–

J. M., személyesen,

–

az Apulaistietosuojavaltuutettu képviseletében A. Talus tietosuojavaltuutettu,

–

a Pankki S képviseletében T. Kalliokoski és J. Lång asianajajat, valamint E.‑L. Hokkonen oikeustieteen maisteri,

–

a finn kormány képviseletében A. Laine és H. Leppo, meghatalmazotti minőségben,

–

a cseh kormány képviseletében A. Edelmannová, M. Smolek és J. Vláčil, meghatalmazotti minőségben,

–

az osztrák kormány képviseletében A. Posch, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar, H. Kranenborg és I. Söderlund, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 15. cikke (1) bekezdésének értelmezésére vonatkozik.

2

Ezt a kérelmet a J. M. által az Apulaistietosuojavaltuutettule (az adatvédelmi tisztviselő helyettese, Finnország) J. M. arra irányuló kérelmét elutasító határozatának megsemmisítése iránt indított eljárás keretében terjesztették elő, hogy kötelezzék a finnországi székhelyű Pankki S bankot a személyes adataiba való betekintésekkel kapcsolatos bizonyos információk közlésére.

3

Az általános adatvédelmi rendelet (4), (10), (11), (26), (39), (58), (60), (63) és (74) preambulumbekezdése a következőket mondja ki:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

4

Az általános adatvédelmi rendelet „Tárgy” című 1. cikkének (2) bekezdése a következőképpen rendelkezik:

„Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.”

5

A rendelet 4. cikke a következőket írja elő:

„E rendelet alkalmazásában:

[…]

[…]

[…]

[…]”

6

Az említett rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikkének szövege a következő:

„(1)   A személyes adatok:

[…]

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

7

Az általános adatvédelmi rendelet „Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések” című 12. cikke a következőket tartalmazza:

„(1)   Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. […]

[…]

(5)   […] Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

[…]

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

[…]”

8

Az általános adatvédelmi rendeletnek „Az érintett hozzáférési joga” címet viselő 15. cikke a következőképpen rendelkezik:

„(1)   Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

[…]

(3)   Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja.

(4)   A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.”

9

Az említett rendelet 16. és 17. cikke rögzíti az érintettnek a pontatlan személyes adatok helyesbítéséhez való jogát (helyesbítéshez való jog), valamint bizonyos körülmények között a személyes adatok törléséhez való jogot (törléshez való jog vagy „az elfeledtetéshez való jog”).

10

Ugyanezen rendeletnek „Az adatkezelés korlátozásához való jog” című 18. cikke az (1) bekezdésében a következőket írja elő:

„Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

11

Az általános adatvédelmi rendeletnek „A tiltakozáshoz való jog” című 21. cikke az (1) bekezdésében a következőket írja elő:

„Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.”

12

E rendelet 24. cikke (1) bekezdésének megfelelően:

„Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. […]”

13

E rendeletnek „Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés” című 29. cikkének szövege a következő:

„Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.”

14

Az általános adatvédelmi rendeletnek „Az adatkezelési tevékenységek nyilvántartása” című 30. cikke a következőket írja elő:

„(1)   Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. […]

[…]

(4)   Az adatkezelő […], valamint – ha van ilyen – az adatkezelő […] képviselője megkeresés alapján a felügyeleti hatóság részére rendelkezésére bocsátja a nyilvántartást.

[…]”

15

E rendelet „Hatáskörök” című 58. cikkének (1) bekezdése így rendelkezik:

„A felügyeleti hatóság vizsgálati hatáskörében eljárva:

[…]”

16

Az említett rendeletnek „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikke a következőket mondja ki:

„(1)   Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

(2)   Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.”

17

Az általános adatvédelmi rendeletnek „Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog” című 79. cikkének (1) bekezdése a következőket írja elő:

„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”

18

E rendelet „A kártérítéshez való jog és a felelősség” című 82. cikkének (1) bekezdése a következőket írja elő:

„Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.”

19

Az általános adatvédelmi rendelet 99. cikkének (2) bekezdése értelmében a rendelet 2018. május 25‑én lépett hatályba.

20

2014‑ben J. M., a Pankki S alkalmazottja és egyben ügyfele tudomást szerzett arról, hogy a 2013. november 1. és 2013. december 31. közötti időszakban a bank személyi állományának tagjai több alkalommal is betekintettek az ügyféladataiba.

21

Mivel kétségei voltak a betekintés jogszerűségével kapcsolatban, 2018. május 29‑én J. M., akit időközben elbocsátottak a Pankki S‑nél betöltött állásából, arra kérte a Pankki S‑t, hogy közölje vele az ügyféladataiba betekintő személyek személyazonosságát, a betekintések pontos időpontját és az adatkezelés célját.

22

2018. augusztus 30‑i válaszában a Pankki S az általános adatvédelmi rendelet 4. cikkének 7. pontja szerinti adatkezelői minőségében megtagadta a betekintést végző alkalmazottak nevének közlését azzal az indokkal, hogy ezek az információk ezen alkalmazottak személyes adatainak minősülnek.

23

A Pankki S azonban ugyanebben a válaszban pontosította, hogy a belső ellenőrzési részlege az utasításai alapján milyen betekintéseket végzett. Ismertette, hogy a bank egyik ügyfele, akinek J. M. ügyféltanácsadója volt, egy olyan személy hitelezője volt, aki szintén J. M. vezetéknevét viseli, ezért tisztázni kívánta, hogy az alapeljárás felperese és a szóban forgó adós egy és ugyanazon személy‑e, és hogy esetleg olyan kapcsolatban állnak‑e, amely összeférhetetlenséget eredményezhet. A Pankki S szerint a kérdés tisztázása J. M. adatainak kezelését is szükségessé tette, és a bank minden egyes alkalmazottja, aki ezeket az adatokat kezelte, nyilatkozatot adott a belső ellenőrzési részlegnek az adatkezelés indokairól. A bank továbbá kijelentette, hogy az adatbetekintéseknek köszönhetően sikerült eloszlatni J. M.‑mel kapcsolatban az összeférhetetlenség gyanúját.

24

J. M. az általános adatvédelmi rendelet 4. cikkének 21. pontja értelmében vett felügyeleti hatósághoz, a Tietosuojavaltuutetun Toimistóhoz (adatvédelmi tisztviselői hivatal, Finnország) fordult azzal, hogy kötelezzék a Pankki S‑t a kért információk továbbítására.

25

2020. augusztus 4‑i határozatával az Apulaistietosuojavaltuutettule (az adatvédelmi tisztviselő helyettese, Finnország) elutasította J. M. kérelmét. Kifejtette, hogy az ilyen kérelem arra irányul, hogy lehetővé tegye számára az adatait kezelő alkalmazottak naplófájljaihoz való hozzáférést, a döntéshozatali gyakorlata szerint azonban az ilyen fájlok nem az érintettre, hanem az érintett adatait feldolgozó alkalmazottakra vonatkozó személyes adatoknak minősülnek.

26

J. M. keresetet nyújtott be a határozattal szemben a kérdést előterjesztő bírósághoz.

27

E bíróság emlékeztet arra, hogy az általános adatvédelmi rendelet 15. cikke előírja az érintett azon jogát, hogy hozzáférést kapjon az adatkezelőtől a rá vonatkozó kezelt adatokhoz, valamint tájékoztatást kapjon többek között az adatkezelés céljairól és az adatok címzettjeiről. A kérdést előterjesztő bíróság arra keresi a választ, hogy az adatkezelési műveletek során keletkezett, ilyen információkat – többek között az adatkezelő alkalmazottainak személyazonosságát – tartalmazó naplófájlok közlése az általános adatvédelmi rendelet 15. cikkének hatálya alá tartozik‑e, mivel ezek a fájlok szükségesnek bizonyulhatnak az érintett számára annak megítéléséhez, hogy az adataival kapcsolatban végzett adatkezelés jogszerű volt‑e.

28

E körülmények között az Itä‑Suomen hallinto‑oikeus (kelet‑finnországi közigazgatási bíróság, Finnország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

29

Előzetesen megvizsgálandó negyedik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendeletnek a 99. cikkének (2) bekezdésével összefüggésben értelmezett 15. cikke alkalmazandó‑e az utóbbi rendelkezésben említett, információkhoz való hozzáférés iránti kérelemre, ha a kérelemmel érintett adatkezelési műveleteket az említett rendelet alkalmazásának kezdőnapját megelőzően végezték, de a kérelmet ezen időpontot követően nyújtották be.

30

A kérdés megválaszolása érdekében meg kell állapítani, hogy 99. cikkének (2) bekezdése értelmében az általános adatvédelmi rendeletet 2018. május 25‑től kell alkalmazni.

31

Márpedig a jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az alapügyben tárgyalt személyesadat‑kezelésre 2013. november 1. és 2013. december 31. között, tehát az általános adatvédelmi rendelet alkalmazásának kezdőnapját megelőzően került sor. Ebből a határozatból mindazonáltal az is kitűnik, hogy J. M. ezen időpontot követően, 2018. május 29‑én nyújtotta be a tájékoztatás iránti kérelmét a Pankki S‑hez.

32

E tekintetben emlékeztetni kell arra, hogy az eljárási szabályokat általában azok hatálybalépésétől kezdve kell alkalmazni, az anyagi jogi szabályokat viszont úgy kell értelmezni, hogy azok a hatálybalépésüket megelőzően keletkezett és véglegesen megszerzett jogi helyzetekre csak annyiban vonatkoznak, amennyiben szövegükből, céljukból és rendszertani elhelyezkedésükből világosan következik, hogy ilyen hatály tulajdonítható nekik (2021. június 15‑iFacebook Ireland és társai ítélet, C‑645/19, EU:C:2021:483, 100. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

33

A jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy J. M. arra irányuló kérelme, hogy közöljék vele az alapügyben szóban forgó információkat, az általános adatvédelmi rendelet 15. cikkének (1) bekezdéséhez kapcsolódik, amely előírja az érintett azon jogát, hogy hozzáférést kaphasson az adatkezelés tárgyát képező, rá vonatkozó személyes adatokhoz, valamint az e rendelkezésben említett információkhoz.

34

Meg kell állapítani, hogy az említett rendelkezés nem vonatkozik az érintett személyes adatait érintő adatkezelés jogszerűségi feltételeire. Az általános adatvédelmi rendelet 15. cikkének (1) bekezdése ugyanis csupán az érintett személy azon jogának terjedelmét pontosítja, hogy hozzáférést kapjon a rendelkezésben foglalt adatokhoz és információkhoz.

35

Ebből következően – amint arra a főtanácsnok az indítványának 33. pontjában rámutatott – az általános adatvédelmi rendelet 15. cikkének (1) bekezdése az érintettek számára eljárási jellegű jogot biztosít arra vonatkozóan, hogy személyes adataik kezeléséről információkat kapjanak. Mint eljárási szabályt, ezt a rendelkezést alkalmazni kell a rendelet alkalmazásának kezdőnapját követően benyújtott hozzáférés iránti kérelmekre, így J. M. kérelmére is.

36

E körülmények között a negyedik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendeletnek a 99. cikkének (2) bekezdésével összefüggésben értelmezett 15. cikkét úgy kell értelmezni, hogy az alkalmazandó az e rendelkezésben említett, információkhoz való hozzáférés iránti kérelemre, ha a kérelemmel összefüggő adatkezelési műveleteket az említett rendelet alkalmazásának kezdőnapját megelőzően végezték, de a kérelmet ezen időpontot követően nyújtották be.

37

Együttesen vizsgálandó első és második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 15. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az érintett személyes adataiba való betekintésekkel kapcsolatos, a betekintések időpontjára és céljaira, valamint a betekintést végző természetes személyek személyazonosságára vonatkozó információk olyan információknak minősülnek, amelyeket az érintett e rendelkezés alapján jogosult megkapni az adatkezelőtől.

38

Elöljáróban emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi (2023. január 12‑iÖsterreichische Post [A személyes adatok címzettjeire vonatkozó információk] ítélet, C‑154/21, EU:C:2023:3, 29. pont).

39

Mindenekelőtt az általános adatvédelmi rendelet 15. cikke (1) bekezdésének szövegét illetően emlékeztetni kell arra, hogy a rendelkezésben foglaltak szerint az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy hozzáférést kapjon az említett személyes adatokhoz, valamint többek között az azon címzettek vagy címzettek kategóriáira vonatkozó információkhoz, akikkel, illetve amelyekkel ezeket a személyes adatokat közölték vagy közölni fogják.

40

E tekintetben hangsúlyozni kell, hogy az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében szereplő fogalmakat a rendelet 4. cikke határozza meg.

41

Így először is az általános adatvédelmi rendelet 4. cikkének 1. pontja szerint a személyes adat fogalmába beletartozik „az azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ”, továbbá e rendelkezés pontosítja, hogy „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.

42

Az, hogy az uniós jogalkotó a „személyes adat” e rendelkezésben szereplő fogalmának meghatározása során a „bármely információ” kifejezést használta, e jogalkotó részéről azt a célt tükrözi, hogy e fogalomnak olyan tág jelentést adjon, amely potenciálisan magában foglal minden típusú információt, legyen az akár objektív, akár vélemény vagy értékelés formájában megjelenő szubjektív információ, feltéve hogy az a szóban forgó személyre „vonatkozik” (2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 23. pont).

43

E tekintetben megállapítást nyert, hogy valamely információ akkor vonatkozik egy azonosított vagy azonosítható természetes személyre, ha az információ a tartalmánál, céljánál vagy hatásánál fogva egy azonosítható személyhez kapcsolódik (2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 24. pont).

44

A személyek „azonosítható” jellegét illetően az általános adatvédelmi rendelet (26) preambulumbekezdése pontosítja, hogy figyelembe kell venni „minden olyan módszert […] – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja”.

45

Ebből következően a „személyes adatok” fogalmának tág meghatározása nem csupán az adatkezelő által megszerzett és tárolt adatokra terjed ki, hanem magában foglalja az azonosított vagy azonosítható személyre vonatkozó személyes adatok kezeléséből származó valamennyi információt is (2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 26. pont).

46

Másodszor, ami az „adatkezelésnek” az általános adatvédelmi rendelet 4. cikkének 2. pontjában meghatározott fogalmát illeti, meg kell állapítani, hogy a „bármely művelet” kifejezés használatával az uniós jogalkotó e fogalomnak tág jelentést kívánt adni, a személyes adatokon vagy adatállományokon végzett műveletek nem kimerítő felsorolását alkalmazva, amely felsorolás magában foglalja többek között a gyűjtést, a rögzítést, a tárolást vagy a betekintést (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 27. pont).

47

Harmadszor, az általános adatvédelmi rendelet 4. cikkének 9. pontja pontosítja, hogy „címzett” alatt „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél‑e”.

48

E tekintetben a Bíróság kimondta, hogy az érintettnek joga van ahhoz, hogy az adatkezelőtől tájékoztatást kapjon azokról a konkrét címzettekről, akikkel a rá vonatkozó személyes adatokat közölték vagy közölni fogják (2023. január 12‑iÖsterreichische Post [A személyes adatok címzettjeire vonatkozó információk] ítélet, C‑154/21, EU:C:2023:3, 46. pont).

49

Következésképpen az általános adatvédelmi rendelet 15. cikke (1) bekezdésének szó szerinti elemzéséből és az ott szereplő fogalmakból az következik, hogy az e rendelkezés által az érintett számára biztosított hozzáférési jog esetében széles a köre azoknak az információknak, amelyeket az adatkezelőnek az érintett számára meg kell adnia.

50

Továbbá az általános adatvédelmi rendelet 15. cikke (1) bekezdésének kontextusát illetően először is emlékeztetni kell arra, hogy e rendelet (63) preambulumbekezdése előírja, hogy minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik, és a személyes adatok címzettjeit.

51

Azt is ki kell emelni, hogy az általános adatvédelmi rendelet (60) preambulumbekezdése kimondja, hogy a tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, és hangsúlyozza, hogy az adatkezelő minden olyan további információt is az érintett rendelkezésére bocsát, amely a tisztességes és átlátható adatkezelés biztosításához szükséges, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. Egyébiránt összhangban a kérdést előterjesztő bíróság által említett átláthatóság elvével, amelyre az általános adatvédelmi rendelet (58) preambulumbekezdése hivatkozik, és amelyet e rendelet 12. cikkének (1) bekezdése kifejezetten rögzít, az érintetthez címzett minden információnak tömörnek, könnyen hozzáférhetőnek és könnyen érthetőnek kell lennie, és azt világosan és közérthetően kell megfogalmazni.

52

E tekintetben az általános adatvédelmi rendelet 12. cikkének (1) bekezdése pontosítja, hogy az adatkezelőnek az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni, kivéve, ha az érintett szóbeli tájékoztatást kér. Ez a rendelkezés, amely az átláthatóság elvének kifejeződése, annak biztosítására irányul, hogy az érintett olyan helyzetben legyen, hogy teljes mértékben megértse a részére megküldött információkat (2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 38. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

53

A fenti rendszertani értelmezésből az következik, hogy az általános adatvédelmi rendelet 15. cikkének (1) bekezdése egyike azon rendelkezéseknek, amelyek célja annak biztosítása, hogy a személyes adatok kezelésének módjai átláthatóak legyenek az érintett számára.

54

Végül az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében biztosított hozzáférési jog terjedelmének ezen értelmezését a rendelet célkitűzései is alátámasztják.

55

Ugyanis, először is, a rendelet – amint azt a (10) és (11) preambulumbekezdése is ismerteti – arra irányul, hogy biztosítsa a természetes személyek következetes és magas szintű védelmét az Unión belül, valamint hogy megerősítse és részletesen meghatározza az érintettek jogait.

56

Ezenkívül, amint az az általános adatvédelmi rendelet (63) preambulumbekezdéséből is kitűnik, a saját személyes adatokhoz és az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében foglalt egyéb információkhoz való hozzáférés joga mindenekelőtt arra irányul, hogy az érintett tudomást szerezzen adatai kezeléséről és ellenőrizhesse annak jogszerűségét. Ugyanezen preambulumbekezdés szerint, és amint az a jelen ítélet 50. pontjában is megállapításra került, ebből az következik, hogy minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik, a személyes adatok címzettjeit, azt, hogy a kezelésük milyen logika alapján történt.

57

E tekintetben másodszor emlékeztetni kell arra, hogy a Bíróság már kimondta, hogy az általános adatvédelmi rendelet 15. cikkében biztosított hozzáférési jognak lehetővé kell tennie az érintett számára, hogy megbizonyosodjon arról, hogy a rá vonatkozó személyes adatok helyesek, és azokat jogszerűen kezelik (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 34. pont).

58

Különösen, e hozzáférési jog szükséges ahhoz, hogy az érintett adott esetben gyakorolhassa a helyesbítéshez való jogát, a törléshez való jogát („az elfeledtetéshez való jog”) és az adatkezelés korlátozásához való jogát, amely jogokat az általános adatvédelmi rendelet 16., 17., illetve 18. cikke biztosítja számára, továbbá a személyes adatok kezelése elleni tiltakozáshoz való, az általános adatvédelmi rendelet 21. cikkében biztosított jogát, valamint az általános adatvédelmi rendelet 79. és 82. cikkében biztosított kártérítési igényét, amennyiben kár érte (2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 35. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

59

Következésképpen az általános adatvédelmi rendelet 15. cikkének (1) bekezdése egyike azon rendelkezéseknek, amelyek célja annak biztosítása, hogy a személyes adatok kezelésének módjai átláthatóak legyenek az érintett számára (2023. január 12‑iÖsterreichische Post [A személyes adatok címzettjeire vonatkozó információk] ítélet, C‑154/21, EU:C:2023:3, 42. pont), amely átláthatóság nélkül az érintett nem tudná megítélni az adatkezelés jogszerűségét, és lehetővé teszi számára, hogy gyakorolja a többek között a rendelet 16–18., 21., 79. és 82. cikkében előírt előjogokat.

60

A jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy J. M. arra kérte a Pankki S‑t, hogy közölje vele a személyes adataival kapcsolatban 2013. november 1. és 2013. december 31. között történt betekintési műveletekre irányuló, a betekintések időpontjára, céljaira és a betekintéseket végző személyek személyazonosságára vonatkozó információkat. A kérdést előterjesztő bíróság jelzi, hogy az említett műveletek során keletkezett naplófájlok továbbítása lehetővé teszi J. M. kérelmének teljesítését.

61

E tekintetben meg kell állapítani, hogy nem vitatott, hogy az alapeljárás felperesének személyes adataival kapcsolatos betekintési műveletek az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek” minősülnek, így e rendelet 15. cikkének (1) bekezdése értelmében nemcsak az e személyes adatokhoz való hozzáférésre, hanem az utóbbi rendelkezésben említett, e műveletekkel kapcsolatos információk vele való közlésére is jogot keletkeztetnek.

62

Ami a J. M. által kért információkat illeti, mindenekelőtt a betekintési műveletek időpontjainak közlése alkalmas arra, hogy az érintett visszajelzést kapjon arról, hogy személyes adatait egy adott időpontban ténylegesen kezelték. Ezenkívül, mivel a jogszerűségre vonatkozóan az általános adatvédelmi rendelet 5. és 6. cikkében előírt feltételeknek az adatkezelés időpontjában kell teljesülniük, ez az időpont olyan tényezőnek minősül, amely lehetővé teszi az adatkezelés jogszerűségének ellenőrzését. Továbbá meg kell állapítani, hogy a rendelet 15. cikke (1) bekezdésének a) pontja kifejezetten említi az adatkezelések céljaival kapcsolatos tájékoztatást. Végül az említett rendelet 15. cikke (1) bekezdésének c) pontja előírja, hogy az adatkezelő tájékoztatja az érintettet azokról a címzettekről, akikkel az adatait közölték.

63

Ami konkrétan ezen információk összességének az alapügyben szereplő adatkezelési műveletekre vonatkozó naplófájlok kiadásával történő közlését illeti, meg kell állapítani, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatában foglaltak szerint az adatkezelő „az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja”.

64

E tekintetben a Bíróság már kimondta, hogy az itt alkalmazott „másolat” kifejezés az eredeti reprodukcióját vagy szöveghű átírását jelöli, vagyis a kezelés tárgyát képező adatok tisztán általános leírása vagy a személyes adatok kategóriáira való utalás nem felel meg e fogalommeghatározásnak. Ezenkívül e rendelet 15. cikke (3) bekezdésének első mondatából kitűnik, hogy a közlési kötelezettség a szóban forgó adatkezelés tárgyát képező személyes adatokhoz kapcsolódik (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 21. pont).

65

Az adatkezelés tárgyát képező személyes adatok másolatának – amelyet az adatkezelő köteles kiadni – rendelkeznie kell minden olyan jellemzővel, amely lehetővé teszi az érintett számára az említett rendelet szerinti jogainak tényleges gyakorlását, következésképpen pedig e másolatnak teljes egészében és változatlanul kell reprodukálnia ezen adatokat (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 32. és 39. pont).

66

Annak biztosítása érdekében, hogy az így szolgáltatott információk könnyen érthetőek legyenek – mint azt az általános adatvédelmi rendeleten belül az (58) preambulumbekezdéssel összefüggésben értelmezett 12. cikk (1) bekezdése megköveteli –, elengedhetetlennek bizonyulhat olyan dokumentumkivonatok, sőt egész dokumentumok, vagy akár olyan adatbázis‑kivonatok reprodukciója, amelyek többek között az adatkezelés tárgyát képező személyes adatokat tartalmazzák, amennyiben a kezelt adatok kontextuálissá tétele szükséges azok érthetőségének biztosításához. Különösen, ha a személyes adatokat más adatokból kiindulva állítják elő, vagy ha ezek az adatok szabad szövegmezőkből származnak, vagyis nincs olyan jelzés, amely az érintettre vonatkozó információt tárna fel, akkor ezen adatok kezelésének kontextusa elengedhetetlen elemnek minősül ahhoz, hogy az érintett számára lehetővé váljon az ezen adatokhoz való átlátható hozzáférés, továbbá hogy ezen adatok megjelenítése érthető legyen (2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 41. és 42. pont).

67

A jelen ügyben, amint arra a főtanácsnok az indítványának 88–90. pontjában rámutatott, a J. M. által kért információkat tartalmazó naplófájlok az általános adatvédelmi rendelet 30. cikke értelmében vett tevékenység‑nyilvántartásnak felelnek meg. Úgy kell tekinteni, hogy azok a rendelet (74) preambulumbekezdésében említett, az adatkezelő által végrehajtott azon intézkedések közé tartoznak, amelyek lehetővé teszik annak igazolását, hogy az adatkezelési tevékenységek megfelelnek az említett rendeletnek. Ugyanezen rendelet 30. cikkének (4) bekezdése azt írja elő, hogy azokat megkeresés alapján a felügyeleti hatóság részére rendelkezésére kell bocsátani.

68

Amennyiben ezek a tevékenység‑nyilvántartások nem tartalmaznak a jelen ítélet 42. és 43. pontjában ismertetett ítélkezési gyakorlat értelmében azonosított vagy azonosítható természetes személyre vonatkozó információt, csupán azt teszik lehetővé az adatkezelő számára, hogy teljesítse a megkereső felügyeleti hatósággal szembeni kötelezettségeit.

69

Konkrétan az adatkezelő naplófájljait illetően az azokban szereplő információk másolatának közlése szükségesnek bizonyulhat azon kötelezettség teljesítéséhez, hogy az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében említett valamennyi információhoz való hozzáférést biztosítsák az érintett számára, valamint hogy biztosítsák a tisztességes és átlátható adatkezelést, lehetővé téve ezáltal az érintett számára az általános adatvédelmi rendeletből eredő jogainak teljes körű érvényesítését.

70

Ugyanis, először is, a naplófájlokból kiderül az adatkezelés fennállása, amely olyan információnak minősül, amelyhez az érintettnek az általános adatvédelmi rendelet 15. cikkének (1) bekezdése értelmében hozzáférést kell kapnia. Ezenkívül tájékoztatást adnak a betekintési műveletek gyakoriságáról és intenzitásáról, lehetővé téve ezáltal az érintett számára, hogy megbizonyosodjon arról, hogy az elvégzett adatkezelést valóban az adatkezelő által megjelölt célok indokolják.

71

Másodszor, a naplófájlok tartalmazzák a betekintési műveleteket végző személyek személyazonosságára vonatkozó információkat.

72

A jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az alapeljárás tárgyát képező betekintési műveleteket végző személyek a Pankki S alkalmazottai, akik a Pankki S irányítása alatt és utasításainak megfelelően jártak el.

73

Bár az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontjából kétségtelenül az következik, hogy az érintett jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon azokról a címzettekről vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, az adatkezelő alkalmazottai nem tekinthetők az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontja értelmében vett, a jelen ítélet 47. és 48. pontjában ismertetett „címzetteknek”, amennyiben az adatkezelő irányítása alatt és utasításainak megfelelően kezelnek személyes adatokat, amint arra a főtanácsnok az indítványának 63. pontjában rámutatott.

74

E tekintetben hangsúlyozni kell, hogy az általános adatvédelmi rendelet 29. cikkének megfelelően az adatkezelő irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti.

75

Mindemellett a naplófájlokban szereplő, az érintett személyes adataiba való betekintést végző személyekre vonatkozó információk a jelen ítélet 41. pontjában említett, az általános adatvédelmi rendelet 4. cikkének 1. pontjában szereplő olyan információknak minősülhetnek, amelyek lehetővé tehetik az érintett számára, hogy ellenőrizze az adatait érintő adatkezelés jogszerűségét és különösen, hogy meggyőződjön arról, hogy az adatkezelési műveleteket ténylegesen az adatkezelő irányítása alatt és utasításainak megfelelően végezték.

76

Mindazonáltal először is az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az alapügyben szereplőkhöz hasonló naplófájlokban szereplő információk lehetővé teszik azon alkalmazottak azonosítását, akik adatkezelési műveleteket végeztek, és ezen alkalmazottaknak az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett személyes adatait tartalmazzák.

77

E tekintetben emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 15. cikkében előírt hozzáférési jogot illetően e rendelet (63) preambulumbekezdése pontosítja, hogy „[e]z a jog nem érintheti hátrányosan mások jogait és szabadságait”.

78

Az általános adatvédelmi rendelet (4) preambulumbekezdése alapján ugyanis a személyes adatok védelméhez való jog nem abszolút jog, mivel azt a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal (lásd ebben az értelemben: 2020. július 16‑iFacebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 172. pont).

79

Márpedig, még ha feltételezzük is, hogy az adatkezelő alkalmazottainak személyazonosságára vonatkozó információk érintettel való közlése szükségesnek bizonyulhat ahhoz, hogy az érintett meggyőződjön személyes adatai kezelésének jogszerűségéről, sértheti az alkalmazottak jogait és szabadságait.

80

E körülmények között az egyrészt az általános adatvédelmi rendelet által az érintett számára elismert jogok hatékony érvényesülését biztosító hozzáférési jog gyakorlása, másrészt pedig mások jogai vagy szabadságai közötti összeütközés esetén mérlegelni kell a szóban forgó jogokat és szabadságokat. Ahol lehetséges, olyan módot kell választani, amely nem sérti mások jogait vagy szabadságait, de szem előtt kell tartani, hogy e megfontolások „nem eredményezhetik azt, hogy az érintettől minden információt megtagad[ja]nak”, mint az az általános adatvédelmi rendelet (63) preambulumbekezdéséből kitűnik (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 44. pont).

81

Másodszor azonban meg kell jegyezni, hogy az előzetes döntéshozatalra utaló határozatból kitűnik, hogy J. M. nem a Pankki S. azon alkalmazottainak személyazonosságára vonatkozó információk közlését kéri, akik a személyes adataiba való betekintést végezték, arra hivatkozva, hogy azok valójában nem az adatkezelő irányítása alatt és utasításainak megfelelően jártak el, hanem úgy tűnik, kételkedik a betekintések céljára vonatkozóan a Pankki S. által közölt információk valóságtartalmában.

82

Ilyen körülmények között, ha az érintett úgy ítélné meg, hogy az adatkezelő által közölt információk nem elegendőek ahhoz, hogy eloszlassák a személyes adataival kapcsolatos adatkezelés jogszerűségét illetően felmerült kétségeit, az általános adatvédelmi rendelet 77. cikkének (1) bekezdése alapján panaszt nyújthat be a felügyelő hatósághoz, az pedig a rendelet 58. cikke (1) bekezdésének a) pontja értelmében jogosult arra, hogy az adatkezelőtől bekérje a rendelkezésére álló összes olyan információt, amely az érintett panaszának elbírálásához szükséges.

83

A fenti megfontolásokból az következik, hogy az általános adatvédelmi rendelet 15. cikkének (1) bekezdését úgy kell értelmezni, hogy az érintett személyes adataiba való betekintésekkel kapcsolatos, a betekintések időpontjára és céljaira vonatkozó információk olyan információknak minősülnek, amelyeket az érintett e rendelkezés alapján jogosult megkapni az adatkezelőtől. Az említett rendelkezés ezzel szemben nem biztosít ilyen jogot az adatkezelő azon alkalmazottainak személyazonosságára vonatkozó információk tekintetében, akik a betekintéseket az adatkezelő irányítása alatt és utasításainak megfelelően végezték, kivéve ha ezen információk elengedhetetlenek ahhoz, hogy az érintettnek lehetővé tegyék a rendelet által részére biztosított jogok tényleges gyakorlását, azzal a feltétellel, hogy figyelembe veszik ezen alkalmazottak jogait és szabadságait is.

84

Az előterjesztő bíróság harmadik kérdése lényegében arra irányul, hogy az a körülmény, hogy egyrészt az adatkezelő szabályozott feladat keretében banki tevékenységet folytat, másrészt pedig az a személy, akinek az adatkezelő ügyfeleként a személyes adatait kezelték, az adatkezelő munkavállalója is volt, releváns‑e az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében számára elismert hozzáférési jog terjedelmének meghatározása szempontjából.

85

Elöljáróban hangsúlyozni kell, hogy az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében előírt hozzáférési jog hatályát illetően a rendelet egyetlen rendelkezése sem tesz különbséget az adatkezelő tevékenységeinek jellege vagy azon személy jogállása alapján, akinek a személyes adatait kezelik.

86

Ami egyrészt a Pankki S tevékenységének szabályozott jellegét illeti, az általános adatvédelmi rendelet 23. cikke kétségtelenül lehetővé teszi a tagállamok számára, hogy jogalkotási intézkedések útján korlátozzák a többek között a rendelet 15. cikkében foglalt kötelezettségek és jogok hatályát.

87

Az előzetes döntéshozatalra utaló határozatból azonban nem tűnik ki, hogy a Pankki S tevékenységére ilyen jogszabály vonatkozna.

88

Másrészt, ami azt a körülményt illeti, hogy J. M. egyidejűleg a Pankki S ügyfele és munkavállalója is volt, meg kell állapítani, hogy – a jelen ítélet 49. és 55–59. pontjában ismertetettek szerint – az általános adatvédelmi rendelet célkitűzéseire, valamint az érintettet megillető, hozzáférési jog terjedelmére is tekintettel az a kontextus, amelyben az érintett az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében említett információkhoz kér hozzáférést, nem befolyásolhatja e jog terjedelmét.

89

Következésképpen az általános adatvédelmi rendelet 15. cikkének (1) bekezdését úgy kell értelmezni, hogy az a körülmény, hogy az adatkezelő szabályozott feladat keretében banki tevékenységet folytat, és hogy az a személy, akinek az adatkezelő ügyfeleként a személyes adatait kezelték, az adatkezelő munkavállalója is volt, főszabály szerint nem befolyásolja az e személyt e rendelkezés alapján megillető jog terjedelmét.

90

Mivel ez az eljárás az alapügyben részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság a következőképpen határozott: