1.

Zaposlenik financijske institucije, koji je istodobno i njezin klijent, zatražio je od te institucije da mu pruži informacije o identitetu osoba koje su obavile uvid u njegove osobne podatke u okviru unutarnje kontrole. Nakon što je mu je ta institucija odbila dati te informacije, podnio je odgovarajuće pravne lijekove, sve dok nije dospio pred Itä-Suomen hallinto‑oikeus (Upravni sud istočne Finske, Finska).

2.

Taj je sud Sudu uputio zahtjev za prethodnu odluku koji se odnosi na tumačenje Uredbe (EU) 2016/679 ( 2 ). U odgovoru na njega Sud treba odlučiti o pravu ispitanika na pristup određenim informacijama povezanim s obradom njegovih osobnih podataka.

3.

U uvodnoj izjavi 11. navodi se:

„Djelotvorna zaštita osobnih podataka širom Unije zahtijeva jačanje i detaljno određivanje prava ispitanika i obveza onih koji obrađuju i određuju obradu osobnih podataka, kao i jednake ovlasti praćenja i osiguravanja poštovanja pravila za zaštitu osobnih podataka i jednake sankcije za kršenja u državama članicama.”

4.

Člankom 4. („Definicije”) određuje se:

„Za potrebe ove Uredbe:

5.

Članak 15. („Pravo ispitanika na pristup”) stavak 1. glasi:

„Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:

6.

U skladu s člankom 24. („Obveze voditelja obrade”) stavkom 1.:

„Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju.”

7.

U skladu s člankom 25. („Tehnička i integrirana zaštita podataka”) stavkom 2.:

„Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.”

8.

U članku 29. („Obrada pod vodstvom voditelja obrade ili izvršitelja obrade”) navodi se:

„Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade koja ima pristup osobnim podacima, ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije ili pravo države članice.”

9.

Člankom 30. („Evidencija aktivnosti obrade”) određuje se:

„1.   Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije:

[…]

2.   Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

3.   Evidencija iz stavaka 1. i 2. mora biti u pisanom obliku, uključujući elektronički oblik.

4.   Voditelj obrade ili izvršitelj obrade te predstavnik voditelja obrade ili izvršitelja obrade, ako je primjenjivo, na zahtjev daju nadzornom tijelu uvid u evidenciju.

5.   Obveze iz stavaka 1. i 2. ne primjenjuju se na poduzeće ili organizaciju u kojoj je zaposleno manje od 250 osoba, osim ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka […] ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima […].”

10.

Članak 58. („Ovlasti”) stavak 1. glasi kako slijedi:

„Svako nadzorno tijelo ima sve sljedeće istražne ovlasti:

[…].”

11.

U skladu s člankom 30., odredbe o obradi osobnih podataka zaposlenika, o provjerama i nadzorima koji se provode nad zaposlenicima i o zahtjevima kojih se pritom potrebno pridržavati, kao i o tehničkom nadzoru na radnom mjestu i o preuzimanju i otvaranju e‑pošte zaposlenika sadržane su u Lakiju yksityisyyden suojasta työelämässä (759/2004) ( 4 ).

12.

U skladu s člankom 34. stavkom 1., ispitanik nema pravo na pristup podacima koji su o njemu prikupljeni u smislu članka 15. OUZP‑a ako bi:

13.

U skladu s člankom 34. stavkom 2., ispitanik ima pravo, ako samo dio podataka u skladu sa stavkom 1. nije obuhvaćen pravom uređenim u članku 15. OUZP‑a, dobiti informacije o svim drugim podacima koji se na njega odnose.

14.

U skladu s člankom 34. stavkom 3., ispitanicima se moraju priopćiti razlozi za ograničavanje ako to ne ugrožava svrhu ograničavanja.

15.

U skladu s člankom 34. stavkom 4., podaci navedeni u članku 15. stavku 1. OUZP‑a moraju se na zahtjev ispitanika ustupiti nadzorniku za zaštitu podataka ako ispitanik nema pravo na pristup podacima koji su o njemu prikupljeni.

16.

U skladu s odjeljkom 2. člankom 4. stavkom 2., poslodavac je obvezan unaprijed obavijestiti radnika o prikupljanju podataka koji služe utvrđivanju njegove pouzdanosti. Ako poslodavac ispituje radnikovu kreditnu sposobnost, on mu, osim toga, mora priopćiti i iz koje će se evidencije pribaviti kreditne informacije. Ako su podaci o radniku prikupljeni od druge osobe koja nije dotični radnik, poslodavac mora radniku priopćiti dobivene podatke prije nego se oni koriste pri donošenju odluka koje se tiču radnika. Obveze voditelja obrade da ispitaniku ustupi podatke kao i pravo ispitanika na pristup podacima uređeni su u Poglavlju III. OUZP‑a.

17.

Osoba J. M. saznala je 2014. da je izvršen uvid u njezine osobne podatke, kao klijenta financijske institucije Suur‑Savon Osuuspankki (u daljnjem tekstu: Pankki),u razdoblju od 1. studenoga do 31. prosinca 2013. Osim što je bila klijent banke Pankki, osoba J. M. tijekom tog razdoblja bila je i njezin zaposlenik.

18.

Budući da je sumnjala da razlozi za uvid nisu u potpunosti zakoniti, osoba J. M. zatražila je 29. svibnja 2018. od banke Pankki da joj pruži informacije o identitetu zaposlenika koji su pristupili njezinim podacima u navedenom razdoblju i o svrhama obrade.

19.

Banka Pankki u međuvremenu je otpustila osobu J. M., koja je svoj zahtjev obrazložila time da, osobito, želi razjasniti razloge svojeg otkaza.

20.

Banka Pankki je 30. kolovoza 2018. kao voditelj obrade odbila osobi J. M. dati informacije o imenima zaposlenika koji su obrađivali njezine osobne podatke. Tvrdila je da se pravo predviđeno člankom 15. OUZP‑a ne primjenjuje na dnevnu evidenciju ni unutarnje protokole u kojima se navodi koji su zaposlenici i kad pristupili informatičkom sustavu u kojem se nalaze klijentovi podaci. Usto, tražene informacije odnosile su se na osobne podatke tih zaposlenika, a ne na osobu J. M.

21.

Kako bi izbjegla nesporazume, banka Pankki dala je osobi J. M. sljedeća dodatna pojašnjenja:

22.

Osoba J. M. obratila se nacionalnom nadzornom tijelu (Uredu nadzornika za zaštitu podataka, Finska) te od njega zatražila da banci Pankki naloži da joj pruži zatražene informacije.

23.

Zamjenik nadzornika za zaštitu podataka 4. kolovoza 2020. odbio je pritužbu osobe J. M.

24.

Osoba J. M. podnijela je tužbu Itä-Suomen hallinto‑oikeusu (Upravni sud istočne Finske), u kojoj tvrdi da na temelju OUZP‑a ima pravo na pristup informacijama o identitetu i zaduženjima osoba koje su obavile uvid u njezine podatke u financijskoj instituciji.

25.

U tim je okolnostima navedeni sud uputio Sudu sljedeća pitanja:

26.

Tajništvo Suda zaprimilo je zahtjev za prethodnu odluku 22. rujna 2021.

27.

Pisana očitovanja podnijeli su osoba J. M., banka Pankki, austrijska, češka i finska vlada te Europska komisija.

28.

Na raspravi održanoj 12. listopada 2022. sudjelovali su osoba J. M., Ured nadzornika za zaštitu podataka, banka Pankki, finska vlada i Komisija.

29.

Budući da sud koji je uputio zahtjev traži tumačenje nekoliko odredbi OUZP‑a, najprije valja utvrditi primjenjuje li se ta uredba ratione temporis na glavni postupak. Četvrto prethodno pitanje odnosi se na tu dvojbu.

30.

U skladu s člankom 99. stavkom 1. OUZP‑a, on je stupio na snagu 24. svibnja 2016. Međutim, njegova je primjena odgođena do 25. svibnja 2018. ( 6 ).

31.

Osobni podaci osobe J. M. provjeravani su u razdoblju od 1. studenoga do 31. prosinca 2013., odnosno prije nego što je OUZP stupio na snagu i počeo se primjenjivati.

32.

Međutim, datum koji je ovdje relevantan je 29. svibnja 2018., datum na koji je osoba J. M. zatražila sporne informacije na temelju članka 15. stavka 1. OUZP‑a (koji se primjenjuje od 25. svibnja 2018.).

33.

Kao što je to istaknula austrijska vlada, člankom 15. stavkom 1. OUZP‑a ispitanicima se dodjeljuje postupovno pravo (pravo na pristup) na dobivanje informacija o obradi njihovih osobnih podataka ( 7 ). S obzirom na njegovu postupovnu prirodu, to se pravilo primjenjuje od trenutka njegova stupanja na snagu ( 8 ). Stoga se osoba J. M. mogla na njega pozvati kad je zatražila informacije od banke Pankki.

34.

Točno je da zakonitost obrade podataka prikupljenih prije nego što je OUZP stupio na snagu treba odvagnuti s obzirom na tada važeće materijalne propise, odnosno Direktivu 95/46/EZ ( 9 ) te , u dijelu koji je primjenjiv retroaktivno ( 10 ), na OUZP.

35.

Budući da je nesporno da je voditelj obrade raspolagao zatraženim informacijama kad je osoba J. M. zatražila njihovo ustupanje (to joj se pravo jamči člankom 15. stavkom 1. OUZP‑a), primjenjivala se potonja uredba ( 11 ).

36.

Prema tome, kako bi se ispitaniku dao ili uskratio pristup informacijama na temelju članka 15. stavka 1. OUZP‑a, nije važno to što su sporni podaci obrađeni prije nego što je OUZP stupio na snagu.

37.

Prvo i drugo pitanje mogu se razmotriti zajedno. Njima se u biti nastoji saznati jesu li osobni podaci osobe J. M., koje je prikupila i obradila banka Pankki, informacije koje ispitanik ima pravo dobiti na temelju članka 15. stavka 1. OUZP‑a.

38.

Podsjećam na to da su se informacije koje je zatražila osoba J. M. odnosile na identitet zaposlenika koji su obavili uvid u njezine podatke kao klijenta 2013., na trenutak kad su ti podaci obrađeni i na svrhu obrade.

39.

Na raspravi je potvrđeno da se zahtjev osobe J. M. odnosi samo na informacije o identitetu tih zaposlenika. U sporu se ne dovodi u pitanje, konkretno, to da je banka obradila njezine podatke zakonito ( 12 ).

40.

Naime:

41.

Spor se stoga vodi samo u pogledu informacija o identitetu zaposlenika banke Pankki koji su obrađivali osobne podatke osobe J. M.

42.

Te se informacije zapravo odnose na element postupaka obrade, a ne na same ispitanikove osobne podatke u smislu članka 4. točke 1. OUZP‑a ( 14 ).

43.

Jasno je da je osoba u čije je podatke obavljen uvid J. M. ( 15 ). Nakon što joj je banka Pankki potvrdila da su njezini podaci obrađivani ( 16 ), informacije na koje je u skladu s člankom 15. stavkom 1. OUZP‑a imala pravo navode se u točkama (a) do (h) te odredbe ( 17 ). Njihovim se ustupanjem potiče ostvarivanje ispitanikovih prava ( 18 ) u okviru mehanizama kojima se osigurava zakonitost obrade podataka.

44.

Iz članka 15. stavka 1. OUZP‑a proizlazi da se informacije na koje se upućuje odnose na okolnosti obrade podataka.

45.

Naime, člankom 15. stavkom 1. OUZP‑a ispitaniku se dodjeljuje pravo na to da od voditelja obrade dobije:

46.

U odredbi se razlikuju, s jedne strane, „osobn[i] podac[i]” i, s druge strane, „informacij[e]” na koje se upućuje u točkama stavka 1.

47.

Prema tome, informacije koje se ispitaniku moraju dati na temelju članka 15. stavka 1. točaka (a) do (h) ne treba miješati s njegovim osobnim podacima u smislu članka 4. točke 1. iste uredbe.

48.

To svakako nisu podaci nego informacije, koje se odnose na:

49.

U svim tim slučajevima informacije se odnose ili na određena ispitanikova prava ili na konkretne elemente provedene obrade, poput njezine svrhe (kao i razloga za nju) ili predmeta (kategorije obrađenih podataka).

50.

Informacije o primateljima kojima su ispitanikovi osobni podaci otkriveni ili će im biti otkriveni (članak 15. stavak 1. točka (c) OUZP‑a) dovode do više konceptualnih problema, na koje ću se odmah osvrnuti.

51.

Člankom 15. stavkom 1. OUZP‑a utvrđuje se, ukratko, pravo na pristup informacijama o samoj činjenici obrade i njezinim okolnostima. Tim se informacijama pridodaju one koje se odnose na prava koja ispitanik ima u pogledu podataka koji se obrađuju, poput prava na podnošenje pritužbe nadzornom tijelu.

52.

Samo postojanje obrade ni njezine okolnosti nisu, prema mojem mišljenju, „osobni podaci” u smislu članka 4. točke 1. OUZP‑a.

53.

Točno je da iz obrade mogu proizaći odluke koje utječu na ispitanika, kao što je to istaknuo sud koji je uputio zahtjev ( 21 ). No taj rezultat ne ovisi o tome koja je fizička osoba ili koje su fizičke osobe konkretno pregledale podatke za račun i na odgovornost banke Pankki, a o toj se informaciji vodi spor u glavnom postupku.

54.

Stoga bi osoba J. M. imala pravo na to da joj banka Pankki, kao voditelj obrade, otkrije informacije o osobnim podacima kojima raspolaže, neovisno o tome je li ih prikupila od same osobe J. M. (članak 13. OUZP‑a) ili na drugi način (članak 14. OUZP‑a). Također bi imala pravo, u ovom slučaju na temelju članka 15. OUZP‑a, na informacije o postojanju obrade i okolnostima svake obrade navedenih podataka, ali ne zato što oni kao takvi predstavljaju „osobni podatak”, nego zbog izričite obveze iz članka 15. OUZP‑a ( 22 ).

55.

Da natuknem ono na što ću se kasnije opširnije osvrnuti, za ovaj je predmet relevantna činjenica da identitet zaposlenika koji su obavili uvid u podatke osobe J. M. nije njegov „osobni podatak”.

56.

Drugo je pitanje navode li se u protokolima ili evidencijama na koje kasnije upućujem neposredno ili posredno ispitanikovi osobni podaci, koji se ne odnose na informacije o zaposlenicima koji su im pristupili. To uvelike ovisi o sadržaju odgovarajućih protokola ili evidencija. Međutim, s obzirom na to da se glavni postupak odnosi na informacije o identitetu zaposlenika banke Pankki, ponovio bih da to nije osobni podatak osobe J. M. nego dotičnih zaposlenika.

57.

Sud koji je uputio zahtjev želi znati bi li osoba J. M., s obzirom na članak 15. stavak 1. točke (a) i (c) OUZP‑a, imala pravo na to da joj banka Pankki pruži informacije o zaposlenicima koji su obradili njezine osobne podatke iako nije riječ o osobnim podacima osobe J. M.

58.

U skladu s točkom (a), ispitanik ima pravo na to da mu voditelj obrade potvrdi koje su svrhe obrade. Međutim, u toj se točki (koja se u ovom predmetu poštovala jer je banka Pankki obavijestila osobu J. M. o svrsi obrade) ne navode kriteriji za utvrđivanje primatelja osobnih podataka dotične osobe.

59.

Ipak, pitanje je u potpunosti smisleno u dijelu u kojem se traži tumačenje članka 15. stavka 1. točke (c) OUZP‑a. Podsjećam na to da u skladu s tom točkom ispitanik ima pravo na pristup informacijama o „primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni […]”.

60.

U članku 4. točki 9. OUZP‑a „primatelj” pak znači „fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana”.

61.

Kao što se to istaknulo na raspravi, potonji izraz („neovisno o tome je li on treća strana”) mogao bi dovesti do nedoumica u pogledu subjektivnog područja primjene odredbe. Površno tumačenje, koje smatram pogrešnim, moglo bi potkrijepiti mišljenje da „primatelj” nije samo bilo koja treća strana kojoj je banka Pankki otkrila osobne podatke osobe J. M., nego i svaki zaposlenik koji je u te podatke konkretno obavio uvid u ime i prema uputi pravne osobe Pankki.

62.

Člankom 4. točkom 10. „treća strana” definira se kao „fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade” ( 23 ).

63.

Stoga, polazeći od tih pretpostavki, smatram da pojam primatelja ne obuhvaća zaposlenike pravne osobe koji prilikom korištenja njezina informatičkog sustava obavljaju uvid u klijentove osobne podatke po nalogu svojih nadređenih. Kad takvi zaposlenici djeluju pod izravnom nadležnošću voditelja obrade, samo zbog toga ne postaju „primatelji” podataka ( 24 ).

64.

Međutim, može se dogoditi da zaposlenik ne slijedi postupke koje je utvrdio voditelj obrade i samostalno nezakonito pristupi podacima klijenata ili drugih zaposlenika. U tom slučaju nelojalan zaposlenik ne bi postupao za račun i u ime voditelja obrade.

65.

Na taj bi se način nelojalni zaposlenik mogao kvalificirati kao „pošiljatelj” kojem se (u prenesenom značenju) „otkrivaju” ispitanikovi osobni podaci ( 25 ) ili čak podaci (autonomnog) voditelja obrade ( 26 ), iako ih dotični zaposlenik otkriva samostalno i, prema tome, nezakonito.

66.

Iz prikaza činjenica koji se navodi u odluci kojom se upućuje zahtjev za prethodnu odluku i iz tvrdnji koje je na raspravi iznijela banka Pankki proizlazi da je ta institucija, pod vlastitom odgovornošću, ovlastila svoje zaposlenike da obave uvid u osobne podatke osobe J. M. Ti su zaposlenici stoga djelovali prema uputama voditelja obrade i postupali za njegov račun. Stoga ih se ne može smatrati primateljima u smislu članka 15. stavka 1. točke (c) OUZP‑a ( 27 ).

67.

Drugo je pitanje treba li identitet tih zaposlenika i trenutak u kojem je neki od njih pristupio klijentovim osobnim podacima (odnosno informacijama koje se navode u sustavima pohrana ili evidencijama, na koje ću se odmah osvrnuti) otkriti nadzornim tijelima kako bi se dokazalo da su postupali u skladu sa zakonom.

68.

To se potvrđuje člankom 29. OUZP‑a u kojem se upućuje na osobe koje djeluju „pod vodstvom voditelja obrade ili izvršitelja obrade koj[e] ima[ju] pristup osobnim podacima”. Te osobe navedene podatke mogu obrađivati samo prema uputama svojeg poslodavca, koji je stvarni voditelj (ili izvršitelj) obrade.

69.

Člankom 15. stavkom 1. OUZP‑a ispitaniku se nastoji olakšati učinkovito ostvarivanje (obrana) prava koja mu pripadaju u pogledu njegovih osobnih podataka. Stoga ga treba obavijestiti tko je voditelj obrade i, po potrebi, kojim primateljima su se ti podaci otkrili. Na temelju tih informacija ispitanik se, osim voditelju obrade, može obratiti i primateljima koji su obavili uvid u njegove podatke.

70.

Točno je da ispitanik može imati dvojbe u pogledu zakonitosti sudjelovanja određenih osoba u obradi njegovih podataka za račun voditelja ili izvršitelja obrade, kojem su dotične osobe podređene.

71.

U tim okolnostima, kao što to ističe češka vlada i kao što je to na raspravi naglasila Komisija, ispitanik se može obratiti službeniku za zaštitu podataka (članak 38. stavak 4. OUZP‑a) ili nadzornom tijelu kako bi podnio pritužbu (članak 15. stavak 1. točka (f) i članak 77. OUZP‑a). Ne priznaje mu se pravo na neposredno prikupljanje osobnog podatka (identiteta) zaposlenika koji u pravilu postupa prema uputama voditelja ili izvršitelja obrade i podređen mu je.

72.

Na raspravi se razmatralo je li mogućnost obraćanja službeniku za zaštitu podataka ili nadzornom tijelu dovoljno jamstvo s gledišta zaštite prava osobe čiji se podaci obrađuju.

73.

Prilikom rješavanja tog pitanja može se zauzeti maksimalističko stajalište, prema kojem bi svi ispitanici imali pravo na pristup informacijama o identitetu zaposlenika voditelja obrade koji su obavili uvid u njihove podatke, čak i kad su to učinili po nalogu i prema uputi tog voditelja obrade.

74.

Smatram da OUZP ne ide u prilog toj tezi, neovisno o tome što neka država članica može primijeniti takav pristup u nacionalnom zakonodavstvu za jedan određeni sektor ili više njih ( 28 ).

75.

Prema mojem mišljenju, ne bi bilo razborito da Sud preuzme gotovo zakonodavne funkcije i izmijeni OUZP kako bi uveo novu obvezu pružanja informacija, koja bi bila nadređena obvezama iz njegova članka 15. stavka 1. To bi se dogodilo kad bi se voditeljima obrade neselektivno naložilo da ispitaniku daju informacije o identitetu ne samo primatelja kojem su otkriveni podaci, nego bilo kojeg zaposlenika ili osobe unutar poduzetnika koja im je pristupila na zakonit način ( 29 ).

76.

Kao što je to istaknula banka Pankki na raspravi, identitet pojedinačnih zaposlenika koji su vodili obradu klijentovih podataka osobito je osjetljiva informacija sa sigurnosnog stajališta, barem u nekim gospodarskim sektorima.

77.

Na te bi zaposlenike mogle pokušati izvršiti pritisak i utjecati osobe koje, kao klijenti banke, žele imati osobu za sugovornika, pa se više ne bi obraćali samoj financijskoj instituciji, nego jednom ili više njezinih zaposlenika, kao najslabijoj karici u poslovnom lancu. To bi se moglo dogoditi, primjerice, ako bi se transakcije pratile uvidom u klijentove podatke radi ispunjavanja obveza koje banke imaju u pogledu sprečavanja i borbe protiv kaznenih djela u financijskom sektoru.

78.

Točno je da klijent može imati dvojbe u pogledu časnog postupanja ili nepristranosti fizičke osobe koja je sudjelovala u obradi podataka za račun voditelja obrade. Kad bi ta dvojba bila razumna, njome bi se mogao opravdati interes u pogledu informacija o zaposlenikovu identitetu radi ostvarivanja prava na pokretanje postupka protiv njega.

79.

S obzirom na osjetljivost tih informacija, interes u pogledu informacija o identitetu zaposlenika u suprotnosti je s jednako nespornim interesom voditelja obrade da identitet svojih zaposlenika zadrže u tajnosti i s pravima tih zaposlenika na zaštitu vlastitih podataka. Smatram da se ravnoteža postiže posredovanjem nadzornog tijela kao arbitra između tih dvaju sukobljenih interesa.

80.

U slučaju poput predmetnoga nadzorno bi tijelo stoga trebalo, sa svojeg nepristranog stajališta, ocijeniti jesu li dvojbe u pogledu postupanja zaposlenika banke dovoljno utemeljene i dosljedne da bi se zanemarila zaštita njihova identiteta.

81.

Nakon utvrđivanja da zaposlenici institucije koji djeluju za njezin račun i prema njezinim uputama nisu u pravom smislu riječi primatelji koji se navode u članku 15. stavku 1. točki (c) OUZP‑a, više ne treba razmatrati odgovor na prvo i drugo prethodno pitanje.

82.

Međutim, bilo bi ga dobro dopuniti analizom navodnog ispitanikova prava na informacije o identitetu zaposlenika ako se on navodi u sustavima pohrana ili evidenciji aktivnosti institucije. Iako, kao što sam to već istaknuo, svi ti sustavi pohrana ili evidencije nemaju nužno jednak sadržaj, općenito se smatra da se u njima navodi tko je (od zaposlenika voditelja obrade), kako i kada obavio uvid u klijentove podatke.

83.

Takva evidencija omogućuje voditelju obrade da ispuni obvezu poštovanja načela utvrđenih člankom 5. stavkom 1. OUZP‑a te provede odgovarajuće tehničke i organizacijske mjere kako bi osigurao i dokazao da se obrada provodi u skladu s odredbama navedene uredbe (članak 24. stavak 1. i članak 25. stavak 2. samog OUZP‑a).

84.

U konkretnom području Direktive (EU) 2016/680 ( 30 ), koju je Komisija istaknula kao primjer ( 31 ) posebnog sustava zaštite podataka u području kaznenih djela:

85.

Međutim, u skladu s člankom 14. Direktive 2016/680, informacije koje se konkretno odnose na identitet zaposlenika koji je obradio osobne podatke nisu navedene među informacijama kojima ispitanik ima pravo pristupiti.

86.

U istom se smislu člankom 30. OUZP‑a propisuje da mora postojati takozvana „evidencij[a] aktivnosti obrade”, a njegov je sadržaj jednak sadržaju članka 25. Direktive 2016/680 ( 33 ), iako je definicija aktivnosti iz članka 30. manje konkretna. I kao što je to slučaj s potonjom direktivom, ni evidentirana informacija o identitetu zaposlenika ne nalazi se među informacijama kojima ispitanik može pristupiti na temelju članka 15. OUZP‑a.

87.

Takva asimetrija između, s jedne strane, informacija u evidenciji i, s druge strane, prava na pristup tim informacijama proizlazi iz različitih svrha odredbi kojima se uređuju evidencije aktivnosti obrade i mogućnost pristupa njihovu sadržaju.

88.

Ponavljam da se evidencijom na koju se odnosi članak 30. OUZP‑a nastoji zajamčiti zakonitost obrade te osigurati cjelovitost i sigurnost podataka. Za to je u pravilu odgovorno nadzorno tijelo, kojem voditelj ili izvršitelj obrade moraju dati na uvid evidencije aktivnosti (članak 30. stavak 4. OUZP‑a).

89.

U OUZP‑u se pravom na podnošenje pritužbe nadzornim tijelima (članak 15. stavak 1. točka (f)), koja trebaju brinuti o tome da se OUZP pravilno primjenjuje, nastoje zaštititi prava fizičkih osoba u pogledu obrade njihovih podataka. To se potvrđuje člankom 51. stavkom 1. OUZP‑a i proizlazi iz popisa zadaća koje im se povjeravaju člankom 57. same uredbe.

90.

Ovlasti nadzornog tijela temelje se na općoj zadaći nadzora provedbe OUZP‑a i zaštiti prava fizičkih osoba. Jedna je od tih ovlasti dobivanje informacija o okolnostima u kojima je izvršitelj ili voditelj obrade proveo obradu podataka. Upravo je jedna od tih okolnosti ovdje važna, a to je identitet osoba koje obavljaju uvid u osobne podatke klijenata u ime voditelja ili izvršitelja obrade.

91.

Međutim, ni u jednoj se odredbi OUZP‑a ne zahtijeva da klijentu treba otkriti informacije o identitetu zaposlenika koji su navedeni u internim evidencijama institucija, na temelju kojih te institucije mogu saznati tko je i kada provjerio klijentove osobne podatke (i, po potrebi, o tome obavijestiti nadzorno tijelo).

92.

Suprotno tomu, osobi na koju se odnosi konkretna obrada moraju se pružiti informacije nužne za dobivanje uvida u relevantne okolnosti kako bi mogla ocijeniti zakonitost obrade te je po potrebi osporavati pred nadzornim tijelom ili, u konačnici, pred sudom.

93.

To ne dovodi u pitanje činjenicu da, ako se u toj evidenciji aktivnosti zaista nalaze njegovi osobni podaci (odnosno, ne samo identitet zaposlenika), ispitanik, logično, ima pravo na to da od voditelja obrade dobije potvrdu da se njegovi osobni podaci obrađuju. Za te potrebe nije važno navode li se ti osobni podaci u evidenciji aktivnosti ili u nekom drugom sustavu pohrane ili internoj bazi podataka institucije.

94.

Sud koji je uputio zahtjev želi doznati „[j]e li za postupak značajno to da je riječ o banci koja obavlja uređenu djelatnost ili da je osoba J. M. istodobno radila za banku i bila njezin klijent”.

95.

Prema mojem mišljenju, na dosad navedeno ne utječe činjenica da voditelj obrade obavlja uređenu djelatnost. Činjenica da je taj voditelj obrade banka na koju se primjenjuju posebni propisi za tu vrstu institucija ( 34 ) može, međutim, biti relevantna za ocjenu zakonitosti obrade (njezine pravne osnove) kad se obrada provodi radi ispunjavanja primjenjivih zakonskih obveza ( 35 ).

96.

Načelno nije važno ni to što je osoba u čije se podatke obavio uvid istodobno bila zaposlenik i klijent navedene banke. Člankom 15. stavkom 1. OUZP‑a ne uvodi se razlika s obzirom na ispitanikovu profesionalnu djelatnost, koja ima prednost pred njegovim statusom klijenta financijske institucije ( 36 ).

97.

Točno je, kao što je to napomenula Komisija, da se člankom 23. OUZP‑a državama članicama omogućuje da u svojem zakonodavstvu, na temelju sektorskih odredbi za posebne kategorije uključenih osoba, ograniče opseg obveza i prava utvrđenih, među ostalim, u članku 15. Međutim, sud koji je uputio zahtjev ne navodi nikakvo nacionalno ograničenje takve prirode.

98.

S obzirom na prethodno navedeno, predlažem Sudu da Itä-Suomen hallinto‑oikeusu (Upravni sud istočne Finske, Finska) odgovori na sljedeći način:

„Članak 15. stavak 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), u vezi s člankom 4. točkom 1. navedene uredbe,

treba tumačiti na način da se:

primjenjuje ako je ispitanik zahtjev za pristup informacijama podnio voditelju obrade njegovih podataka nakon 25. svibnja 2018.;

njime ispitaniku ne dodjeljuje pravo da, među informacijama kojima raspolaže voditelj obrade (ovisno u slučaju, na temelju evidencija ili sustava pohrane aktivnosti), dobije informaciju o identitetu jednog ili više zaposlenika koji su pod vodstvom i prema uputama voditelja obrade obavili uvid u njegove osobne podatke.”