

J. M. sai 2014. aastal teada, et tema kui krediidiasutuse Suur-Savon Osuuspankki (edaspidi „Pankki“) kliendi isikuandmetega on ajavahemikul 2013. aasta 1. novembrist kuni 31. detsembrini tutvutud. Sel ajavahemikul oli J. M. lisaks sellele, et ta oli Pankki klient, ka selle töötaja.

18.

Kuna J. M-il tekkis 29. mail 2018 kahtlus, et andmetega tutvumise põhjused ei olnud täielikult õiguspärased, palus ta Pankkil talle teatada nende töötajate nimed, kes olid tema andmetega eespool nimetatud ajavahemikul tutvunud, ja andmete töötlemise eesmärgid.

19.

Pankki oli vahepeal lõpetanud töölepingu J. M-iga, kes põhjendas oma andmetega tutvumise taotlust eelkõige sooviga selgitada enda töösuhte lõpetamise põhjusi.

20.

Pankki kui vastutav töötleja keeldus 30. augustil 2018 avaldamast J. M-ile nende isikute nimesid, kes olid tema andmeid töödelnud. Isikuandmete kaitse üldmääruse artiklis 15 ette nähtud õigust ei kohaldata igapäevastele registritele või siseprotokollidele, milles on märgitud, millistel töötajatel ja millal on olnud juurdepääs klientide andmeid sisaldavale arvutisüsteemile. Lisaks puudutab taotletud teave nende töötajate, mitte J. M-i isikuandmeid.

21.

Arusaamatuste vältimiseks andis Pankki J. M-ile järgmised lisaselgitused:

asutuse sisetalitused uurisid 2014. aastal J. M-i kliendiandmeid ajavahemikul 1. novembrist kuni 31. detsembrini 2013;

need uuringud olid seotud Pankki ühe teise kliendi andmete töötlemisega, millest tuleneb, et tal oli J. M-iga seos, mis võis tekitada huvide konflikti. Töötlemise eesmärk oli seega seda olukorda selgitada. ( 5 )

22.

J. M. pöördus liikmesriigi järelevalveasutuse poole (andmekaitsevoliniku büroo, Soome) palvega kohustada Pankkit asjaomast teavet esitama.

23.

Andmekaitsevoliniku asetäitja jättis 4. augustil 2020 J. M-i kaebuse rahuldamata.

24.

J. M. esitas Itä-Suomen hallinto-oikeusele (Ida-Soome halduskohus) kaebuse, väites, et tal on isikuandmete kaitse üldmääruse alusel õigus saada teada nende isikute nimi ja ametikoht, kes tutvusid tema andmetega krediidiasutuses.

25.

Neil asjaoludel esitas nimetatud kohus Euroopa Kohtule järgmised küsimused:

„1.

Kas andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõikest 1 tulenevat õigust andmetega tutvuda tuleb koostoimes artikli 4 punktis 1 määratletud mõistega „isikuandmed“ tõlgendada nii, et vastutava töötleja kogutud andmed, millest nähtub, kes, millal ja millisel eesmärgil on andmesubjekti isikuandmeid töödelnud, ei ole andmed, millega andmesubjektil on õigus tutvuda, eelkõige kuna tegemist on vastutava töötleja töötajat puudutavate andmetega?

2.

Kui eelmisele küsimusele vastatakse jaatavalt ja andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõikest 1 tulenev õigus andmetega tutvuda ei laiene eelmises küsimuses nimetatud andmetele, kuna need ei ole andmesubjekti „isikuandmed“ isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses, tuleb käesolevas asjas hinnata veel teavet, millega andmesubjektil on õigus tutvuda nimetatud määruse artikli 15 lõike 1 punktide [a–h] alusel:

a)

kuidas tuleb tõlgendada töötlemise eesmärki artikli 15 lõike 1 punkti a tähenduses, pidades silmas seda, milline ulatus on andmesubjekti õigusel andmetega tutvuda, see tähendab, kas töötlemise eesmärgist saab tuleneda õigus tutvuda kasutajaprotokolli andmetega, mida on kogunud vastutav töötleja ja mis hõlmavad näiteks andmeid töödelnud isikute isikuandmeid, andmete töötlemise aega ja eesmärki;

b)

kas J. M-i kliendiandmeid töödelnud isikuid saab sellega seoses pidada teatud tingimustel isikuandmete vastuvõtjateks isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c tähenduses, kelle andmetega on andmesubjektil õigus tutvuda?

3.

Kas menetluse seisukohast on oluline, et tegemist on pangaga, kelle tegevus on reguleeritud, või et J. M. oli samal ajal nii panga töötaja kui ka klient?

4.

Kas eespool esitatud küsimuste hindamise seisukohast on oluline, et J. M-i isikuandmete töötlemine toimus enne isikuandmete kaitse üldmääruse jõustumist?“

III. Menetlus Euroopa Kohtus

26.

Eelotsusetaotlus registreeriti Euroopa Kohtus 22. septembril 2021.

27.

Kirjalikud seisukohad on esitanud J. M., Pankki, Austria, Tšehhi ja Soome valitsus ning Euroopa Komisjon.

28.

Kohtuistungil, mis toimus 12. oktoobril 2022, osalesid J. M., andmekaitseametniku büroo, Pankki, Soome valitsus ja komisjon.

IV. Õiguslik analüüs

29.

Kuna eelotsusetaotluse esitanud kohus palub tõlgendada isikuandmete kaitse üldmääruse mitut sätet, tuleb kõigepealt kindlaks teha, kas see määrus on põhikohtuasjas ratione temporis kohaldatav. Seda käsitleb neljas eelotsuse küsimus.

A.   Isikuandmete kaitse üldmääruse kohaldatavus (neljas küsimus)

30.

Isikuandmete kaitse üldmääruse artikli 99 lõike 1 kohaselt jõustus see määrus 24. mail 2016. Selle jõustumine lükati siiski edasi 25. maini 2018. ( 6 )

31.

J. M-i isikuandmeid uuriti ajavahemikul 1. novembrist kuni 31. detsembrini 2013, see tähendab enne isikuandmete kaitse üldmääruse jõustumist ja kohaldamist.

32.

Käesoleval juhul on asjakohane kuupäev siiski 29. mai 2018, kui J. M. taotles (alates 25. maist 2018 kehtiva) isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel vaidlusalust teavet.

33.

Nagu Austria valitsus rõhutas, annab isikuandmete kaitse üldmääruse artikli 15 lõige 1 andmesubjektidele menetlusõigusliku õiguse (andmetega tutvumise õigus), et saada teavet nende isikuandmete töötlemise kohta. ( 7 ) Seda kohaldatakse sellise eeskirjana alates selle jõustumisest. ( 8 ) Järelikult võis J. M. Pankkilt teavet küsides sellele tugineda.

34.

Mõistagi tuleb enne isikuandmete kaitse üldmääruse jõustumist kogutud andmete töötlemise seaduslikkust kaaluda sel ajal kehtinud materiaalõigusnormide, nimelt direktiivi 95/46/EÜ ( 9 ) seisukohast ja selles osas, milles isikuandmete kaitse üldmäärus on kohaldatav tagasiulatuvalt, selle määruse seisukohast. ( 10 )

35.

Kuna vaidlust ei ole selles, et taotletud teave oli sel ajal, kui J. M. palus luba sellega tutvuda (mis on isikuandmete kaitse üldmääruse artikli 15 lõikega 1 tagatud õigus), vastutava töötleja valduses, on viimati nimetatud määrus kohaldatav. ( 11 )

36.

Asjaolu, et vaidlusaluseid andmeid töödeldi enne isikuandmete kaitse üldmääruse jõustumist, ei mõjuta järelikult seda, kas andmesubjektil lubatakse või ei lubata tutvuda isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel nõutud teabega.

B.   Esimene ja teine eelotsuse küsimus

37.

Esimest ja teist eelotsuse küsimust võib analüüsida koos. Neis esitatakse sisuliselt küsimus, kas J. M-i isikuandmed, mida Pankki kogus ja töötles, vastavad teabele, mida andmesubjektil on isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel õigus saada.

1. Töötaja nimi ja andmesubjekti isikuandmed

38.

Tuletan meelde, et teave, mida J. M. taotles, puudutas nende töötajate nimesid, kes tutvusid 2013. aasta jooksul tema kui kliendi andmetega, ning töötlemise toimumise aega ja eesmärki.

39.

Kohtuistungil kinnitati, et J. M. soovis teada saada ainult nende töötajate nimesid. Kohtuvaidluses ei ole konkreetselt vaidlustatud seda, et krediidiasutusel oli seaduslik alus tema andmete töötlemiseks. ( 12 )

40.

Ent:

mis puutub andmete töötlemise aega, siis nagu nähtub eelotsusetaotlusest, teadis J. M. seda juba oma taotluse esitamise ajal;

mis puutub töötlemise eesmärki, siis teatas Pankki selle J. M-ile eespool kirjeldatud viisil. ( 13 )

41.

Arutelu puudutab seega ainult teavet nende Pankki töötajate isiku kohta, kes J. M. isikuandmeid töötlesid.

42.

Tegelikult puudutab see teave andmete töötlemise toimingute üksikasju, mitte andmesubjekti isikuandmeid otseses mõttes, isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses. ( 14 )

43.

On selge, et isik, kelle andmetega tutvuti, oli J. M. ( 15 ) Kui ta sai Pankkilt kinnituse, et tema andmeid töödeldi, ( 16 ) on teave, mida tal oli isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel õigus saada, selle sätte punktides a–h loetletud teave. ( 17 ) Selle teabe andmisega soodustatakse andmesubjekti õiguste kasutamist ( 18 ) nende mehhanismide raames, mis tagavad andmetöötluse õiguspärasuse.

44.

Isikuandmete kaitse üldmääruse artikli 15 lõikest 1 tuleneb, et osutatud teave puudutab andmete töötlemise asjaolusid.

45.

Isikuandmete kaitse üldmääruse artikli 15 lõige 1 annab andmesubjektile nimelt õiguse nõuda vastutavalt töötlejalt:

esiteks „kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse“;

teiseks, kui töötlemist on kinnitatud, siis õigust „[…] tutvuda isikuandmete ja järgmise teabega“, ( 19 ) see tähendab selle sätte punktides a–h loetletud andmetega.

46.

See säte eristab ühelt poolt „isikuandmeid“ ja teiselt poolt lõike 1 punktides nimetatud „teavet“.

47.

Teavet, mis tuleb andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktide a–h alusel anda, ei tohi seega segi ajada selle isiku isikuandmetega sama määruse artikli 4 punkti 1 tähenduses.

48.

See ei ole kindlasti mitte andmed, vaid teave järgmiste aspektide kohta:

töötlemise eesmärk (punkt a);

asjaomaste isikuandmete liigid (punkt b);

kavandatav isikuandmete säilitamise ajavahemik (punkt d);

punktides e, f ja g nimetatud andmesubjekti õigused; ( 20 )

automatiseeritud otsuste olemasolu (punkt h).

49.

Kõigil neil juhtudel puudutab teave kas andmesubjekti teatavaid õigusi või eelkõige toimunud töötlemisega seotud andmeid, nagu töötlemise eesmärk (selle põhjus) kui ka ese (töödeldud andmete liigid).

50.

Teave andmesubjekti isikuandmete vastuvõtjate kohta, kellele isikuandmeid on avalikustatud või avalikustatakse (andmekaitsekaitse üldmääruse artikli 15 lõike 1 punkt c), tekitab rohkem kontseptuaalseid probleeme, millele ma kohe viitan.

51.

Isikuandmete kaitse üldmääruse artikli 15 lõikes 1 on sisuliselt ette nähtud õigus saada teavet andmete töötlemise fakti kohta iseenesest ja selle asjaolude kohta. Sellele teabele lisandub teave õiguste kohta, mis on andmesubjektil seoses töödeldavate andmetega, näiteks õiguse kohta pöörduda järelevalveasutuse poole.

52.

Ainuüksi töötlemise ja selle asjaolude esinemine ei kujuta minu arvates endast „isikuandmeid“ isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses.

53.

On tõsi, et andmete töötlemise tulemusel võidakse teha otsuseid, mis mõjutavad andmesubjekti, nagu märkis eelotsusetaotluse esitanud kohus. ( 21 ) Kuid see tulemus ei sõltu sellest, kes on Pankki nimel ja vastutusel andmeid konkreetselt kontrollinud füüsiline isik või füüsilised isikud, mis on põhikohtuasjas vaidlusalune teave.

54.

Seega on J. M-il õigus nõuda, et Pankki kui vastutav töötleja teavitab teda isikuandmetest, mis on Pankki valduses ja mis on saadud kas J. M-ilt (isikuandmete kaitse üldmääruse artikkel 13) või muul viisil (isikuandmete kaitse üldmääruse artikkel 14). Tal on – omakorda isikuandmete kaitse üldmääruse artikli 15 alusel – ka õigus saada teavet iga nende isikuandmete töötlemise ja selle asjaolude kohta, mitte aga seetõttu, et see on iseenesest „isikuandmed“, vaid isikuandmete kaitse üldmääruse artiklis 15 sõnaselgelt antud volituse alusel. ( 22 )

55.

Olgu juba praegu märgitud, jättes pikema selgitamise edaspidiseks, et käesolevas kohtuasjas on oluline, et J. M-i andmetega tutvunud töötajate nimed ei ole tema „isikuandmed“.

56.

Iseasi on, et protokollid või registrid, millele ma viitan hiljem, sisaldavad siiski otseselt või kaudselt andmesubjekti isikuandmeid, välja arvatud nende töötajate nimed, kes nendega andmetega tutvusid. See, kas see on nii või mitte, sõltub suurel määral vastavate protokollide või registrite sisust. Kordan siiski, et kuivõrd põhikohtuasjas piirdub vaidlus üksnes Pankki töötajate isikuga, siis ei ole tegemist mitte J. M-i, vaid nende töötajate endi isikuandmetega.

2. Õigus tutvuda teabega isikuandmete vastuvõtjate kohta

57.

Eelotsusetaotluse esitanud kohus soovib teada, kas isegi siis, kui need ei ole J. M‑i isikuandmed, on tal isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktide a ja c alusel õigus sellele, et Pankki võimaldab tal tutvuda teabega nende töötajate kohta, kes töötlesid tema isikuandmeid.

58.

Punkti a kohaselt on andmesubjektil õigus nõuda, et vastutav töötleja kinnitaks, millised on töötlemise eesmärgid. See punkt (mida on käesoleval juhul järgitud, sest Pankki teatas J. M-ile töötlemise eesmärgi), ei anna aga kriteeriume, mille järgi eristada, kes on tema isikuandmete vastuvõtjad.

59.

See küsimus on seevastu igati loogiline, kui soovitakse teada isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c tõlgendamist. Meenutagem, et selle kohaselt on andmesubjektil õigus saada teada, kes on „vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse […]“.

60.

Isikuandmete kaitse üldmääruse artikli 4 punkti 9 kohaselt on „vastuvõtja“ omakorda „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte“.

61.

Viimane punkt („olenemata sellest, kas tegemist on kolmanda isikuga või mitte“) võib tekitada arusaamatust selle sätte subjektiivses kohaldamisala osas, nagu märgiti kohtuistungil. Pealiskaudne ja minu arvates ekslik tõlgendus võiks anda alust arvata, et „vastuvõtja“ ei ole ainult kolmas isik, kellele Pankki on edastanud J. M-i isikuandmeid, vaid ka kõik töötajad, kes konkreetselt tutvuvad nende andmetega Pankki kui juriidilise isiku nimel ja juhtimisel.

62.

Isikuandmete kaitse üldmääruse artikli 4 punktis 10 on „kolmas isik“ määratletud kui „füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses“. ( 23 )

63.

Neid eeldusi arvestades leian ma aga, et mõiste „vastuvõtja“ ei hõlma sellise juriidilise isiku töötajaid, kes tema arvutisüsteemi kasutades tutvuvad kliendi isikuandmetega oma juriidilise isiku juhtorganite ülesandel. Kui need töötajad tegutsevad vastutava töötleja otseses alluvuses, ei saa nad ainuüksi selle asjaolu tõttu olla andmete „vastuvõtjad“. ( 24 )

64.

Võib siiski olla juhtumeid, kus töötaja ei järgi vastutava töötleja kehtestatud menetlusi ja tutvub omal algatusel klientide või teiste töötajate andmetega ebaseaduslikult. Sellisel juhul ei oleks ebaaus töötaja tegutsenud vastutava töötleja arvel ja nimel.

65.

Selles osas võib ebaausa töötaja kvalifitseerida „vastuvõtjaks“, kellele „avaldatakse“ (piltlikus mõttes), ehkki ta teeb seda ise ja seega õigusvastaselt, andmesubjekti isikuandmed ( 25 ) või sealhulgas ka (iseseisva) vastutav töötleja isikuandmed. ( 26 )

66.

Eelotsusetaotluses esitatud faktiliste asjaolude kirjeldusest ja Pankki kohtuistungil esitatud argumentidest nähtub, et see asutus andis enda vastutusel oma töötajatele loa tutvuda J. M-i isikuandmetega. Need töötajad järgisid seega vastutava töötleja juhiseid ja tegutsesid tema nimel. Seega ei ole neid võimalik kvalifitseerida vastuvõtjateks isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c tähenduses. ( 27 )

67.

Teave nende töötajate isiku ja ajahetke kohta, millal mõni neist tutvus kliendi isikuandmetega (see tähendab nende failide või registrite sisuga, millele ma kohe tähelepanu pööran), tuleb siiski anda nende tegevuse õiguspärasse kontrollimiseks järelevalveasutuste käsutusse.

68.

Seda kinnitab isikuandmete kaitse üldmääruse artikkel 29, viidates isikutele, kes tegutsevad „vastutava töötleja või volitatud töötleja volituse alusel“. Need isikud tohivad neid andmeid töödelda ainult oma tööandja korraldusel, kes on tegelik vastutav (või volitatud) töötleja.

69.

Isikuandmete kaitse üldmääruse artikli 15 lõike 1 eesmärk on soodustada seda, et andmesubjekt kasutab (kaitseb) tõhusalt oma isikuandmetest tulenevaid õigusi. Seega tuleb märkida, kes on vastutav töötleja, ja kes on sel juhul vastuvõtjad, kellele nad on andmeid avaldanud. Selle teabega võib andmesubjekt pöörduda lisaks vastutavale töötlejale ka vastuvõtjate poole, kes on tema andmed teada saanud.

70.

Andmesubjektil võib mõistagi olla kahtlusi selles, kas teatud isikute sekkumine tema andmete töötlemise haldamisse vastutava töötleja või volitatud töötleja nimel ja nende alluvuses on õiguspärane.

71.

Nagu Tšehhi valitsus kohtuistungil välja tõi ja komisjon märkis, võib selles kontekstis pöörduda andmekaitseametniku (isikuandmete kaitse üldmääruse artikli 38 lõige 4) või järelevalveasutuse poole, et esitada kaebus (isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt f ja artikkel 77). Tal ei ole aga õigust saada otse töötaja isikuandmeid (nime), kes toimib vastutava töötleja või volitatud töötleja alluvuses põhimõtteliselt selle töötleja juhiste järgi.

72.

Kohtuistungil arutati, kas võimalus pöörduda andmekaitseametniku või järelevalveasutuse poole on piisav tagatis selle isiku õiguste kaitseks, kelle andmeid on töödeldud.

73.

Vaidluse lahendamisel võib asuda maksimalistlikule seisukohale, et igal andmesubjektil on õigus teada saada tema andmetega tutvunud vastutava töötleja töötajate nimed, isegi kui need töötajad on andmetega tutvunud selle vastutava töötleja ülesandel ja juhtimise all.

74.

Arvan, et isikuandmete kaitse üldmäärus ei toeta seda seisukohta, ilma et see piiraks võimalust, et liikmesriik võib selle kehtestada oma riigisisestes õigusaktides ühe või mitme konkreetse sektori jaoks. ( 28 )

75.

Minu arvates ei oleks mõistlik, et Eurooja Kohus asuks endale peaaegu seadusandja ülesandeid võttes isikuandmete kaitse üldmäärust parandama, et lisada sellesse uus teavitamiskohustus, mis läheks artikli 15 lõikes 1 sätestatud kohustustest kaugemale. Nii oleks see juhul, kui vastutav töötleja oleks vahet tegemata kohustatud teatama andmesubjektile mitte enam seda, kes on andmete vastuvõtja, kellele on andmeid avaldatud, vaid teatama ka iga töötaja või ettevõtjasisese isiku nime, kes on andmetega õiguspäraselt tutvunud. ( 29 )

76.

Nagu Pankki kohtuistungil märkis, on kliendi andmeid töödelnud üksiktöötajate nimed nende turvalisuse seisukohast eriti tundlikud andmed, vähemalt teatavates majandussektorites.

77.

Isikud, kellel võib panga klientidena olla huvi personaliseerida oma kontaktisikut, kes ei oleks enam mitte krediidiasutus ise, vaid pigem keegi või mõni selle töötajatest, võivad püüda nendele töötajatele survet avaldada või neid äriahela nõrgema lülina mõjutada. Nii võib see olla näiteks juhul, kui tehingute jälgimine kliendi andmetega tutvumise teel toimub selleks, et täita pankade kohustusi finantsvaldkonnas süütegude ennetamise ja nende vastu võitlemise alal.

78.

Mõistagi võib klient kahelda selle füüsilise isiku aususes või erapooletuses, kes sekkub tema andmete töötlemisse vastutava töötleja nimel. Kui selline kahtlus oleks mõistlik, võiks see õigustada tema huvi teada saada töötaja isik, et kasutada oma õigust pöörduda tema vastu.

79.

Arvestades selle teabe tundlikkust, on huvi töötaja isik teada saada vastuolus andmete töötlemise haldajate mitte vähem vaieldamatu huviga säilitada oma töötajate isiku konfidentsiaalsus ja viimati nimetatute õigusega oma andmete kaitsele. Tasakaal saavutatakse minu arvates järelevalveasutuse vahendusel nende kahe vastandliku huvi vahekohtunikuna.

80.

Sellisel juhul, nagu on kõne all käesolevas asjas, hindab järelevalveasutus erapooletuna, kas kahtlused panga töötajate tegevuse suhtes on põhjendatud ja järjekindlad, mistõttu järeleandmiste tegemine nende isiku avalikustamata jätmisele oleks õigustatud.

3. Õigus saada teada toimingute failides või registrites märgitud töötajate nimesid

81.

Vastus esimesele ja teisele eelotsuse küsimusele võiks siinkohal olla ammendatud, kuna on tuvastatud, et asutuse töötajad, kes tegutsevad asutuse nimel ja tema juhiste järgi, ei ole tegelikult vastuvõtjad, keda on nimetatud isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktis c.

82.

Vastuse täiendamiseks on siiski kasulik analüüsida andmesubjekti õigust saada teada töötajate nime, kui see on märgitud asutuse toimingute failides või registrites. Isegi kui – nagu ma juba märkisin – kõik need failid või registrid ei ole tingimata sama sisuga, tunnistatakse üldiselt, et nendes on märgitud, kes on (vastutava töötleja töötajatest), kuidas ja millal tutvunud klientide andmetega.

83.

Seda liiki registrid võimaldavad vastutaval töötlejal täita oma kohustust järgida isikuandmete kaitse üldmääruse artikli 5 lõikes 1 sätestatud põhimõtteid ning võtta vajalikke tehnilisi ja korralduslikke meetmeid, et tagada töötlemise kooskõla selle määruse volitustega (isikuandmete kaitse üldmääruse artikli 24 lõige 1 ja artikli 25 lõige 2).

84.

Direktiivi (EL) 2016/680 ( 30 ) spetsiifilises valdkonnas, mille komisjon toob andmekaitse erikorra näiteks ( 31 ) kuritegude valdkonnas:

kohustab selle artikkel 24 iga vastutavat töötlejat pidama registrit kõigi tema vastutusel toimuva isikuandmete töötlemise liikide kohta (lõige 1) ning iga volitatud töötlejat pidama registrit kõigi isikuandmete töötlemise liikide kohta, mida tehakse vastutava töötleja nimel (lõige 2);

on selle artiklis 25 nõutud, et „[…] peetakse logisid vähemalt järgmiste automatiseeritud töötlemissüsteemides tehtavate isikuandmete töötlemise toimingute kohta: kogumine, muutmine, lugemine, avalikustamine (sealhulgas edastamine), ühendamine ja kustutamine. Lugemist ja avalikustamist kajastavad logid peavad võimaldama teha kindlaks nimetatud toimingute tegemise põhjenduse, kuupäeva ja aja ning võimaluse korral ka teabe isikuandmeid lugenud ja avalikustanud isiku kohta ning selliste isikuandmete vastuvõtjate nimed“ ( 32 ).

85.

Direktiivi 2016/680 artikli 14 kohaselt ei kuulu teave konkreetselt isikuandmeid töödelnud töötaja isiku kohta selle teabe hulka, mida andmesubjektil on õigus teada saada.

86.

Samamoodi näeb isikuandmete kaitse üldmääruse artikkel 30 ette „töötlemise toimingute registreerimise“, mille sisu – mis on toimingute määratlemisel vähem konkreetne – langeb kokku direktiivi 2016/680 ( 33 ) artikli 25 sisuga. Nii nagu viimati nimetatu, ei kuulu töötaja isiku kohta registreeritud andmed nende hulka, millega andmesubjektil on isikuandmete kaitse üldmääruse artikli 15 alusel õigus tutvuda.

87.

Selle tasakaalustamatuse põhjus ühelt poolt registreeritud teabe ja teiselt poolt selle teabega tutvumise õiguse vahel on see, et ühelt poolt isikuandmete töötlemise registrit ja teiselt poolt nende sisule juurdepääsu reguleerivatel sätetel on eri eesmärk.

88.

Kordan, et isikuandmete kaitse üldmääruse artiklis 30 nimetatud registritega tagatakse töötlemise õiguspärasus ning andmete terviklikkus ja turvalisus. Selle eest, et see nii oleks, vastutab üldiselt järelevalveasutus, kellele vastutav ja volitatud töötleja peavad kättesaadavaks tegema toimingute registrid (isikuandmete kaitse üldmääruse artikli 30 lõige 4).

89.

Isikuandmete kaitse üldmääruses on õigus kaevata neile järelevalveasutustele (artikli 15 lõike 1 punkt f), kes peavad tagama selle nõuetekohase kohaldamise, ette nähtud selleks, et kaitsta füüsiliste isikute õigusi seoses nende andmete töötlemisega. Seda kinnitab ka isikuandmete kaitse üldmääruse artikli 51 lõige 1 ja see tuleneb neile sama määruse artikliga 57 määratud ülesannete loetelust.

90.

Järelevalveasutuse eesõigusi õigustab see, et nad teevad järelevalvet isikuandmete kaitse üldmääruse kohaldamise üle ja kaitsevad füüsiliste isikute õigusi. Nende eesõiguste hulgas on ka õigus teada, millistel asjaoludel toimus andmete töötlemine volitatud töötleja või vastutava töötleja poolt. Üks neist asjaoludest on just nimelt käesoleval juhul oluline asjaolu: nende isikute nimed, kes tutvuvad klientide isikuandmetega vastutava või volitatud töötleja nimel.

91.

Isikuandmete kaitse üldmääruse üheski sättes ei ole siiski nõutud, et need andmed töötajate isiku kohta, mis on märgitud asutuse siseregistritesse, millega asutused saavad teada (ja vajaduse korral teha järelevalveasutusele teatavaks), kes ja millal on uurinud kliendi isikuandmeid, peavad olema kliendile teadmiseks avatud.

92.

Seevastu isikule, keda konkreetne töötlemine puudutab, tuleb anda asjakohastest asjaoludest teada saamiseks vajalikku teavet selleks, et ta saaks hinnata töötlemise seaduslikkust ja seda vajaduse korral vaidlustada järelevalveasutuses või lõpuks kohtus.

93.

See ei muuda aga eelnevat tõsiasja, et kui neisse toimingute registritesse on tõepoolest kantud andmesubjekti isikuandmed (st muud andmed peale lihtsalt töötajate nime), on tal loogiliselt õigus saada vastutavalt töötlejalt kinnitus selle kohta, et tema isikuandmeid töödeldakse. Sellega seoses ei ole tähtis, kas viimased on talletatud toimingute registris või mis tahes muus asutusesiseses failis või andmebaasis.

C.   Kolmas eelotsuse küsimus

94.

Eelotsusetaotluse esitanud kohus soovib teada, kas menetluse seisukohast „on oluline, et tegemist on pangaga, kelle tegevus on reguleeritud, või et J. M. oli samal ajal nii panga töötaja kui ka klient“.

95.

Minu arvates see seni öeldut ei muuda, sest vastutava andmete töötleja tegevus on reguleeritud. Asjaolu, et see vastutav töötleja on pank, mille tegevust reguleerivad seda liiki asutustele kehtivad erinormid ( 34 ), võib siiski olla oluline selleks, et kindlaks teha, kas andmete töötlemine on õiguspärane (õiguslik alus), kui see toimub talle kehtestatud seaduslike kohustuste täitmiseks. ( 35 )

96.

Põhimõtteliselt ei ole oluline ka see, et isik, kelle andmetega tutvuti, oli samal ajal nii panga töötaja kui ka klient. Isikuandmete kaitse üldmääruse artikli 15 lõikes 1 ei ole ette nähtud erinevusi sõltuvalt andmesubjekti kutsetegevusest lisaks tema krediidiasutuse kliendi staatusele. ( 36 )

97.

On tõsi, nagu märkis komisjon, et isikuandmete kaitse üldmääruse artikliga 23 on liikmesriikidel lubatud seadusandlikult piirata muu hulgas artiklis 15 sätestatud kohustuste ja õiguste ulatust valdkondlike sätetega konkreetse kategooria andmesubjektidele. Eelotsusetaotluse esitanud kohus ei maini siiski ühtegi seda tüüpi riigisisest piirangut.

V. Ettepanek

98.

Eeltoodut arvestades teen Euroopa Kohtule ettepaneku vastata Itä-Suomen hallinto-oikeusele (Ida-Soome halduskohus, Soome) järgmiselt:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 15 lõiget 1 koostoimes sama määruse artikli 4 punktiga 1

tuleb tõlgendada nii, et

see on kohaldatav, kui teabega tutvumise taotlus, mille andmesubjekt on esitanud oma andmete vastutavale töötlejale, on esitatud pärast 25. maid 2018.

See ei anna andmesubjektile õigust saada vastutava töötleja käsutuses oleva teabe hulgast (vajaduse korral registrite või tööfailide abil) teada selle töötaja või nende töötajate nimesid, kes on vastutava töötleja volituse alusel ja tema juhiseid järgides tutvunud andmesubjekti isikuandmetega.


( 1 ) Algkeel: hispaania.

( 2 ) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; parandused ELT 2016, L 314, lk 72 ja ELT 2018, L 127, lk 3; edaspidi „isikuandmete kaitse üldmäärus“).

( 3 ) Selle seaduse § 1 kohaselt rakendatakse ja täiendatakse selle seadusega isikuandmete kaitse üldmäärust.

( 4 ) Töökohal eraelu kaitse seadus.

( 5 ) Pankki soovis selgitada, kas J. M-i ja ühe panga kliendi vahel, kelle konto vastutav haldur J. M. oli, võis olla huvide konflikt. Lõpuks jõuti järeldusele, et J. M-i ei kahtlustatud üheski ebakorrektses teos.

( 6 ) Isikuandmete kaitse üldmääruse artikli 99 lõige 2.

( 7 ) Vt samas tähenduses kohtujurist Pitruzzella ettepanek kohtuasjas Österreichische Post (teave isikuandmete vastuvõtjate kohta) (C‑154/21, EU:C:2022:452, punkt 33): „[…] isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c kohane õigus andmetega tutvuda on muude õiguste suhtes, mis on andmesubjektile selle määrusega ette nähtud, funktsionaalses ja vahendlikus rollis“.

( 8 ) Või – nagu käesoleval juhul – alates sellest ajast, mil hakatakse õigusnormi ennast kohaldama, kui see ei lange kokku jõustumise ajaga.

( 9 ) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355).

( 10 ) Euroopa Kohtu praktika õigusnormide muudatuste tõhususe kohta aja jooksul on kokku võetud 15. juuni 2021. aasta kohtuotsuses Facebook Ireland jt (C‑645/19, EU:C:2021:483).

( 11 ) Direktiivile 95/46 viidates tõdeti 7. mai 2009. aasta kohtuotsuses Rijkeboer (C‑553/07, EU:C.2009:293, punkt 70), et „[d]irektiivi artikli 12 punkti a kohaselt on liikmesriikidel kohustus näha ette õigus tutvuda teabega […] mitte ainult oleviku, vaid ka mineviku osas. Liikmesriikide ülesanne on kehtestada selle teabe säilitamise tähtaeg ja sellele vastav õigus teabega tutvuda, mis väljendab õiglast tasakaalu ühelt poolt andmesubjekti huvi vahel kaitsta oma eraelu puutumatust, kasutades eelkõige direktiivis ette nähtud sekkumisvõimalusi ja õiguskaitsevahendeid, ning teiselt poolt koormuse vahel, mis selle teabe säilitamise kohustuse tõttu vastutava töötleja jaoks kaasneb.“ Kohtujuristi kursiiv.

( 12 ) Ilma et see piiraks seda, et selle aspekti peaks kindlaks tegema eelotsusetaotluse esitanud kohus, nimetati kohtuistungil andmete töötlemise õiguspärasuse alustena esiteks Soome seadustest tulenevaid kohustusi, mille alusel Pankki kui krediidiasutus peab tagama nõuetekohase riskijuhtimise ning rahapesu tõkestamise ja rahapesu vastu võitlemise õigusnormide järgimise seoses tehingute jälgitavusega; teiseks panga lepinguid klientide ja töötajatega, mis annavad sellistel asjaoludel nagu käesolevas asjas loa nende andmetega tutvuda.

( 13 ) Vt käesoleva ettepaneku punkt 21.

( 14 ) Selle sätte kohaselt on isikuandmed „igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta“, st isiku kohta, „keda saab otseselt või kaudselt tuvastada“.

( 15 ) Tema isikusamasust ei täpsustatud töötlemise tagajärjel või tõttu, kuna töötlemine toimus just nimelt enne J. M-i tuvastamist.

( 16 ) Nagu märkis komisjon, võib olla, et J. M. leiab, et antud teave ei ole piisav või on ebatäpne. Igal juhul ja vastavalt isikuandmete kaitse üldmääruse artikli 15 lõikele 1 on J. M-il õigus sellele, et kinnitatakse, et tema andmeid töödeldi või töödeldakse (mis hõlmab teavet selle töötlemise aja kohta) ja teatatakse töötlemise eesmärgid. Eelotsusetaotluse esitanud kohtu ülesanne on kindlaks teha, kas talle anti nende kahe aspekti kohta piisavalt teavet.

( 17 ) Vt käesoleva ettepaneku punktis 9 ära toodud tekst.

( 18 ) Nagu kinnitas Euroopa Kohus direktiivi 95/46 kohta ja väljenduses, mis võiks kehtida isikuandmete kaitse üldmääruse kohta, peavad liidu õiguses selles valdkonnas tagatud kaitsmise põhimõtted „kajastuma ühest küljest töötlemise eest vastutavate isikute suhtes kehtestatud kohustustes, eelkõige seoses andmete kvaliteedi, tehnilise turvalisuse, järelevalveasutustele teatamise ja andmete töötlemise asjaoludega, ning teisest küljest õigustes, mis on antud üksikisikule, kelle andmeid töödeldakse, ja mille kohaselt tuleb talle töötlemisest teatada, võimaldada tal andmetega tutvuda ja nõuda andmete korrigeerimist ning teatavatel asjaoludel isegi esitada vastuväiteid andmete töötlemise suhtes“ (20. detsembri 2017. aasta kohtuotsus Nowak, C‑434/16, EU:C:2017:994, punkt 48).

( 19 ) Kohtujuristi kursiiv.

( 20 ) Õigused nõuda andmete parandamist või kustutamist või andmete töötlemise piiramist või töötlemist vaidlustada; esitada kaebust järelevalveasutusele ja saada teavet nende andmete päritolu kohta, mida ei ole saadud andmesubjektilt.

( 21 ) Eelotsusetaotluse punkt 38.

( 22 ) Isikuandmete kaitse üldmääruse artiklid 13, 14 ja 15, mis on III peatüki („Andmesubjekti õigused“) 2. jaos („Teave ja juurdepääs isikuandmetele“), moodustavad süsteemi, mis põhineb sellel, et tunnustatakse õigust saada teada: a) isikuandmed, mis on vastutava töötleja valduses, olenevalt sellest, mis viisil need on saadud (artiklid 13 ja 14); ja b) konkreetselt nende andmete iga töötlemise asjaolud (artikkel 15).

( 23 ) Kohtujuristi kursiiv.

( 24 ) Samal seisukohal on ka Euroopa Andmekaitsenõukogu oma 2. septembri 2020. aasta suunistes 07/2020 isikuandmete kaitse üldmääruse mõistete „vastutav töötleja“ ja „volitatud töötleja“ kohta, punktid 83–90.

( 25 ) Sellisel juhul tuleb mängu isikuandmete kaitse üldmääruse artikli 34 lõige 1.

( 26 ) Sellisel arvamusel on Euroopa Andmekaitsenõukogu eespool viidatud suunistes 07/2020, punkt 88: „[s]ellesse kategooriasse ei kuulu töötaja vms, kes saab juurdepääsu andmetele, millele tal pole luba juurde pääseda, ja muul otstarbel kui tööandja omal. Seda töötajat tuleks käsitada kolmanda isikuna tööandja tehtava töötlemise suhtes. Kuivõrd töötaja töötleb isikuandmeid enda eesmärkidel, mis erinevad tema tööandja omadest, loetakse ta vastutavaks töötlejaks, mis tähendab tema jaoks kõiki isikuandmete töötlemisega seotud tagajärgi ja vastutust“.

( 27 ) Samale tulemusele jõuab, tõlgendades viiteid isikuandmete kaitse üldmääruse artiklites 13 ja 14 ning põhjenduses 61 ajahetkele, millal tuleb anda andmesubjektidele teavet vastuvõtjatele edastatud isikuandmete töötlemise kohta. Sellest nähtub, et vastuvõtja on väline üksus või isik, kes ei ole vastutav/volitatud töötleja.

( 28 ) Soome valitsus kinnitas kohtuistungil, et ta on teinud nii tervishoiuandmete osas.

( 29 ) Niisuguse kohustuse tunnustamise tagajärjed on ettevõtjate igapäevategevuse jaoks raskesti ettenähtavad, eriti nende jaoks, kes on kohustatud töötlema (loogiliselt oma töötajate kaudu) miljoneid oma klientide isikuandmeid.

( 30 ) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89).

( 31 ) Kohtuistungil täpsustati, et viide direktiivile 2016/680 ei tähenda, et see direktiiv on kohaldatav käesolevas asjas, millel ei ole seoseid karistusõigusega.

( 32 ) Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määruse (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT 2018, L 295, lk 39) artiklis 88 ette nähtud nõuded, millele on lisatud lõikes 2, et logifailid kustutatakse kolme aasta pärast, välja arvatud juhul, kui neid vajatakse pideva seire huvides.

( 33 ) Direktiivi 2016/680 artikli 25 lõikes 1 on sõnaselgelt nimetatud „isikuandmetega tutvunud ja need avalikustanud isiku[t]“. Üldisemalt ja nimetamata konkreetset andmetöötlust, vaid „vastutava töötleja nimel tehtavate isikuandmete töötlemise toimingute kategooriate[id]“, nimetatakse isikuandmete kaitse üldmääruse artikli 30 lõike 2 punktis a „volitatud töötleja […] kontaktandme[i]d“, see tähendab isikuandmete kaitse üldmääruse artikli 4 lõike 8 kohaselt „isik[ut], […] kes töötleb isikuandmeid vastutava töötleja nimel“.

( 34 ) Nagu on märgitud direktiivi 2016/680 põhjenduses 11, võivad need erinormid tähendada näiteks seda, et „finantsasutused säilitavad süütegude uurimiseks või avastamiseks või nende eest vastutusele võtmiseks teatavaid nende poolt töödeldavaid isikuandmeid ning nad teevad need isikuandmed kättesaadavaks ainult pädevatele riigiasutustele erijuhtudel ja kooskõlas liikmesriigi õigusega“.

( 35 ) Vt käesoleva ettepaneku joonealune märkus 12.

( 36 ) Eelotsusetaotluse esitanud kohus ei ole esitanud küsimust J. M-i kui Pankki töötaja õiguste võimaliku rikkumise kohta.

Top