1.

Üks krediidiasutuse töötaja, kes samal ajal on ka selle krediidiasutuse klient, palus krediidiasutusel teatada talle nende isikute nimed, kes olid asutusesisese uurimise käigus tutvunud tema isikuandmetega. Kuna asutus keeldus talle seda teavet andmast, kasutas ta vastavaid õiguskaitsevahendeid kuni Itä-Suomen hallinto-oikeuseni (Ida-Soome halduskohus, Soome).

2.

See kohus esitas Euroopa Kohtule eelotsusetaotluse määruse (EL) 2016/679 ( 2 ) tõlgendamise kohta. Sellele vastates tuleb Euroopa Kohtul otsustada andmesubjekti õiguse üle tutvuda teatud andmetega, mis on seotud tema isikuandmete töötlemisega.

3.

Põhjenduses 11 on märgitud:

„Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides“.

4.

Artiklis 4 („Mõisted“) on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

5.

Artikli 15 („Andmesubjekti õigus tutvuda andmetega“) lõikes 1 on märgitud:

„Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

6.

Artikli 24 („Vastutava töötleja vastutus“) lõikes 1 on sätestatud:

„Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.“

7.

Artikli 25 („Lõimitud andmekaitse ja vaikimisi andmekaitse“) lõikes 2 on sätestatud:

„Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks“.

8.

Artiklis 29 „Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel“ on sätestatud:

„Volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.“

9.

Artiklis 30 („Isikuandmete töötlemise toimingute registreerimine“) on sätestatud:

„1.   Vastutav töötleja ja asjakohasel juhul vastutava töötleja esindaja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. See kanne sisaldab järgmist teavet:

[…]

2.   Volitatud töötleja või asjakohasel juhul volitatud töötleja esindaja peab kõigi vastutava töötleja nimel tehtavate isikuandmete töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:

3.   Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.

4.   Taotluse korral teeb vastutav töötleja ja volitatud töötleja ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja registri kättesaadavaks järelevalveasutusele.

5.   Lõigetes 1 ja 2 osutatud kohustusi ei kohaldata vähem kui 250 töötajaga ettevõtjale või organisatsioonile, välja arvatud juhul, kui tema teostatav töötlemine kujutab endast tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele, töötlemine ei ole juhtumipõhine või töödeldakse […] isikuandmete eriliike või […] süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.“

10.

Artikli 58 („Volitused“) lõikes 1 on sätestatud:

„Järelevalveasutusel on järgmised uurimisvolitused:

[…]“.

11.

Töötajate isikuandmete töötlemist, töötajate testimist ja kontrollimist ning nõudeid, mida tuleb seejuures täita, samuti töökohal tehnilist järelevalvet ning töötaja e-kirjadele ligipääsu ja nende avamist reguleerib vastavalt selle §-le 30 seadus, mis käsitleb eraelu kaitset töökohal (Laki yksityisyyden suojasta työelämässä) (759/2004) ( 4 ).

12.

Paragrahvi 34 lõike 1 kohaselt ei ole andmesubjektil õigust tutvuda teda käsitlevate andmetega isikuandmete kaitse üldmääruse artikli 15 tähenduses, kui:

13.

Vastavalt § 34 lõikele 2 on andmesubjektil juhul, kui ainult osa lõikes 1 osutatud andmetest ei ole kaitstud isikuandmete kaitse üldmääruse artiklis 15 ette nähtud õigusega, õigus tutvuda kõigi ülejäänud teda puudutavate andmetega.

14.

Paragrahvi 34 lõike 3 kohaselt tuleb piirangu põhjendused huvitatud isikule teatavaks teha, kuivõrd see ei sea ohtu piirangu eesmärki.

15.

Paragrahvi 34 lõike 4 kohaselt tuleb juhul, kui andmesubjektil ei ole õigust tema kohta kogutud andmetega tutvuda, andmesubjekti taotlusel teha isikuandmete kaitse üldmääruse artikli 15 lõikes 1 osutatud andmed kättesaadavaks andmekaitseametnikule.

16.

Tööandja peab 2. jao § 4 lõike 2 kohaselt töötajale enne teatama, et tema kohta on kogutud andmeid, mis võimaldavad hinnata töötaja usaldusväärsust. Töötaja krediidivõime hindamisel peab tööandja töötajale lisaks teatama, millisest registrist krediiditeave pärineb. Kui töötajat puudutavad andmed on kogutud muult isikult kui töötaja ise, peab tööandja saadud andmed töötajale teatavaks tegema, enne kui ta kasutab neid töötajat puudutavate otsuste tegemiseks. Vastutava töötleja kohustusi teha andmed andmesubjektile kättesaadavaks ja andmesubjekti õigust andmetega tutvuda reguleerib isikuandmete kaitse üldmääruse III peatükk.

17.

J. M. sai 2014. aastal teada, et tema kui krediidiasutuse Suur-Savon Osuuspankki (edaspidi „Pankki“) kliendi isikuandmetega on ajavahemikul 2013. aasta 1. novembrist kuni 31. detsembrini tutvutud. Sel ajavahemikul oli J. M. lisaks sellele, et ta oli Pankki klient, ka selle töötaja.

18.

Kuna J. M-il tekkis 29. mail 2018 kahtlus, et andmetega tutvumise põhjused ei olnud täielikult õiguspärased, palus ta Pankkil talle teatada nende töötajate nimed, kes olid tema andmetega eespool nimetatud ajavahemikul tutvunud, ja andmete töötlemise eesmärgid.

19.

Pankki oli vahepeal lõpetanud töölepingu J. M-iga, kes põhjendas oma andmetega tutvumise taotlust eelkõige sooviga selgitada enda töösuhte lõpetamise põhjusi.

20.

Pankki kui vastutav töötleja keeldus 30. augustil 2018 avaldamast J. M-ile nende isikute nimesid, kes olid tema andmeid töödelnud. Isikuandmete kaitse üldmääruse artiklis 15 ette nähtud õigust ei kohaldata igapäevastele registritele või siseprotokollidele, milles on märgitud, millistel töötajatel ja millal on olnud juurdepääs klientide andmeid sisaldavale arvutisüsteemile. Lisaks puudutab taotletud teave nende töötajate, mitte J. M-i isikuandmeid.

21.

Arusaamatuste vältimiseks andis Pankki J. M-ile järgmised lisaselgitused:

22.

J. M. pöördus liikmesriigi järelevalveasutuse poole (andmekaitsevoliniku büroo, Soome) palvega kohustada Pankkit asjaomast teavet esitama.

23.

Andmekaitsevoliniku asetäitja jättis 4. augustil 2020 J. M-i kaebuse rahuldamata.

24.

J. M. esitas Itä-Suomen hallinto-oikeusele (Ida-Soome halduskohus) kaebuse, väites, et tal on isikuandmete kaitse üldmääruse alusel õigus saada teada nende isikute nimi ja ametikoht, kes tutvusid tema andmetega krediidiasutuses.

25.

Neil asjaoludel esitas nimetatud kohus Euroopa Kohtule järgmised küsimused:

26.

Eelotsusetaotlus registreeriti Euroopa Kohtus 22. septembril 2021.

27.

Kirjalikud seisukohad on esitanud J. M., Pankki, Austria, Tšehhi ja Soome valitsus ning Euroopa Komisjon.

28.

Kohtuistungil, mis toimus 12. oktoobril 2022, osalesid J. M., andmekaitseametniku büroo, Pankki, Soome valitsus ja komisjon.

29.

Kuna eelotsusetaotluse esitanud kohus palub tõlgendada isikuandmete kaitse üldmääruse mitut sätet, tuleb kõigepealt kindlaks teha, kas see määrus on põhikohtuasjas ratione temporis kohaldatav. Seda käsitleb neljas eelotsuse küsimus.

30.

Isikuandmete kaitse üldmääruse artikli 99 lõike 1 kohaselt jõustus see määrus 24. mail 2016. Selle jõustumine lükati siiski edasi 25. maini 2018. ( 6 )

31.

J. M-i isikuandmeid uuriti ajavahemikul 1. novembrist kuni 31. detsembrini 2013, see tähendab enne isikuandmete kaitse üldmääruse jõustumist ja kohaldamist.

32.

Käesoleval juhul on asjakohane kuupäev siiski 29. mai 2018, kui J. M. taotles (alates 25. maist 2018 kehtiva) isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel vaidlusalust teavet.

33.

Nagu Austria valitsus rõhutas, annab isikuandmete kaitse üldmääruse artikli 15 lõige 1 andmesubjektidele menetlusõigusliku õiguse (andmetega tutvumise õigus), et saada teavet nende isikuandmete töötlemise kohta. ( 7 ) Seda kohaldatakse sellise eeskirjana alates selle jõustumisest. ( 8 ) Järelikult võis J. M. Pankkilt teavet küsides sellele tugineda.

34.

Mõistagi tuleb enne isikuandmete kaitse üldmääruse jõustumist kogutud andmete töötlemise seaduslikkust kaaluda sel ajal kehtinud materiaalõigusnormide, nimelt direktiivi 95/46/EÜ ( 9 ) seisukohast ja selles osas, milles isikuandmete kaitse üldmäärus on kohaldatav tagasiulatuvalt, selle määruse seisukohast. ( 10 )

35.

Kuna vaidlust ei ole selles, et taotletud teave oli sel ajal, kui J. M. palus luba sellega tutvuda (mis on isikuandmete kaitse üldmääruse artikli 15 lõikega 1 tagatud õigus), vastutava töötleja valduses, on viimati nimetatud määrus kohaldatav. ( 11 )

36.

Asjaolu, et vaidlusaluseid andmeid töödeldi enne isikuandmete kaitse üldmääruse jõustumist, ei mõjuta järelikult seda, kas andmesubjektil lubatakse või ei lubata tutvuda isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel nõutud teabega.

37.

Esimest ja teist eelotsuse küsimust võib analüüsida koos. Neis esitatakse sisuliselt küsimus, kas J. M-i isikuandmed, mida Pankki kogus ja töötles, vastavad teabele, mida andmesubjektil on isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel õigus saada.

38.

Tuletan meelde, et teave, mida J. M. taotles, puudutas nende töötajate nimesid, kes tutvusid 2013. aasta jooksul tema kui kliendi andmetega, ning töötlemise toimumise aega ja eesmärki.

39.

Kohtuistungil kinnitati, et J. M. soovis teada saada ainult nende töötajate nimesid. Kohtuvaidluses ei ole konkreetselt vaidlustatud seda, et krediidiasutusel oli seaduslik alus tema andmete töötlemiseks. ( 12 )

40.

Ent:

41.

Arutelu puudutab seega ainult teavet nende Pankki töötajate isiku kohta, kes J. M. isikuandmeid töötlesid.

42.

Tegelikult puudutab see teave andmete töötlemise toimingute üksikasju, mitte andmesubjekti isikuandmeid otseses mõttes, isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses. ( 14 )

43.

On selge, et isik, kelle andmetega tutvuti, oli J. M. ( 15 ) Kui ta sai Pankkilt kinnituse, et tema andmeid töödeldi, ( 16 ) on teave, mida tal oli isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel õigus saada, selle sätte punktides a–h loetletud teave. ( 17 ) Selle teabe andmisega soodustatakse andmesubjekti õiguste kasutamist ( 18 ) nende mehhanismide raames, mis tagavad andmetöötluse õiguspärasuse.

44.

Isikuandmete kaitse üldmääruse artikli 15 lõikest 1 tuleneb, et osutatud teave puudutab andmete töötlemise asjaolusid.

45.

Isikuandmete kaitse üldmääruse artikli 15 lõige 1 annab andmesubjektile nimelt õiguse nõuda vastutavalt töötlejalt:

46.

See säte eristab ühelt poolt „isikuandmeid“ ja teiselt poolt lõike 1 punktides nimetatud „teavet“.

47.

Teavet, mis tuleb andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktide a–h alusel anda, ei tohi seega segi ajada selle isiku isikuandmetega sama määruse artikli 4 punkti 1 tähenduses.

48.

See ei ole kindlasti mitte andmed, vaid teave järgmiste aspektide kohta:

49.

Kõigil neil juhtudel puudutab teave kas andmesubjekti teatavaid õigusi või eelkõige toimunud töötlemisega seotud andmeid, nagu töötlemise eesmärk (selle põhjus) kui ka ese (töödeldud andmete liigid).

50.

Teave andmesubjekti isikuandmete vastuvõtjate kohta, kellele isikuandmeid on avalikustatud või avalikustatakse (andmekaitsekaitse üldmääruse artikli 15 lõike 1 punkt c), tekitab rohkem kontseptuaalseid probleeme, millele ma kohe viitan.

51.

Isikuandmete kaitse üldmääruse artikli 15 lõikes 1 on sisuliselt ette nähtud õigus saada teavet andmete töötlemise fakti kohta iseenesest ja selle asjaolude kohta. Sellele teabele lisandub teave õiguste kohta, mis on andmesubjektil seoses töödeldavate andmetega, näiteks õiguse kohta pöörduda järelevalveasutuse poole.

52.

Ainuüksi töötlemise ja selle asjaolude esinemine ei kujuta minu arvates endast „isikuandmeid“ isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses.

53.

On tõsi, et andmete töötlemise tulemusel võidakse teha otsuseid, mis mõjutavad andmesubjekti, nagu märkis eelotsusetaotluse esitanud kohus. ( 21 ) Kuid see tulemus ei sõltu sellest, kes on Pankki nimel ja vastutusel andmeid konkreetselt kontrollinud füüsiline isik või füüsilised isikud, mis on põhikohtuasjas vaidlusalune teave.

54.

Seega on J. M-il õigus nõuda, et Pankki kui vastutav töötleja teavitab teda isikuandmetest, mis on Pankki valduses ja mis on saadud kas J. M-ilt (isikuandmete kaitse üldmääruse artikkel 13) või muul viisil (isikuandmete kaitse üldmääruse artikkel 14). Tal on – omakorda isikuandmete kaitse üldmääruse artikli 15 alusel – ka õigus saada teavet iga nende isikuandmete töötlemise ja selle asjaolude kohta, mitte aga seetõttu, et see on iseenesest „isikuandmed“, vaid isikuandmete kaitse üldmääruse artiklis 15 sõnaselgelt antud volituse alusel. ( 22 )

55.

Olgu juba praegu märgitud, jättes pikema selgitamise edaspidiseks, et käesolevas kohtuasjas on oluline, et J. M-i andmetega tutvunud töötajate nimed ei ole tema „isikuandmed“.

56.

Iseasi on, et protokollid või registrid, millele ma viitan hiljem, sisaldavad siiski otseselt või kaudselt andmesubjekti isikuandmeid, välja arvatud nende töötajate nimed, kes nendega andmetega tutvusid. See, kas see on nii või mitte, sõltub suurel määral vastavate protokollide või registrite sisust. Kordan siiski, et kuivõrd põhikohtuasjas piirdub vaidlus üksnes Pankki töötajate isikuga, siis ei ole tegemist mitte J. M-i, vaid nende töötajate endi isikuandmetega.

57.

Eelotsusetaotluse esitanud kohus soovib teada, kas isegi siis, kui need ei ole J. M‑i isikuandmed, on tal isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktide a ja c alusel õigus sellele, et Pankki võimaldab tal tutvuda teabega nende töötajate kohta, kes töötlesid tema isikuandmeid.

58.

Punkti a kohaselt on andmesubjektil õigus nõuda, et vastutav töötleja kinnitaks, millised on töötlemise eesmärgid. See punkt (mida on käesoleval juhul järgitud, sest Pankki teatas J. M-ile töötlemise eesmärgi), ei anna aga kriteeriume, mille järgi eristada, kes on tema isikuandmete vastuvõtjad.

59.

See küsimus on seevastu igati loogiline, kui soovitakse teada isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c tõlgendamist. Meenutagem, et selle kohaselt on andmesubjektil õigus saada teada, kes on „vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse […]“.

60.

Isikuandmete kaitse üldmääruse artikli 4 punkti 9 kohaselt on „vastuvõtja“ omakorda „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte“.

61.

Viimane punkt („olenemata sellest, kas tegemist on kolmanda isikuga või mitte“) võib tekitada arusaamatust selle sätte subjektiivses kohaldamisala osas, nagu märgiti kohtuistungil. Pealiskaudne ja minu arvates ekslik tõlgendus võiks anda alust arvata, et „vastuvõtja“ ei ole ainult kolmas isik, kellele Pankki on edastanud J. M-i isikuandmeid, vaid ka kõik töötajad, kes konkreetselt tutvuvad nende andmetega Pankki kui juriidilise isiku nimel ja juhtimisel.

62.

Isikuandmete kaitse üldmääruse artikli 4 punktis 10 on „kolmas isik“ määratletud kui „füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses“. ( 23 )

63.

Neid eeldusi arvestades leian ma aga, et mõiste „vastuvõtja“ ei hõlma sellise juriidilise isiku töötajaid, kes tema arvutisüsteemi kasutades tutvuvad kliendi isikuandmetega oma juriidilise isiku juhtorganite ülesandel. Kui need töötajad tegutsevad vastutava töötleja otseses alluvuses, ei saa nad ainuüksi selle asjaolu tõttu olla andmete „vastuvõtjad“. ( 24 )

64.

Võib siiski olla juhtumeid, kus töötaja ei järgi vastutava töötleja kehtestatud menetlusi ja tutvub omal algatusel klientide või teiste töötajate andmetega ebaseaduslikult. Sellisel juhul ei oleks ebaaus töötaja tegutsenud vastutava töötleja arvel ja nimel.

65.

Selles osas võib ebaausa töötaja kvalifitseerida „vastuvõtjaks“, kellele „avaldatakse“ (piltlikus mõttes), ehkki ta teeb seda ise ja seega õigusvastaselt, andmesubjekti isikuandmed ( 25 ) või sealhulgas ka (iseseisva) vastutav töötleja isikuandmed. ( 26 )

66.

Eelotsusetaotluses esitatud faktiliste asjaolude kirjeldusest ja Pankki kohtuistungil esitatud argumentidest nähtub, et see asutus andis enda vastutusel oma töötajatele loa tutvuda J. M-i isikuandmetega. Need töötajad järgisid seega vastutava töötleja juhiseid ja tegutsesid tema nimel. Seega ei ole neid võimalik kvalifitseerida vastuvõtjateks isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c tähenduses. ( 27 )

67.

Teave nende töötajate isiku ja ajahetke kohta, millal mõni neist tutvus kliendi isikuandmetega (see tähendab nende failide või registrite sisuga, millele ma kohe tähelepanu pööran), tuleb siiski anda nende tegevuse õiguspärasse kontrollimiseks järelevalveasutuste käsutusse.

68.

Seda kinnitab isikuandmete kaitse üldmääruse artikkel 29, viidates isikutele, kes tegutsevad „vastutava töötleja või volitatud töötleja volituse alusel“. Need isikud tohivad neid andmeid töödelda ainult oma tööandja korraldusel, kes on tegelik vastutav (või volitatud) töötleja.

69.

Isikuandmete kaitse üldmääruse artikli 15 lõike 1 eesmärk on soodustada seda, et andmesubjekt kasutab (kaitseb) tõhusalt oma isikuandmetest tulenevaid õigusi. Seega tuleb märkida, kes on vastutav töötleja, ja kes on sel juhul vastuvõtjad, kellele nad on andmeid avaldanud. Selle teabega võib andmesubjekt pöörduda lisaks vastutavale töötlejale ka vastuvõtjate poole, kes on tema andmed teada saanud.

70.

Andmesubjektil võib mõistagi olla kahtlusi selles, kas teatud isikute sekkumine tema andmete töötlemise haldamisse vastutava töötleja või volitatud töötleja nimel ja nende alluvuses on õiguspärane.

71.

Nagu Tšehhi valitsus kohtuistungil välja tõi ja komisjon märkis, võib selles kontekstis pöörduda andmekaitseametniku (isikuandmete kaitse üldmääruse artikli 38 lõige 4) või järelevalveasutuse poole, et esitada kaebus (isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt f ja artikkel 77). Tal ei ole aga õigust saada otse töötaja isikuandmeid (nime), kes toimib vastutava töötleja või volitatud töötleja alluvuses põhimõtteliselt selle töötleja juhiste järgi.

72.

Kohtuistungil arutati, kas võimalus pöörduda andmekaitseametniku või järelevalveasutuse poole on piisav tagatis selle isiku õiguste kaitseks, kelle andmeid on töödeldud.

73.

Vaidluse lahendamisel võib asuda maksimalistlikule seisukohale, et igal andmesubjektil on õigus teada saada tema andmetega tutvunud vastutava töötleja töötajate nimed, isegi kui need töötajad on andmetega tutvunud selle vastutava töötleja ülesandel ja juhtimise all.

74.

Arvan, et isikuandmete kaitse üldmäärus ei toeta seda seisukohta, ilma et see piiraks võimalust, et liikmesriik võib selle kehtestada oma riigisisestes õigusaktides ühe või mitme konkreetse sektori jaoks. ( 28 )

75.

Minu arvates ei oleks mõistlik, et Eurooja Kohus asuks endale peaaegu seadusandja ülesandeid võttes isikuandmete kaitse üldmäärust parandama, et lisada sellesse uus teavitamiskohustus, mis läheks artikli 15 lõikes 1 sätestatud kohustustest kaugemale. Nii oleks see juhul, kui vastutav töötleja oleks vahet tegemata kohustatud teatama andmesubjektile mitte enam seda, kes on andmete vastuvõtja, kellele on andmeid avaldatud, vaid teatama ka iga töötaja või ettevõtjasisese isiku nime, kes on andmetega õiguspäraselt tutvunud. ( 29 )

76.

Nagu Pankki kohtuistungil märkis, on kliendi andmeid töödelnud üksiktöötajate nimed nende turvalisuse seisukohast eriti tundlikud andmed, vähemalt teatavates majandussektorites.

77.

Isikud, kellel võib panga klientidena olla huvi personaliseerida oma kontaktisikut, kes ei oleks enam mitte krediidiasutus ise, vaid pigem keegi või mõni selle töötajatest, võivad püüda nendele töötajatele survet avaldada või neid äriahela nõrgema lülina mõjutada. Nii võib see olla näiteks juhul, kui tehingute jälgimine kliendi andmetega tutvumise teel toimub selleks, et täita pankade kohustusi finantsvaldkonnas süütegude ennetamise ja nende vastu võitlemise alal.

78.

Mõistagi võib klient kahelda selle füüsilise isiku aususes või erapooletuses, kes sekkub tema andmete töötlemisse vastutava töötleja nimel. Kui selline kahtlus oleks mõistlik, võiks see õigustada tema huvi teada saada töötaja isik, et kasutada oma õigust pöörduda tema vastu.

79.

Arvestades selle teabe tundlikkust, on huvi töötaja isik teada saada vastuolus andmete töötlemise haldajate mitte vähem vaieldamatu huviga säilitada oma töötajate isiku konfidentsiaalsus ja viimati nimetatute õigusega oma andmete kaitsele. Tasakaal saavutatakse minu arvates järelevalveasutuse vahendusel nende kahe vastandliku huvi vahekohtunikuna.

80.

Sellisel juhul, nagu on kõne all käesolevas asjas, hindab järelevalveasutus erapooletuna, kas kahtlused panga töötajate tegevuse suhtes on põhjendatud ja järjekindlad, mistõttu järeleandmiste tegemine nende isiku avalikustamata jätmisele oleks õigustatud.

81.

Vastus esimesele ja teisele eelotsuse küsimusele võiks siinkohal olla ammendatud, kuna on tuvastatud, et asutuse töötajad, kes tegutsevad asutuse nimel ja tema juhiste järgi, ei ole tegelikult vastuvõtjad, keda on nimetatud isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktis c.

82.

Vastuse täiendamiseks on siiski kasulik analüüsida andmesubjekti õigust saada teada töötajate nime, kui see on märgitud asutuse toimingute failides või registrites. Isegi kui – nagu ma juba märkisin – kõik need failid või registrid ei ole tingimata sama sisuga, tunnistatakse üldiselt, et nendes on märgitud, kes on (vastutava töötleja töötajatest), kuidas ja millal tutvunud klientide andmetega.

83.

Seda liiki registrid võimaldavad vastutaval töötlejal täita oma kohustust järgida isikuandmete kaitse üldmääruse artikli 5 lõikes 1 sätestatud põhimõtteid ning võtta vajalikke tehnilisi ja korralduslikke meetmeid, et tagada töötlemise kooskõla selle määruse volitustega (isikuandmete kaitse üldmääruse artikli 24 lõige 1 ja artikli 25 lõige 2).

84.

Direktiivi (EL) 2016/680 ( 30 ) spetsiifilises valdkonnas, mille komisjon toob andmekaitse erikorra näiteks ( 31 ) kuritegude valdkonnas:

85.

Direktiivi 2016/680 artikli 14 kohaselt ei kuulu teave konkreetselt isikuandmeid töödelnud töötaja isiku kohta selle teabe hulka, mida andmesubjektil on õigus teada saada.

86.

Samamoodi näeb isikuandmete kaitse üldmääruse artikkel 30 ette „töötlemise toimingute registreerimise“, mille sisu – mis on toimingute määratlemisel vähem konkreetne – langeb kokku direktiivi 2016/680 ( 33 ) artikli 25 sisuga. Nii nagu viimati nimetatu, ei kuulu töötaja isiku kohta registreeritud andmed nende hulka, millega andmesubjektil on isikuandmete kaitse üldmääruse artikli 15 alusel õigus tutvuda.

87.

Selle tasakaalustamatuse põhjus ühelt poolt registreeritud teabe ja teiselt poolt selle teabega tutvumise õiguse vahel on see, et ühelt poolt isikuandmete töötlemise registrit ja teiselt poolt nende sisule juurdepääsu reguleerivatel sätetel on eri eesmärk.

88.

Kordan, et isikuandmete kaitse üldmääruse artiklis 30 nimetatud registritega tagatakse töötlemise õiguspärasus ning andmete terviklikkus ja turvalisus. Selle eest, et see nii oleks, vastutab üldiselt järelevalveasutus, kellele vastutav ja volitatud töötleja peavad kättesaadavaks tegema toimingute registrid (isikuandmete kaitse üldmääruse artikli 30 lõige 4).

89.

Isikuandmete kaitse üldmääruses on õigus kaevata neile järelevalveasutustele (artikli 15 lõike 1 punkt f), kes peavad tagama selle nõuetekohase kohaldamise, ette nähtud selleks, et kaitsta füüsiliste isikute õigusi seoses nende andmete töötlemisega. Seda kinnitab ka isikuandmete kaitse üldmääruse artikli 51 lõige 1 ja see tuleneb neile sama määruse artikliga 57 määratud ülesannete loetelust.

90.

Järelevalveasutuse eesõigusi õigustab see, et nad teevad järelevalvet isikuandmete kaitse üldmääruse kohaldamise üle ja kaitsevad füüsiliste isikute õigusi. Nende eesõiguste hulgas on ka õigus teada, millistel asjaoludel toimus andmete töötlemine volitatud töötleja või vastutava töötleja poolt. Üks neist asjaoludest on just nimelt käesoleval juhul oluline asjaolu: nende isikute nimed, kes tutvuvad klientide isikuandmetega vastutava või volitatud töötleja nimel.

91.

Isikuandmete kaitse üldmääruse üheski sättes ei ole siiski nõutud, et need andmed töötajate isiku kohta, mis on märgitud asutuse siseregistritesse, millega asutused saavad teada (ja vajaduse korral teha järelevalveasutusele teatavaks), kes ja millal on uurinud kliendi isikuandmeid, peavad olema kliendile teadmiseks avatud.

92.

Seevastu isikule, keda konkreetne töötlemine puudutab, tuleb anda asjakohastest asjaoludest teada saamiseks vajalikku teavet selleks, et ta saaks hinnata töötlemise seaduslikkust ja seda vajaduse korral vaidlustada järelevalveasutuses või lõpuks kohtus.

93.

See ei muuda aga eelnevat tõsiasja, et kui neisse toimingute registritesse on tõepoolest kantud andmesubjekti isikuandmed (st muud andmed peale lihtsalt töötajate nime), on tal loogiliselt õigus saada vastutavalt töötlejalt kinnitus selle kohta, et tema isikuandmeid töödeldakse. Sellega seoses ei ole tähtis, kas viimased on talletatud toimingute registris või mis tahes muus asutusesiseses failis või andmebaasis.

94.

Eelotsusetaotluse esitanud kohus soovib teada, kas menetluse seisukohast „on oluline, et tegemist on pangaga, kelle tegevus on reguleeritud, või et J. M. oli samal ajal nii panga töötaja kui ka klient“.

95.

Minu arvates see seni öeldut ei muuda, sest vastutava andmete töötleja tegevus on reguleeritud. Asjaolu, et see vastutav töötleja on pank, mille tegevust reguleerivad seda liiki asutustele kehtivad erinormid ( 34 ), võib siiski olla oluline selleks, et kindlaks teha, kas andmete töötlemine on õiguspärane (õiguslik alus), kui see toimub talle kehtestatud seaduslike kohustuste täitmiseks. ( 35 )

96.

Põhimõtteliselt ei ole oluline ka see, et isik, kelle andmetega tutvuti, oli samal ajal nii panga töötaja kui ka klient. Isikuandmete kaitse üldmääruse artikli 15 lõikes 1 ei ole ette nähtud erinevusi sõltuvalt andmesubjekti kutsetegevusest lisaks tema krediidiasutuse kliendi staatusele. ( 36 )

97.

On tõsi, nagu märkis komisjon, et isikuandmete kaitse üldmääruse artikliga 23 on liikmesriikidel lubatud seadusandlikult piirata muu hulgas artiklis 15 sätestatud kohustuste ja õiguste ulatust valdkondlike sätetega konkreetse kategooria andmesubjektidele. Eelotsusetaotluse esitanud kohus ei maini siiski ühtegi seda tüüpi riigisisest piirangut.

98.

Eeltoodut arvestades teen Euroopa Kohtule ettepaneku vastata Itä-Suomen hallinto-oikeusele (Ida-Soome halduskohus, Soome) järgmiselt:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 15 lõiget 1 koostoimes sama määruse artikli 4 punktiga 1

tuleb tõlgendada nii, et

see on kohaldatav, kui teabega tutvumise taotlus, mille andmesubjekt on esitanud oma andmete vastutavale töötlejale, on esitatud pärast 25. maid 2018.

See ei anna andmesubjektile õigust saada vastutava töötleja käsutuses oleva teabe hulgast (vajaduse korral registrite või tööfailide abil) teada selle töötaja või nende töötajate nimesid, kes on vastutava töötleja volituse alusel ja tema juhiseid järgides tutvunud andmesubjekti isikuandmetega.