EUROOPA KOHTU OTSUS (esimene koda)

22. juuni 2023 ( *1 )

Eelotsusetaotlus – Isikuandmete töötlemine – Määrus (EL) 2016/679 – Artiklid 4 ja 15 – Artiklis 15 ette nähtud andmetega tutvumise õiguse ulatus – Töötlemissüsteemi loodavate logifailide teave (log data) – Artikkel 4 – Mõiste „isikuandmed“ – Mõiste „vastuvõtjad“ – Ajaline kohaldamine

Kohtuasjas C‑579/21,

mille ese on ELTL artikli 267 alusel Itä-Suomen hallinto-oikeuse (Ida-Soome halduskohus, Soome) 21. septembri 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 22. septembril 2021, menetluses, milles kaebuse esitas

J. M.,

menetluses osalesid:

Apulaistietosuojavaltuutettu,

Pankki S,

EUROOPA KOHUS (esimene koda),

koosseisus: koja president A. Arabadjiev, kohtunikud P. G. Xuereb, T. von Danwitz, A. Kumin ja I. Ziemele (ettekandja),

kohtujurist: M. Campos Sánchez-Bordona,

kohtusekretär: ametnik C. Strömholm,

arvestades kirjalikku menetlust ja 12. oktoobri 2022. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

–	J. M. enda eest ise,

–	Apulaistietosuojavaltuutettu, esindaja: tietosuojavaltuutettu A. Talus,

–	Pankki S, esindajad: asianajajat T. Kalliokoski ja J. Lång ning oikeustieteen maisteri E.‑L. Hokkonen,

–	Soome valitsus, esindajad: A. Laine ja H. Leppo,

–	Tšehhi valitsus, esindajad: A. Edelmannová, M. Smolek ja J. Vláčil,

–	Austria valitsus, esindaja: A. Posch,

–	Euroopa Komisjon, esindajad: A. Bouchagiar, H. Kranenborg ja I. Söderlund,

olles 15. detsembri 2022. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 15 lõiget 1.

Taotlus on esitatud menetluses, mis algatati J. M‑i esitatud kaebuse alusel, milles paluti tühistada Apulaistietosuojavaltuutettu (andmekaitsevoliniku abi, Soome) otsus, millega jäeti rahuldamata J. M‑i taotlus kohustada Soomes asuvat panka Pankki S avalikustama talle teatavaid andmeid tema isikuandmetega tutvumise kohta.

Õiguslik raamistik

Isikuandmete kaitse üldmääruse põhjendustes 4, 10, 11, 26, 39, 58, 60, 63 ja 74 on märgitud:

„(4)	Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus […].

[…]

(10)	Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel [Euroopa Liidus], peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. […]

(11)	Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi […]

[…]

(26)	[…] Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine.[…]

[…]

(39)

Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev. Läbipaistvuse põhimõte eeldab, et nende isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Kõnealune põhimõte puudutab eelkõige andmesubjektide teavitamist vastutava töötleja identiteedist ning töötlemise eesmärgist ja täiendavast teabest, et tagada asjaomaste füüsiliste isikute suhtes õiglane ja läbipaistev töötlemine ning nende õigus saada neid puudutavate isikuandmete töötlemise kohta kinnitust ja sõnumeid. Füüsilisi isikuid tuleks teavitada isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad sellise andmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata andmete kogumise ajal. […]

[…]

(58)

Läbipaistvuse põhimõte eeldab, et üldsusele või andmesubjektile suunatud teave on kokkuvõtlik, lihtsalt kättesaadav ja arusaadav ning selgelt ja lihtsalt sõnastatud ning samuti tuleks vajaduse korral täiendavalt kasutada visualiseerimist. Sellise teabe võib esitada elektrooniliselt, näiteks avalikkusele suunatud teabe puhul veebisaidi kaudu. Eriti asjakohane on see muudes olukordades, mille puhul osapoolte arvukuse ja kasutatava tehnoloogia keerukuse tõttu on andmesubjektil raske teada saada ja mõista, kas kogutakse tema isikuandmeid, kes neid kogub ja millisel eesmärgil, nagu näiteks veebireklaami puhul. Kuna lapsed väärivad erilist kaitset, peaks laste isikuandmete töötlemisel kogu teave olema ja suhtlemine toimuma selges ja lihtsas keeles, mis on lapsele kergesti arusaadav.

[…]

(60)

Õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest. Vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. […]

[…]

(63)

Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. […] Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teate. […] See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. […]

[…]

(74)

Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.“

4	Isikuandmete kaitse üldmääruse artikli 1 „Reguleerimisese ja eesmärgid“ lõikes 2 on sätestatud: „Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja ‑vabadusi, eriti nende õigust isikuandmete kaitsele.“

Selle määruse artiklis 4 on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]

7)	„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; […]

[…]

9)	„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. […]

[…]

21)	„järelevalveasutus“ – liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

[…]“.

Nimetatud määruse artikkel 5 „Isikuandmete töötlemise põhimõtted“ on sõnastatud järgmiselt:

„1. Isikuandmete töötlemisel tagatakse, et:

a)	töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

[…]

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

Isikuandmete kaitse üldmääruse artiklis 12 „Selge teave, teavitamine ja andmesubjekti õiguste teostamise kord“ on sätestatud:

„1. Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt […] Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. […]

[…]

5. […] Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja kas:

[…]

b)	keelduda taotletud meetmete võtmisest.

Vastutaval töötlejal lasub kohustus tõendada, et taotlus on selgelt põhjendamatu või ülemäärane.

[…]“.

Selle määruse artiklis 15 „Andmesubjekti õigus tutvuda andmetega“ on ette nähtud:

„1. Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

a)	töötlemise eesmärk;

b)	asjaomaste isikuandmete liigid;

c)	vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)	kui võimalik, siis kavandatav isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

e)	teave õiguse kohta taotleda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist, kustutamist või töötlemise piiramist või esitada vastuväide sellisele isikuandmete töötlemisele;

f)	teave õiguse kohta esitada kaebus järelevalveasutusele;

g)	kui isikuandmeid ei koguta andmesubjektilt, siis olemasolev teave nende allika kohta;

h)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

[…]

3. Vastutav töötleja esitab töödeldavate isikuandmete koopia. […]

4. Lõikes 3 osutatud koopia saamise õigus ei kahjusta teiste isikute õigusi ja vabadusi.“

9	Nimetatud määruse artiklites 16 ja 17 on sätestatud vastavalt andmesubjekti õigus ebaõigete isikuandmete parandamisele (õigus andmete parandamisele) ning teatavatel asjaoludel õigus nende andmete kustutamisele (õigus andmete kustutamisele või „õigus olla unustatud“).

Sama määruse artikli 18 „Õigus isikuandmete töötlemise piiramisele“ lõikes 1 on sätestatud:

„Andmesubjektil on õigus nõuda vastutavalt töötlejalt isikuandmete töötlemise piiramist järgmistel juhtudel:

a)	andmesubjekt vaidlustab isikuandmete õigsuse, ajaks, mis võimaldab vastutaval töötlejal isikuandmete õigsust kontrollida;

b)	isikuandmete töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle isikuandmete kustutamist, vaid kasutamise piiramist;

c)	vastutav töötleja ei vaja isikuandmeid enam töötlemise eesmärkidel, kuid need on andmesubjektile vajalikud õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

d)	andmesubjekt on esitanud isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt vastuväite, ajaks, kuni kontrollitakse, kas vastutava töötleja õiguspärased põhjused kaaluvad üles andmesubjekti põhjused.“

Isikuandmete kaitse üldmääruse artikli 21 „Õigus esitada vastuväiteid“ lõikes 1 on ette nähtud:

„Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.

[…]“.

Selle määruse artikli 24 lõikes 1 on ette nähtud:

„Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. […]“.

Nimetatud määruse artikkel 29 „Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel“ on sõnastatud järgmiselt:

„Volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.“

Isikuandmete kaitse üldmääruse artiklis 30 „Isikuandmete töötlemise toimingute registreerimine“ on ette nähtud:

„1. Vastutav töötleja ja asjakohasel juhul vastutava töötleja esindaja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. […]

[…]

4. Taotluse korral teeb vastutav töötleja […] ning asjakohasel juhul [tema] esindaja registri kättesaadavaks järelevalveasutusele.

[…]“.

Selle määruse artikli 58 „Volitused“ lõige 1 on sõnastatud järgmiselt:

„Järelevalveasutusel on järgmised uurimisvolitused:

a)	anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

[…]“.

Nimetatud määruse artiklis 77 „Õigus esitada järelevalveasutusele kaebus“ on täpsustatud:

„1. Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.

2. Järelevalveasutus, kellele kaebus esitatakse, teavitab kaebuse esitajat kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 78 kohasest õiguskaitsevahendi kasutamise võimalusest.“

Isikuandmete kaitse üldmääruse artikli 79 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ lõikes 1 on sätestatud:

„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“

18	Selle määruse artikli 82 „Õigus hüvitisele ja vastutus“ lõikes 1 on sätestatud: „Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.“

19	Isikuandmete kaitse üldmääruse artikli 99 lõike 2 kohaselt hakati seda määrust kohaldama 25. maist 2018.

Põhikohtuasi ja eelotsuse küsimused

20	2014. aastal sai J. M. – kes oli siis Pankki S‑i töötaja ja klient – teada, et panga töötajad olid ajavahemikul 1. novembrist 2013 kuni 31. detsembrini 2013 korduvalt tutvunud tema kliendiandmetega.

21	Kuna J. M-il, kellega Pankki S oli vahepeal töösuhte lõpetanud, tekkis kahtlus andmetega tutvumise õiguspärasuses, palus ta 29. mail 2018 Pankki S-il talle avaldada, kes olid töötajad, kes tema kliendiandmetega tutvusid, millal täpselt nad seda tegid ja mis eesmärgil neid andmeid töödeldi.

22	Pankki S kui vastutav töötleja isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses keeldus oma 30. augusti 2018. aasta vastusega avaldamast J. M-ile nende töötajate nimesid, kes olid tema andmetega tutvunud, põhjusel, et see teave sisaldab nende töötajate isikuandmeid.

Selles vastuses täpsustas Pankki S siiski, et nende andmetega tutvus tema korraldusel sisekontrolli osakond. Ta selgitas, et panga üks klient, kelle kliendinõustaja oli J. M., oli J. M-iga sama perekonnanime kandva isiku võlausaldaja, mistõttu soovis pank selgitada, kas põhikohtuasja kaebaja ja kõnealune võlgnik olid sama isik ning kas võis esineda sobimatu huvide konflikt. Pankki S lisas, et selle küsimuse selgitamiseks oli vaja töödelda ka J. M-i andmeid ning et panga iga töötaja, kes tema andmeid töötles, oli teinud sisekontrolli osakonnale avalduse andmetöötluse põhjuste kohta. Lisaks märkis pank, et see tutvumine võimaldas kõrvaldada igasuguse kahtluse J. M-i huvide konflikti suhtes.

24	J. M. pöördus Tietosuojavaltuutetun toimisto (andmekaitsevoliniku büroo, Soome) poole, kes on järelevalveasutus isikuandmete kaitse üldmääruse artikli 4 punkti 21 tähenduses, paludes, et see kohustaks Pankki S-i talle välja nõutud teavet avalikustama.

Andmekaitsevoliniku abi jättis 4. augustil 2020 J. M-i taotluse rahuldamata. Ta selgitas, et taotluses palus J. M., et talle antaks võimalus tutvuda tema andmetega tutvunud töötajate logifailidega, kuid nimetatud voliniku otsustuspraktika kohaselt ei olnud sellised failid mitte osa andmesubjekti isikuandmetest, vaid nende töötajate isikuandmetest, kes tema andmeid olid töödelnud.

26	J. M. esitas selle otsuse peale kaebuse eelotsusetaotluse esitanud kohtule.

See kohus tuletab meelde, et isikuandmete kaitse üldmääruse artiklis 15 on ette nähtud andmesubjekti õigus sellele, et vastutav töötleja võimaldaks tal tutvuda teda puudutavate töödeldavate andmetega ning muu hulgas teabega selle kohta, mis eesmärgil andmeid töödeldi ja kes on nende vastuvõtjad. Tal on tekkinud küsimus, kas isikuandmete kaitse üldmääruse artikkel 15 laieneb töötlemise toimingute käigus loodud logifailidele, mis sisaldavad selliseid andmeid, kaasa arvatud vastutava töötleja töötajate andmeid, kuna need failid võivad osutuda andmesubjektile vajalikuks, et hinnata tema andmete töötlemise õiguspärasust.

Nendel asjaoludel otsustas Itä-Suomen hallinto-oikeus (Ida-Soome halduskohus, Soome) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Kas andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõikest 1 tulenevat õigust andmetega tutvuda tuleb koostoimes artikli 4 punktis 1 määratletud mõistega „isikuandmed“ tõlgendada nii, et vastutava töötleja kogutud andmed, millest nähtub, kes, millal ja millisel eesmärgil on andmesubjekti isikuandmeid töödelnud, ei ole andmed, millega andmesubjektil on õigus tutvuda, eelkõige kuna tegemist on vastutava töötleja töötajat puudutavate andmetega?

Kui eelmisele küsimusele vastatakse jaatavalt ja andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõikest 1 tulenev õigus andmetega tutvuda ei laiene eelmises küsimuses nimetatud andmetele, kuna need ei ole andmesubjekti „isikuandmed“ isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses, tuleb käesolevas asjas hinnata veel teavet, millega andmesubjektil on õigus tutvuda nimetatud määruse artikli 15 lõike 1 punktide [a–h] alusel:

kuidas tuleb tõlgendada töötlemise eesmärki artikli 15 lõike 1 punkti a tähenduses, pidades silmas seda, milline ulatus on andmesubjekti õigusel andmetega tutvuda, see tähendab, kas töötlemise eesmärgist saab tuleneda õigus tutvuda kasutaja logifailidega, mida on kogunud vastutav töötleja ja mis hõlmavad näiteks andmeid töödelnud isikute isikuandmeid, andmete töötlemise aega ja eesmärki;

b)	kas J. M-i kliendiandmeid töödelnud isikuid saab sellega seoses pidada teatud tingimustel isikuandmete vastuvõtjateks isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c tähenduses, kelle andmetega on andmesubjektil õigus tutvuda?

3.	Kas käesolevas asjas on oluline, et tegemist on pangaga, kelle tegevus on reguleeritud, või et J. M. oli ühel ajal nii panga töötaja kui ka klient?

4.	Kas eespool esitatud küsimuste hindamise seisukohast on oluline, et J. M-i isikuandmete töötlemine toimus enne isikuandmete kaitse üldmääruse jõustumist?“

Eelotsuse küsimuste analüüs

Neljas küsimus

Neljanda küsimusega, mida tuleb kõigepealt analüüsida, soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikkel 15 koostoimes selle määruse artikli 99 lõikega 2 on kohaldatav nendest sätetest esimeses nimetatud teabega tutvumise taotlusele, kui taotluse esemeks olevad töötlemistoimingud on tehtud enne, kuid taotlus on esitatud pärast kuupäeva, mil nimetatud määrust kohaldama hakati.

30	Küsimusele vastamiseks tuleb märkida, et isikuandmete kaitse üldmääruse artikli 99 lõike 2 kohaselt on see määrus kohaldatav alates 25. maist 2018.

Käesoleval juhul nähtub eelotsusetaotlusest, et põhikohtuasjas kõne all olevad isikuandmete töötlemise toimingud tehti ajavahemikus 1. novembrist 2013 kuni 31. detsembrini 2013 ehk enne isikuandmete kaitse üldmääruse kohaldatavust. Eelotsusetaotlusest nähtub aga ka, et J. M. esitas Pankki S-ile oma taotluse pärast seda kuupäeva, nimelt 29. mail 2018.

Sellega seoses tuleb märkida, et menetlusnorme kohaldatakse üldiselt alates päevast, mil need jõustuvad, erinevalt materiaalõigusnormidest, mida tõlgendatakse tavaliselt nii, et need on enne nende jõustumist tekkinud ja lõplikuks muutunud olukordade suhtes kohaldatavad üksnes siis, kui selline võimalus nähtub selgelt nende sõnastusest, eesmärgist või ülesehitusest (15. juuni 2021. aasta kohtuotsus Facebook Ireland jt, C‑645/19, EU:C:2021:483, punkt 100 ja seal viidatud kohtupraktika).

Käesoleval juhul nähtub eelotsusetaotlusest, et J. M-i taotlus, et talle avalikustataks põhikohtuasjas kõne all olevad andmed, on seotud isikuandmete kaitse üldmääruse artikli 15 lõikega 1, milles on ette nähtud andmesubjekti õigus tutvuda teda puudutavate töödeldavate isikuandmetega, nagu ka teabega, mida selles sättes mainitakse.

34	Olgu täheldatud, et see säte ei käsitle küsimust, mis tingimustel on andmesubjekti isikuandmete töötlemine seaduslik. Nimelt on isikuandmete kaitse üldmääruse artikli 15 lõikes 1 üksnes täpsustatud, millise ulatusega on isiku õigus tutvuda selles sättes nimetatud andmete ja teabega.

Nagu kohtujurist oma ettepaneku punktis 33 märkis, tuleneb sellest, et isikuandmete kaitse üldmääruse artikli 15 lõige 1 annab andmesubjektidele menetlusõigusena käsitatava õiguse saada teavet nende isikuandmete töötlemise kohta. Menetlusnormina kohaldatakse seda sätet teabega tutvumise taotlustele, mis on esitatud pärast selle määruse kohaldatavaks muutumist, nagu seda on J. M‑i taotlus.

Neil asjaoludel tuleb neljandale küsimusele vastata, et isikuandmete kaitse üldmääruse artiklit 15 koostoimes selle määruse artikli 99 lõikega 2 tuleb tõlgendada nii, et see on kohaldatav selles sättes nimetatud teabega tutvumise taotlusele, kui taotluse esemeks olevad töötlemistoimingud on tehtud enne, kuid taotlus on esitatud pärast kuupäeva, mil nimetatud määrust kohaldama hakati.

Esimene ja teine küsimus

Esimese ja teise küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 15 lõiget 1 tuleb tõlgendada nii, et teave isiku isikuandmetega tutvumise toimingute kohta, nagu nende toimingute kuupäevad ja eesmärk ning neid toiminguid teinud füüsiliste isikute nimed, kujutab endast teavet, mida sellel isikul on õigus selle sätte alusel vastutavalt töötlejalt saada.

Kõigepealt tuleb meenutada, et väljakujunenud kohtupraktika kohaselt ei tule liidu õigusnormi tõlgendamisel arvesse võtta mitte ainult normi sõnastust, vaid ka selle konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa norm on (12. jaanuari 2023. aasta kohtuotsus Österreichische Post (teave isikuandmete vastuvõtjate kohta), C‑154/21, EU:C:2023:3, punkt 29).

Mis kõigepealt puudutab isikuandmete kaitse üldmääruse artikli 15 lõike 1 sõnastust, siis näeb see säte ette, et andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas tema kohta käivaid isikuandmeid töödeldakse või mitte, ning kui seda tehakse, siis nende andmetega tutvuda ning saada teavet muu hulgas töötlemise eesmärkide ja nende isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta, kellele isikuandmeid on avalikustatud või edaspidi avalikustatakse.

40	Sellega seoses tuleb toonitada, et isikuandmete kaitse üldmääruse artikli 15 lõikes 1 kasutatud mõisted on määratletud selle määruse artiklis 4.

Nii on esimesena isikuandmete kaitse üldmääruse artikli 4 punktis 1 mõiste „isikuandmed“ määratletud kui „igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta“ ja täpsustatud, et „tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“.

Sõnade „igasugune teave“ kasutamine selles sättes esitatud mõiste „isikuandmed“ määratlemisel peegeldab liidu seadusandja eesmärki anda sellele mõistele lai tähendus, mis hõlmab potentsiaalselt igasugust, nii objektiivset kui ka subjektiivset teavet arvamuste või hinnangute vormis, tingimusel et need käivad kõnealuse isiku kohta (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 23).

43	Sellega seoses on otsustatud, et teave puudutab tuvastatud või tuvastatavat füüsilist isikut, kui see on oma sisu, eesmärgi või toime tõttu seotud tuvastatava isikuga (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 24).

Küsimuses, kas teave võimaldab isikut „tuvastada“, on isikuandmete kaitse üldmääruse põhjenduses 26 täpsustatud, et arvesse tuleb võtta „kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine“.

Sellest tuleneb, et mõiste „isikuandmed“ lai määratlus ei hõlma mitte ainult vastutava töötleja kogutud ja säilitatud andmeid, vaid ka kogu isikuandmete töötlemisel saadud teavet, mis puudutab tuvastatud või tuvastatavat isikut (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 26).

Teisena, mis puudutab mõistet „töötlemine“, nagu see on määratletud isikuandmete kaitse üldmääruse artikli 4 punktis 2, siis tuleb täheldada, et kasutades sõna „toiming“, soovis liidu seadusandja anda sellele mõistele laia ulatuse, esitades mitteammendava loetelu isikuandmete või nende kogumite suhtes kohaldatavatest toimingutest, mille hulka kuuluvad ka kogumine, dokumenteerimine, säilitamine või päringute tegemine (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 27).

47	Kolmandana on isikuandmete kaitse üldmääruse artikli 4 punktis 9 täpsustatud, et „vastuvõtja“ on „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte“.

Sellega seoses on Euroopa Kohus otsustanud, et andmesubjektil on õigus saada vastutavalt töötlejalt teavet konkreetsete vastuvõtjate kohta, kellele tema isikuandmed on avalikustatud või avalikustatakse (12. jaanuari 2023. aasta kohtuotsus Österreichische Post (teave isikuandmete vastuvõtjate kohta), C‑154/21, EU:C:2023:3, punkt 46).

49	Seega tuleneb isikuandmete kaitse üldmääruse artikli 15 lõike 1 teksti analüüsist ja seal kasutatud mõistetest, et selle sättega andmesubjektile antud andmetega tutvumise õigust iseloomustab selle teabe rohkus, mille vastutav töötleja peab andmesubjektile esitama.

Mis puudutab seejärel isikuandmete kaitse üldmääruse artikli 15 lõike 1 konteksti, siis tuleb esimesena märkida, et selle määruse põhjenduses 63 on ette nähtud, et igal andmesubjektil peaks olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku ja isikuandmete vastuvõtjaid, ning et see teave talle avalikustataks.

Teisena, isikuandmete kaitse üldmääruse põhjenduses 60 on märgitud, et õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest, toonitades, et vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. Lisaks peab vastavalt läbipaistvuse põhimõttele, mida mainib eelotsusetaotluse esitanud kohus, millele on viidatud isikuandmete kaitse üldmääruse põhjenduses 58 ja mis on sõnaselgelt sätestatud selle määruse artikli 12 lõikes 1, kogu andmesubjektile avalikustatav teave olema kokkuvõtlik, kergesti kättesaadav ja arusaadav ning esitatud selges ja lihtsas sõnastuses.

Sellega seoses on isikuandmete kaitse üldmääruse artikli 12 lõikes 1 täpsustatud, et vastutav töötleja esitab teabe kirjalikult või muul viisil, sealhulgas asjakohasel juhul elektrooniliselt, välja arvatud juhul, kui andmesubjekt taotleb selle suulist esitamist. Selle sätte – mis väljendab läbipaistvuse põhimõtet – eesmärk on tagada, et andmesubjekt mõistaks täielikult talle saadetud teabe sisu (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 38 ja seal viidatud kohtupraktika).

53	Eespool esitatud kontekstianalüüsist tuleneb, et isikuandmete kaitse üldmääruse artikli 15 lõige 1 on üks sätetest, mis tagavad andmesubjekti jaoks isikuandmete töötlemise korra läbipaistvuse.

54	Lõpuks kinnitavad tõlgendust, mis on antud selle määruse artikli 15 lõikes 1 ette nähtud andmetega tutvumise õiguse ulatusele, ka isikuandmete kaitse üldmääruse eesmärgid.

55	Nimelt on määruse eesmärk esiteks tagada liidus füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning tugevdada ja täpsustada andmesubjektide õigusi, nagu on märgitud selle põhjendustes 10 ja 11.

Lisaks, nagu nähtub isikuandmete kaitse üldmääruse põhjendusest 63, on isiku õiguse tutvuda oma isikuandmete ja muu selle määruse artikli 15 lõikes 1 osutatud teabega eesmärk kõigepealt võimaldada sellel isikul saada kinnitust, et tema andmeid töödeldakse, ja kontrollida selle seaduslikkust. Sellest järeldub sama põhjenduse kohaselt ja nagu on märgitud käesoleva kohtuotsuse punktis 50, et igal andmesubjektil peaks olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku ja isikuandmete vastuvõtjaid ja töötlemise loogikat, ning et see teave talle avalikustataks.

Sellega seoses tuleb teiseks märkida, et Euroopa Kohus on juba otsustanud, et isikuandmete kaitse üldmääruse artiklis 15 ette nähtud andmesubjekti õigus andmetega tutvuda peab võimaldama andmesubjektil veenduda, et tema isikuandmed on õiged ja neid töödeldakse seaduslikult (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 34).

Täpsemalt on seda andmetega tutvumise õigust vaja selleks, et võimaldada andmesubjektil vajaduse korral kasutada oma õigust andmete parandamisele, õigust andmete kustutamisele („õigus olla unustatud“) ja õigust töötlemise piiramisele, mille talle annavad vastavalt isikuandmete kaitse üldmääruse artiklid 16–18, ning et kasutada talle isikuandmete kaitse üldmääruse artikliga 21 antud õigust esitada vastuväiteid tema kohta käivate isikuandmete töötlemisele ja selle määruse artiklites 79 ja 82 ette nähtud kaebuse esitamise õigust, kui talle on tekitatud kahju (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 35 ja seal viidatud kohtupraktika).

Järelikult on isikuandmete kaitse üldmääruse artikli 15 lõige 1 üks sätetest, mille eesmärk on tagada andmesubjekti jaoks isikuandmete töötlemise viiside läbipaistvus (12. jaanuari 2023. aasta kohtuotsus Österreichische Post (teave isikuandmete vastuvõtjate kohta), C‑154/21, EU:C:2023:3, punkt 42), ilma milleta ei oleks andmesubjektil võimalik hinnata tema andmete töötlemise seaduslikkust ja kasutada eelkõige selle määruse artiklites 16–18, 21, 79 ja 82 ette nähtud õigusi.

Käesoleval juhul nähtub eelotsusetaotlusest, et J. M. palus Pankki S-il avalikustada talle teavet tema isikuandmetega tutvumise kohta ajavahemikul 1. novembrist 2013 kuni 31. detsembrini 2013, täpsemalt teavet selle kohta, mis kuupäevadel ja eesmärgil tema andmetega tutvuti ning kes olid isikud, kes nende andmetega tutvusid. Eelotsusetaotluse esitanud kohus märgib, et tehtud päringute logifailide avalikustamine võimaldaks vastata J. M-i küsimustele.

Käesolevas asjas ei ole vaidlust selles, et põhikohtuasja kaebaja isikuandmetega tutvumise toimingud kujutavad endast „töötlemist“ isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses, mistõttu ei anna need talle selle määruse artikli 15 lõike 1 alusel mitte ainult õigust tutvuda nende isikuandmetega, vaid ka õiguse saada nende toimingutega seotud teavet, mida on nimetatud viimati nimetatud sättes.

Mis puudutab niisugust teavet nagu see, mille avalikustamist taotles J. M., siis kõigepealt võimaldab päringute kuupäevade avalikustamine andmesubjektil saada kinnitust, et tema isikuandmeid on konkreetsel ajahetkel tegelikult töödeldud. Lisaks, kuna isikuandmete kaitse üldmääruse artiklites 5 ja 6 ette nähtud töötlemise seaduslikkuse tingimused peavad olema täidetud ka töötlemise ajal, on andmete töötlemise kuupäev asjaolu, mis võimaldab seda seaduslikkust kontrollida. Järgmiseks tuleb märkida, et selle määruse artikli 15 lõike 1 punktis a mainitakse sõnaselgelt teavet töötlemise eesmärkide kohta. Lõpuks on nimetatud määruse artikli 15 lõike 1 punktis c ette nähtud, et vastutav töötleja teavitab andmesubjekti vastuvõtjatest, kellele tema andmed on avalikustatud.

Mis puudutab täpsemalt kogu selle teabe avalikustamist põhikohtuasjas kõne all olevate töötlemistoimingute logifailide esitamise teel, siis tuleb märkida, et isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimeses lauses on sätestatud, et vastutav töötleja „esitab töödeldavate isikuandmete koopia“.

Sellega seoses on Euroopa Kohus juba otsustanud, et mõiste „koopia“ selline kasutus tähistab originaali reprodutseerimist või täpset kopeerimist, mistõttu töödeldavate andmete puhtalt üldine kirjeldus või viide isikuandmete liikidele ei vasta sellele määratlusele. Lisaks nähtub selle määruse artikli 15 lõike 3 esimese lause sõnastusest, et teavitamiskohustus on seotud isikuandmetega, mida töödeldakse (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 21).

Koopia, mille vastutav töötleja on kohustatud esitama, peab sisaldama kõiki töödeldavaid isikuandmeid ja sel peavad olema kõik tunnused, mis võimaldavad andmesubjektil tõhusalt teostada oma õigusi, mis tulenevad nimetatud määrusest, ning selles tuleb järelikult need andmed täielikult ja täpselt taasesitada (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punktid 32 ja 39).

Nimelt selleks, et tagada, et nii esitatud teavet oleks lihtne mõista, nagu nõuab isikuandmete kaitse üldmääruse artikli 12 lõige 1 koostoimes selle määruse põhjendusega 58, võib dokumentide väljavõtete või isegi tervete dokumentide või ka selliste andmebaaside väljavõtete esitamine, mis sisaldavad muu hulgas töödeldavaid isikuandmeid, osutuda hädavajalikuks, kui töödeldavate andmete arusaadavuse tagamiseks on vajalik teada nende konteksti. Eelkõige juhul, kui isikuandmed luuakse muudest andmetest või kui need andmed pärinevad vabadelt andmeväljadelt, st kui puudub teave andmesubjekti kohta, on selliste andmete töötlemise kontekst hädavajalik selleks, et tagada andmesubjektile läbipaistvus andmetega tutvumisel ja nende andmete arusaadav esitusviis (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punktid 41 ja 42).

Käesolevas asjas on logifailid, mis sisaldavad J. M-i taotletud teavet, käsitatavad töötlemistoimingute registritena isikuandmete kaitse üldmääruse artikli 30 tähenduses, nagu kohtujurist oma ettepaneku punktides 88–90 märkis. Tuleb asuda seisukohale, et need kuuluvad selle määruse põhjenduses 74 nimetatud meetmete hulka, mida vastutav töötleja rakendab selleks, et tõendada töötlemistoimingute vastavust nimetatud määrusele. Sama määruse artikli 30 lõikes 4 on just nimelt täpsustatud, et need tuleb teha järelevalveasutusele taotluse korral kättesaadavaks.

Juhul kui need töötlemistoimingute registrid ei sisalda andmeid, mis tuvastavad või võimaldavad tuvastada füüsilise isiku käesoleva kohtuotsuse punktides 42 ja 43 viidatud kohtupraktika tähenduses, võimaldavad need vastutaval töötlejal üksnes täita oma kohustusi järelevalveasutuse ees, kes nende esitamist võib nõuda.

Mis puudutab täpsemalt vastutava töötleja logifaile, siis nendes failides sisalduvatest andmetest koopia edastamine võib osutuda vajalikuks selleks, et oleks täidetud kohustus võimaldada andmesubjektil tutvuda kogu isikuandmete kaitse üldmääruse artikli 15 lõikes 1 nimetatud teabega ning tagada õiglane ja läbipaistev kohtlemine, võimaldades tal nii täielikult kasutada oma õigusi, mis tal selle määruse alusel on.

Nimelt, esiteks näitavad need failid, kas andmeid on töödeldud, mis on teave, millele andmesubjekt peab isikuandmete kaitse üldmääruse artikli 15 lõike 1 kohaselt saama kinnitust. Lisaks annavad nad teavet päringute sageduse ja põhjalikkuse kohta, mis võimaldab andmesubjektil seega veenduda, et andmete töötlemine on tõesti põhjendatud vastutava töötleja seatud eesmärkidega.

71	Teiseks sisaldavad need failid teavet nende isikute kohta, kes on andmetega tutvunud.

72	Käesoleval juhul nähtub eelotsusetaotlusest, et isikud, kes põhikohtuasjas kõne all olevaid päringuid tegid, on Pankki S‑i töötajad, kes tegutsesid tema alluvuses ja tema juhiste kohaselt.

Kuigi isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktist c tuleneb tõepoolest, et andmesubjektil on õigus saada vastutavalt töötlejalt teavet nende vastuvõtjate või vastuvõtjate kategooriate kohta, kellele isikuandmed on avalikustatud või avalikustatakse, ei saa vastutava töötleja töötajaid pidada „vastuvõtjateks“ isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c tähenduses, nagu on meenutatud käesoleva kohtuotsuse punktides 47 ja 48, kui nad töötlevad isikuandmeid vastutava töötleja alluvuses ja tema juhiste kohaselt, nagu märkis ka kohtujurist oma ettepaneku punktis 63.

74	Sellega seoses on oluline rõhutada, et isikuandmete kaitse üldmääruse artikli 29 kohaselt võivad kõik vastutava töötleja loal tegutsevad isikud, kellel on juurdepääs isikuandmetele, töödelda isikuandmeid üksnes vastutava töötleja juhiste kohaselt.

Samas võib logifailide teave andmesubjekti isikuandmetega tutvunud isikute kohta kujutada endast käesoleva kohtuotsuse punktis 41 viidatud teavet, mida on nimetatud isikuandmete kaitse üldmääruse artikli 4 punktis 1 ja mis võimaldab tal kontrollida tema andmete töötlemise seaduslikkust, eriti aga veenduda, et töötlemistoimingud tehti tegelikult vastutava töötleja alluvuses ja tema juhiste kohaselt.

76	Kuid esiteks nähtub eelotsusetaotlusest, et niisugune logifailide teave, mida käsitletakse põhikohtuasjas, võimaldab tuvastada töötlemistoimingud teinud töötajad, kuna need sisaldavad nimetatud töötajate isikuandmeid isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses.

77	Sellega seoses tuleb meenutada, et isikuandmete kaitse üldmääruse artiklis 15 sätestatud andmetega tutvumise õiguse kohta on selle määruse põhjenduses 63 täpsustatud, et „[s]ee õigus ei tohiks kahjustada teiste isikute õigusi või vabadusi“.

Isikuandmete kaitse üldmääruse põhjenduse 4 kohaselt ei ole nimelt õigus isikuandmete kaitsele absoluutne õigus, vaid seda õigust tuleb käsitleda lähtuvalt selle ülesandest ühiskonnas ja leida tasakaal selle õiguse ja muude põhiõiguste vahel (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 172).

Kuid isegi kui vastutava töötleja töötajate isikuandmeid puudutava teabe avalikustamine andmesubjektile, kelle isikuandmeid töödeldakse, on viimasele vajalik, et oleks kindlaks tehtav tema isikuandmete töötlemise seaduslikkus, võib see avalikustamine siiski kahjustada nende töötajate õigusi ja vabadusi.

Neil asjaoludel tuleb juhul, kui esineb vastuolu ühelt poolt andmesubjektile isikuandmete kaitse üldmäärusega tunnustatud õiguste soovitava toime tagava õiguse teostamise ning teiselt poolt kolmanda isiku õiguste ja vabaduste vahel, leida tasakaal kõigi nende õiguste ja vabaduste vahel. Võimaluse korral tuleb valida tutvumise viisid, mis ei riku teiste isikute õigusi ega vabadusi, pidades meeles, nagu on märgitud isikuandmete kaitse üldmääruse põhjenduses 63, et „sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine“ (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 44).

Teiseks nähtub siiski eelotsusetaotlusest, et J. M. ei nõua Pankki S‑i nende töötajate isikutega seotud andmete talle avalikustamist, kes tegid päringuid tema isikuandmete kohta, mitte põhjusel, et nad ei tegutsenud tegelikult vastutava töötleja alluvuses ja juhiste kohaselt, vaid ta näib kahtlevat, kas Pankki S‑i avalikustatud teave selle kohta, mis eesmärgil neid päringuid tehti, vastab tõele.

Kui andmesubjekt peaks sellises olukorras leidma, et vastutava töötleja avalikustatud teave ei ole piisav, et hajutada kahtlusi, mis tal on tekkinud tema isikuandmete töötlemise seaduslikkuse suhtes, on tal isikuandmete kaitse üldmääruse artikli 77 lõike 1 alusel õigus esitada kaebus järelevalveasutusele, kellel on selle määruse artikli 58 lõike 1 punkti a alusel õigus nõuda vastutavalt töötlejalt kogu teavet, mida ta vajab andmesubjekti kaebuse läbivaatamiseks.

Eeltoodud kaalutlustest tuleneb, et isikuandmete kaitse üldmääruse artikli 15 lõiget 1 tuleb tõlgendada nii, et teave isiku isikuandmetega tutvumise toimingute kuupäevade ja eesmärgi kohta kujutab endast teavet, mida sellel isikul on õigus selle sätte alusel vastutavalt töötlejalt saada. Seevastu ei anna nimetatud säte sellist õigust teabe suhtes, mis puudutab vastutava isiku nende töötajate isikuandmeid, kes tegutsesid tema alluvuses ja tema juhiste kohaselt, välja arvatud juhul, kui see teave on hädavajalik selleks, et asjaomane isik saaks tõesti kasutada talle selle määrusega antud õigusi, ning tingimusel, et võetakse arvesse nende töötajate õigusi ja vabadusi.

Kolmas küsimus

Kolmanda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas asjaolu, et ühelt poolt tegeleb vastutav töötleja pangandustegevusega, mis tähendab, et tema tegevus on reguleeritud, ja teiselt poolt oli isik, kelle isikuandmeid vastutava töötleja kliendina töödeldi, samuti selle vastutava töötleja töötaja, on asjakohane talle isikuandmete kaitse üldmääruse artikli 15 lõikega 1 antud andmetega tutvumise õiguse ulatuse kindlaksmääramisel.

85	Alustuseks tuleb rõhutada, et mis puudutab isikuandmete kaitse üldmääruse artikli 15 lõikes 1 ette nähtud andmetega tutvumise õiguse kohaldamisala, siis ükski selle määruse säte ei tee vahet vastutava töötleja tegevuse laadi või selle isiku staatuse alusel, kelle isikuandmeid töödeldakse.

86	Mis puudutab esiteks Pankki S‑i tegevuse reguleeritust, siis võimaldab isikuandmete kaitse üldmääruse artikkel 23 tõepoolest liikmesriikidel seadusandlike meetmetega piirata eelkõige selle määruse artiklis 15 ette nähtud kohustuste ja õiguste ulatust.

87	Eelotsusetaotlusest ei nähtu siiski, et Pankki S-i tegevuse suhtes oleksid sellised õigusnormid kehtestatud.

Mis puudutab teiseks asjaolu, et J. M. oli samal ajal nii Pankki S-i klient kui ka tema töötaja, siis tuleb märkida, et arvestades mitte ainult isikuandmete kaitse üldmääruse eesmärke, vaid ka andmesubjekti andmetega tutvumise õiguse ulatust, mida on meenutatud käesoleva kohtuotsuse punktides 49 ja 55–59, ei saa kontekst, milles see andmesubjekt taotleb isikuandmete kaitse üldmääruse artikli 15 lõikes 1 osutatud teabega tutvumist, kuidagi selle õiguse ulatust mõjutada.

Järelikult tuleb isikuandmete kaitse üldmääruse artikli 15 lõiget 1 tõlgendada nii, et asjaolu, et vastutav töötleja tegeleb pangandustegevusega, mis tähendab, et tema tegevus on reguleeritud, ja et isik, kelle isikuandmeid vastutava töötleja kliendina töödeldi, oli ka selle vastutava töötleja töötaja, ei mõjuta üldjuhul selle õiguse ulatust, mis sellele isikule viidatud sättega on antud.

Kohtukulud

90	Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (esimene koda) otsustab:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artiklit 15 koostoimes selle määruse artikli 99 lõikega 2

tuleb tõlgendada nii, et

see on kohaldatav selles sättes nimetatud teabega tutvumise taotlusele, kui taotluse esemeks olevad töötlemistoimingud on tehtud enne, kuid taotlus on esitatud pärast kuupäeva, mil nimetatud määrust kohaldama hakati.

Määruse 2016/679 artikli 15 lõiget 1

tuleb tõlgendada nii, et

teave isiku isikuandmetega tutvumise toimingute kuupäevade ja eesmärgi kohta kujutab endast teavet, mida sellel isikul on õigus selle sätte alusel vastutavalt töötlejalt saada. Seevastu ei anna nimetatud säte sellist õigust teabe suhtes, mis puudutab vastutava isiku nende töötajate isikuandmeid, kes tegutsesid tema alluvuses ja tema juhiste kohaselt, välja arvatud juhul, kui see teave on hädavajalik selleks, et asjaomane isik saaks tõesti kasutada talle selle määrusega antud õigusi, ning tingimusel, et võetakse arvesse nende töötajate õigusi ja vabadusi.

Määruse 2016/679 artikli 15 lõiget 1

tuleb tõlgendada nii, et

asjaolu, et vastutav töötleja tegeleb pangandustegevusega, mis tähendab, et tema tegevus on reguleeritud, ja et isik, kelle isikuandmeid vastutava töötleja kliendina töödeldi, oli ka selle vastutava töötleja töötaja, ei mõjuta üldjuhul selle õiguse ulatust, mis sellele isikule viidatud sättega on antud.

Allkirjad

( *1 ) Kohtumenetluse keel: soome.