1.

Egy pénzügyi szervezet alkalmazottja és egyidejűleg ügyfele arra kérte e pénzügyi szervezetet, hogy tájékoztassa őt azon személyek személyazonosságáról, akik egy belső vizsgálat keretében betekintettek a személyes adataiba. Miután a szervezet megtagadta tőle ezt a tájékoztatást, a megfelelő jogorvoslati lehetőségeket igénybe véve az Itä‑Suomen hallinto‑oikeushoz (kelet‑finnországi közigazgatási bíróság) fordult.

2.

Az említett bíróság az (EU) 2016/679 rendelet ( 2 ) értelmezésére irányuló előzetes döntéshozatal iránti kérelmet nyújtott be a Bírósághoz. E kérelem megválaszolása során a Bíróságnak az érintett meghatározott személyes adatai kezelésével kapcsolatos információkhoz való hozzáférési jogáról kell döntenie.

3.

A (11) preambulumbekezdés megállapítja:

„Ahhoz, hogy a személyes adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges, ugyanakkor pedig az egyes tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskört is biztosítani szükséges, és a jogsértőkre azonos szankciókat kell alkalmazni.”

4.

A 4. cikk („Fogalommeghatározások”) kimondja:

„E rendelet alkalmazásában:

5.

A 15. cikk („Az érintett hozzáférési joga”) (1) bekezdése a következőképpen szól:

„Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

6.

A 24. cikk („Az adatkezelő feladatai”) (1) bekezdése értelmében:

„Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.”

7.

A 25. cikk („Beépített és alapértelmezett adatvédelem”) (2) bekezdése alapján:

„Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.”

8.

A 29. cikk („Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés”) rögzíti:

„Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.”

9.

A 30. cikk („Az adatkezelési tevékenységek nyilvántartása”) előírja:

„(1)   Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

[…]

(2)   Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

(3)   Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

(4)   Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti hatóság részére rendelkezésére bocsátja a nyilvántartást.

(5)   Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok […] különleges kategóriáinak vagy a […] büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.”

10.

Az 58. cikk („Hatáskörök”) (1) bekezdése a következőképpen szól:

„A felügyeleti hatóság vizsgálati hatáskörében eljárva:

[…].”

11.

A 30. § szerint a munkavállalók személyes adatainak kezelésére, a munkavállalók esetében elvégzendő vizsgálatokra és ellenőrzésekre és az ezek során betartandó követelményekre, valamint a munkahelyi technikai ellenőrzésre és a munkavállalók e‑mailjeinek letöltésére és megnyitására vonatkozó rendelkezéseket a Laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ) tartalmazza.

12.

A 34. § első bekezdése értelmében az érintett nem jogosult arra, hogy az általános adatvédelmi rendelet 15. cikkével összhangban hozzáférést kapjon a róla gyűjtött adatokhoz, ha

13.

A 34. § második bekezdése értelmében abban az esetben, ha az első bekezdés alapján az adatoknak csak egy részére nem terjed ki az általános adatvédelmi rendelet 15. cikkében szabályozott jog, az érintett jogosult arra, hogy hozzáférést kapjon a rá vonatkozó összes többi adathoz.

14.

A 34. § harmadik bekezdése szerint az érintettet tájékoztatni kell a korlátozás indokairól, feltéve, hogy ez nem veszélyezteti a korlátozás célját.

15.

A 34. § negyedik bekezdése szerint az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében említett adatokat az érintett kérésére az adatvédelmi biztos helyettesének rendelkezésére kell bocsátani, amennyiben az érintett nem jogosult hozzáférni a róla gyűjtött adatokhoz.

16.

A 2. szakasz 4. §‑ának második bekezdése értelmében a munkáltató köteles a munkavállalót előzetesen tájékoztatni a megbízhatóságának megállapítására szolgáló adatok beszerzéséről. A munkavállaló hitelképességének ellenőrzésekor a munkáltatónak arról is tájékoztatnia kell a munkavállalót, hogy a hitelinformációk melyik nyilvántartásból származnak. Ha a munkavállalóra vonatkozó adatokat a munkavállalótól eltérő személytől gyűjtötték, a munkáltatónak közölnie kell a munkavállalóval a kapott adatokat, mielőtt azokat a munkavállalót érintő döntések meghozatala során felhasználná. Az adatkezelő arra vonatkozó kötelezettségeit, hogy adatokat bocsásson az érintett rendelkezésére, és az érintettnek az adatokhoz való hozzáféréshez való jogát az általános adatvédelmi rendelet III. fejezete szabályozza.

17.

2014‑ben J. M. tudomást szerzett arról, hogy 2013. november 1. és december 31. között a Suur‑Savon Osuuspankki (a továbbiakban: Pankki) pénzügyi szervezet ügyfeleként személyes adataiba betekintettek. J. M. ebben az időszakban a Pankkinak nemcsak ügyfele, hanem alkalmazottja is volt.

18.

2018. május 29‑én – mivel gyanította, hogy a betekintés indokai nem voltak teljes mértékben jogszerűek – J. M. arra kérte a Pankkit, hogy tájékoztassa őt azon alkalmazottak személyazonosságáról, akik az adataihoz a fent említett időszakban hozzáfértek, valamint az adatkezelés céljáról.

19.

A Pankki időközben elbocsátotta J. M.‑et, aki többek között azzal indokolta kérelmét, hogy tisztázni szeretné elbocsátásának indokait.

20.

2018. augusztus 30‑án a Pankki adatkezelői minőségében megtagadta azon alkalmazottak nevének J. M.-mel való közlését, akik J. M. ügyféladatait kezelték. Azzal érvelt, hogy az általános adatvédelmi rendelet 15. cikkében foglalt jog nem vonatkozik azon napi nyilvántartásokra vagy belső naplókra, amelyek rögzítik, hogy mely alkalmazottak és mikor férhettek hozzá az ügyféladatokat tartalmazó számítógépes rendszerhez. Ráadásul a kért információ az említett alkalmazottak, nem pedig J. M. személyes adataira vonatkozott.

21.

A félreértések elkerülése érdekében a Pankki az alábbiakban ismertetett további magyarázatokkal szolgált J. M.‑nek:

22.

J. M. a nemzeti felügyeleti hatósághoz (az adatvédelmi biztos helyettesének hivatala, Finnország) fordult, és azt kérte, hogy e hatóság utasítsa a Pankkit a kért tájékoztatás megadására.

23.

2020. augusztus 4‑én az adatvédelmi biztos helyettese elutasította J. M. kérelmét.

24.

J. M. keresetet nyújtott be az Itä‑Suomen hallinto‑oikeushoz (kelet‑finnországi közigazgatási bíróság), amelyben azzal érvelt, hogy az általános adatvédelmi rendelet alapján jogosult tájékoztatást kapni arról, hogy a pénzügyi szervezetnél kik és milyen minőségben tekintettek be az adataiba.

25.

Ezzel összefüggésben az említett bíróság a következő kérdéseket terjesztette a Bíróság elé:

26.

Az előzetes döntéshozatal iránti kérelmet 2021. szeptember 22‑én vették nyilvántartásba a Bíróságnál.

27.

J. M., a Pankki, az osztrák, a cseh és a finn kormány, valamint az Európai Bizottság írásbeli észrevételeket nyújtott be.

28.

A 2022. október 12‑i tárgyaláson J. M., az adatvédelmi biztos helyettesének hivatala, a Pankki, a finn kormány és a Bizottság jelent meg.

29.

Mivel a kérdést előterjesztő bíróság az általános adatvédelmi rendelet több rendelkezésének értelmezését kéri, először is azt kell megvizsgálni, hogy az említett rendelet időbeli hatálya alapján alkalmazandó‑e az alapügyre. Az előzetes döntéshozatalra előterjesztett negyedik kérdés e kétségre vonatkozik.

30.

Az általános adatvédelmi rendelet, 99. cikkének (1) bekezdése értelmében, 2016. május 24‑én lépett hatályba. Alkalmazhatóságát azonban 2018. május 25‑re halasztották. ( 6 )

31.

J. M. személyes adatainak vizsgálatára 2013. november 1. és december 31. között, vagyis az általános adatvédelmi rendelet hatálybalépése és alkalmazása előtt került sor.

32.

A jelen ügyben releváns időpont azonban 2018. május 29., amikor J. M. a – 2018. május 25‑től alkalmazandó – általános adatvédelmi rendelet 15. cikkének (1) bekezdésére hivatkozva a szóban forgó információkat kérte.

33.

Amint azt az osztrák kormány hangsúlyozta, az általános adatvédelmi rendelet 15. cikkének (1) bekezdése az érintettek számára eljárási jellegű jogot (hozzáférési jog) biztosít arra vonatkozóan, hogy személyes adataik kezeléséről információkat kapjanak. ( 7 ) Az ilyen jellegű szabály a hatálybalépése időpontjától alkalmazandó. ( 8 ) J. M. ezért hivatkozhatott rá, amikor a Pankkitól információkat kért.

34.

Az általános adatvédelmi rendelet hatálybalépése előtt beszerzett adatok kezelésének jogszerűségét természetesen az akkor hatályos anyagi jogi szabályok, nevezetesen a 95/46/EK irányelv ( 9 ) és – amennyiben visszamenőlegesen alkalmazandó – az általános adatvédelmi rendelet fényében kell értékelni. ( 10 )

35.

Mivel nem vitatott, hogy a kért információk az adatkezelő birtokában voltak, amikor J. M. az azokhoz való hozzáférést kérte (ami az általános adatvédelmi rendelet 15. cikkének (1) bekezdése által biztosított jog), ez utóbbi rendeletet kellett alkalmazni. ( 11 )

36.

Ennek következtében az a tény, hogy a szóban forgó adatokat az általános adatvédelmi rendelet hatálybalépése előtt kezelték, nem releváns az érintett által az általános adatvédelmi rendelet 15. cikkének (1) bekezdése alapján kért információkhoz való hozzáférés vagy azok megtagadása szempontjából.

37.

Az előzetes döntéshozatalra előterjesztett első és második kérdés együttesen vizsgálható. Az általuk felvetettkétség lényegében azzal kapcsolatos, hogy J. M.‑nek a Pankki által gyűjtött és kezelt személyes adatai vajon egybeesnek‑e azokkal az információkkal, amelyekhez az érintett az általános adatvédelmi rendelet 15. cikkének (1) bekezdése alapján jogosult hozzáférni.

38.

Emlékeztetek arra, hogy a J. M. által kért információk azon alkalmazottak személyazonosságára vonatkoztak, akik 2013‑ban betekintettek az ő ügyféladataiba, valamint arra, hogy mikor és milyen célból került sor az adatkezelésre.

39.

A tárgyaláson megerősítést nyert, hogy J. M. a kérelmét az említett alkalmazottak személyazonosságának megismerésére korlátozta. A jogvitában konkrétan nem vitatott, hogy az adatainak a bank általi kezelése jogszerűen történt. ( 12 )

40.

Márpedig:

41.

A vita ezért kizárólag a Pankki azon alkalmazottai személyazonosságára vonatkozó információkra összpontosul, akik J. M. személyes adatait kezelték.

42.

Valójában ezek az információk az adatkezelési műveletek részleteire vonatkoznak, nem pedig az érintettnek az általános adatvédelmi rendelet 4. cikkének 1. pontja szerinti – szűkebb értelemben vett – személyes adataira. ( 14 )

43.

Egyértelmű, hogy az a személy, akinek az adataiba betekintettek, J. M. volt. ( 15 ) Miután J. M. az adatai kezelésére vonatkozóan visszajelzést kapott a Pankkitól, ( 16 ) az általános adatvédelmi rendelet 15. cikkének (1) bekezdése alapján az említett rendelkezés a)–h) pontjaiban felsorolt információkhoz volt jogosult hozzáférni. ( 17 ) Ennek biztosítása elősegíti az érintettek jogainak az adatkezelés jogszerűségét biztosító mechanizmusok keretében történő gyakorlását. ( 18 )

44.

Az általános adatvédelmi rendelet 15. cikkének (1) bekezdéséből következik, hogy az említett információk az adatkezelés körülményeire vonatkoznak.

45.

Az általános adatvédelmi rendelet 15. cikkének (1) bekezdése ugyanis biztosítja az érintett számára azt a jogot, hogy az adatkezelőtől megkapja:

46.

A rendelkezés különbséget tesz egyrészt a „személyes adatok”, másrészt az (1) bekezdés pontjaiban hivatkozott „információk” között.

47.

Az érintettnek az általános adatvédelmi rendelet 15. cikke (1) bekezdésének a)–h) pontjai alapján nyújtandó információk ezért nem téveszthetők össze az érintettnek az általános adatvédelmi rendelet 4. cikkének 1. pontja szerinti személyes adataival.

48.

Természetesen nem adatokról, hanem a következőkre vonatkozó információkról van szó:

49.

Az információk valamennyi fent említett esetben az érintett meghatározott jogaira, vagy különösen az elvégzett adatkezeléssel kapcsolatos elemekre – mint annak célja (ami éppúgy oka is) és tárgya (a kezelt adatok kategóriái) – vonatkoznak.

50.

Az azon címzettekre vonatkozó információk, akikkel az érintett személyes adatait közölték vagy közölni fogják (az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontja) további fogalmi problémákat vet fel, amelyekkel rögtön ezt követően foglalkozom majd.

51.

Az általános adatvédelmi rendelet 15. cikkének (1) bekezdése – röviden összefoglalva – a magára az adatkezelés tényére és annak körülményeire vonatkozó információkhoz való jogról rendelkezik. Ezen információk kiegészülnek az érintettnek a kezelt adatokkal kapcsolatos jogaira – mint a felügyeleti hatósághoz címzett panasz benyújtásának joga – vonatkozó információkkal.

52.

Az adatkezelés puszta ténye és annak körülményei véleményem szerint nem minősülnek az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett „személyes adatnak”.

53.

Igaz, hogy az adatkezelés olyan döntéseket eredményezhet, amelyek kihatnak az érintettre, amint arra a kérdést előterjesztő bíróság rámutatott. ( 21 ) Ez az eredmény azonban nem függ attól, hogy a Pankki nevében és felelőssége mellett konkrétan mely természetes személy vagy személyek vizsgálták az adatokat, ami az alapügyben kérdéses információ.

54.

J. M. ez alapján jogosult arra, hogy a Pankki – mint adatkezelő – tájékoztassa őt a birtokában lévő, magától J. M.‑től (az általános adatvédelmi rendelet 13. cikke), vagy más módon megszerzett (az általános adatvédelmi rendelet 14. cikke) személyes adatokról. Jogosult – ez esetben az általános adatvédelmi rendelet 15. cikke alapján – arra is, hogy információkat kapjon az említett adatokra vonatkozó valamennyi adatkezelés tényéről és körülményeiről, de nem azért, mert ez utóbbi önmagában véve „személyes adatnak” minősül, hanem az általános adatvédelmi rendelet 15. cikkének kifejezett előírása miatt. ( 22 )

55.

A későbbiekben részletesebben kifejtetteket előrevetítve, a jelen ügyben releváns körülmény, hogy a J. M. adataiba betekintő alkalmazottak személyazonossága nem minősül J. M. „személyes adatának”.

56.

Más a helyzet viszont, amikor az általam később hivatkozott naplók vagy nyilvántartások az érintett személyes adatait – nem pedig az azokhoz korábban hozzáférő alkalmazottakra történő utalást – közvetlenül vagy közvetve tartalmazzák. Az, hogy ez így van‑e, nagymértékben függ a vonatkozó naplók vagy nyilvántartások tartalmától. Mivel azonban – ismétlem – az alapügy a Pankki alkalmazottainak személyazonosságára korlátozódik, ezek az adatok nem J. M.‑nek, hanem maguknak az alkalmazottaknak a személyes adatai.

57.

A kérdést előterjesztő bíróság azt szeretné megtudni, hogy – még akkor is, ha azok nem minősülnek J. M. személyes adatainak – J. M. az általános adatvédelmi rendelet 15. cikke (1) bekezdésének a) és c) pontja alapján jogosult‑e arra, hogy a Pankkitól információkat kapjon azon alkalmazottakra vonatkozóan, akik a személyes adatait kezelték.

58.

Az a) pont alapján az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon az adatkezelés céljairól. Ez a pont (amelyet a jelen ügyben tiszteletben tartottak, mivel a Pankki tájékoztatta J. M.‑et az adatkezelés céljáról) azonban nem rendelkezik feltételekről annak megállapítására, hogy kik az érintett személyes adatainak címzettjei.

59.

A kérdés ellenben teljesen logikus, amennyiben az általános adatvédelmi rendelet 15. cikke (1) bekezdése c) pontjának értelmezésére irányul. Emlékeztetek arra, hogy e cikk szerint az érintett jogosult arra, hogy információkat kapjon „azon címzettek[ről] vagy címzettek kategóriái[ról], akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják […]”.

60.

Az általános adatvédelmi rendelet 4. cikkének 9. pontja viszont a „címzett” fogalmát a következőképpen határozza meg: „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél‑e”.

61.

Ez az utolsó albekezdés („függetlenül attól, hogy harmadik fél‑e”) a rendelkezés szubjektív hatályát illetően félreértésekhez vezethet, amint arra a tárgyaláson is felhívták a figyelmet. A felületes – és véleményem szerint téves – értelmezés alapján úgy tűnhet, hogy nemcsak bármely olyan harmadik személy lehet „címzett”, akivel a Pankki J. M. személyes adatait közölte, hanem valamennyi alkalmazott, aki az említett adatokba konkrétan a Pankki mint jogi személy nevében és helyett betekint.

62.

Az általános adatvédelmi rendelet 4. cikkének 10. pontjában szereplő meghatározás alapján a „harmadik fél”„az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak”. ( 23 )

63.

Ezen előfeltevések alapján úgy vélem, hogy a címzett fogalma nem foglalja magában a jogi személy azon alkalmazottjait, akik a jogi személy számítógépes rendszerét használva a jogi személy igazgatóságának utasításai alapján valamely ügyfél személyes adataiba betekintenek. Amikor ezek az alkalmazottak az adatkezelő közvetlen irányítása alatt járnak el, önmagában e tény alapján nem minősülnek az adatok „címzett[jeinek]”. ( 24 )

64.

Előfordulhat azonban, hogy valamely alkalmazott nem tartja be az adatkezelő által meghatározott eljárásokat, és az ügyfelek vagy más alkalmazottak adataihoz saját kezdeményezésére jogellenesen fér hozzá. Ebben az esetben a jogellenesen eljáró alkalmazott nem az adatkezelő nevében járt el.

65.

Ennyiben a jogellenesen eljáró alkalmazott olyan „címzett[nek]” minősülhet, akivel az érintett személyes adatait saját maga által – tehát jogellenesen –, ( 25 ) vagy (önálló) adatkezelőként „közölték” (képletesen szólva). ( 26 )

66.

Az előzetes döntéshozatalra utaló határozatban szereplő tényállás leírásából és a Pankki által a tárgyaláson előadott érvekből az következik, hogy e szervezet saját felelősségére felhatalmazta az alkalmazottjait arra, hogy J. M. személyes adataiba betekintsenek. Ezek az alkalmazottak tehát az adatkezelő utasításait követték, és az ő nevében jártak el. Ennek következtében nem minősülhetnek az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontja értelmében vett címzetteknek. ( 27 )

67.

Más kérdés, ha ezen alkalmazottak azonosítását és azon időpont megjelölését, amikor valamelyikük hozzáfért az ügyfél személyes adataihoz (azaz a nyilvántartási rendszerben vagy nyilvántartásban szereplő adatok tartalmához, amelyekkel rögtön ezt követően foglalkozom majd), eljárásuk jogszerűségének ellenőrzése érdekében a felügyeleti hatóságok rendelkezésére kell bocsátani.

68.

Ezt az általános adatvédelmi rendelet 29. cikke is alátámasztja, amikor „az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy[ekre]” hivatkozik. Ezek a személyek csak a munkáltatójuk – a tényleges adatkezelő (vagy adatfeldolgozó) – utasítására kezelhetnek ilyen adatokat.

69.

Az általános adatvédelmi rendelet 15. cikke (1) bekezdésének célja, hogy az érintett a személyes adataival kapcsolatos jogait hatékonyan gyakorolhassa (megvédhesse). Ezért őt tájékoztatni kell arról, hogy ki az adatkezelő, és adott esetben arról, hogy az adatokat mely címzettekkel közölték. E tájékoztatást követően az érintett az adatkezelőn kívül az adatairól tudomást szerző címzettekhez is fordulhat.

70.

Természetesen az érintettnek felmerülhetnek kétségei azzal kapcsolatban, hogy jogszerű‑e meghatározott személyeknek az adatkezelő vagy adatfeldolgozó nevében és felügyelete mellett végzett adatkezelésben való részvétele.

71.

Ebben a helyzetben – amint arra a cseh kormány és a Bizottság is rámutatott a tárgyalás során – az érintett panasszal fordulhat az adatvédelmi tisztviselőhöz (az általános adatvédelmi rendelet 38. cikkének (4) bekezdése) vagy a felügyeleti hatósághoz (az általános adatvédelmi rendelet 15. cikke (1) bekezdésének f) pontja és 77. cikke). Másfelől az érintett nem jogosult azon alkalmazott személyes adatának (a személyazonosságára vonatkozó adatnak) közvetlen megszerzésére, aki – mivel az adatkezelőnek vagy az adatfeldolgozónak alá van rendelve – főszabály szerint az adatkezelő vagy az adatfeldolgozó utasításai szerint jár el.

72.

A tárgyaláson megvitatásra került, hogy az adatvédelmi tisztviselőhöz vagy a felügyeleti hatósághoz való fordulás lehetősége elegendő garanciát jelent‑e azon személy jogainak védelme szempontjából, akinek az adatait kezelték.

73.

E vita lezárását követően lehetővé válik egy kiterjesztő álláspont elfogadása, amely szerint valamennyi érintett jogosult megismerni az adatkezelő azon alkalmazottainak személyazonosságát, akik az adataihoz – akár az adatkezelő utasításai alapján és irányítása alatt – hozzáfértek.

74.

Úgy vélem, hogy az általános adatvédelmi rendelet nem támaszt alá egy ilyen elképzelést, ami azonban nem zárja ki annak lehetőségét, hogy azt valamely tagállam a nemzeti jogában egy vagy több konkrét ágazatra vonatkozóan elfogadja. ( 28 )

75.

Véleményem szerint nem lenne bölcs dolog, ha a Bíróság – kvázi jogalkotói feladatokat vállalva – az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében foglalt kötelezettségek fölé helyezett, új tájékoztatási kötelezettség bevezetésével módosítaná az általános adatvédelmi rendeletet. Ez abban az esetben valósulna meg, ha az adatkezelőnek az érintettet már nem csupán annak a címzettnek a személyazonosságáról kellene tájékoztatnia, akivel az adatokat közölték, hanem – megkülönböztetés nélkül – minden olyan alkalmazottjáéról vagy a vállalkozás belső köréhez tartozó személyekéről is, akik ezen adatokhoz jogszerűen hozzáfértek. ( 29 )

76.

Amint arra a Pankki a tárgyalás során rámutatott, az ügyféladatok kezelését elvégző egyes alkalmazottak személyazonossága biztonsági szempontból – legalábbis bizonyos gazdasági ágazatokban – különösen érzékeny információnak minősül.

77.

Ezek az alkalmazottak olyan személyek általi nyomásgyakorlási és befolyásolási kísérleteknek lehetnének kitéve, akik a bank ügyfeleiként érdekeltek lehetnek abban, hogy személyes kapcsolatot építsenek ki a kapcsolattartóval, aki nem is annyira maga a pénzügyi szervezet, hanem annak – a vállalati lánc gyengébb láncszemét jelentő – egy vagy több alkalmazottja. Ilyen helyzet akkor állhatna fenn például, ha a bankokat a pénzügyi területen elkövetett jogsértések megelőzése és az ezek elleni küzdelem során terhelő kötelezettségeknek való megfelelés érdekében a tranzakciókat az ügyféladatokba való betekintés révén nyomon követik.

78.

Az igaz, hogy az ügyfél kételkedhet annak a természetes személynek a feddhetetlenségében vagy pártatlanságában, aki az adatai kezelésében az adatkezelő nevében részt vett. Ez a kétség, ha megalapozott, az említett személlyel szembeni fellépéshez való joga gyakorlására tekintettel igazolhatja az ügyfélnek az alkalmazott személyazonossága megismeréséhez fűződő érdekét.

79.

Az ilyen információk érzékenységére tekintettel az alkalmazott személyazonosságának megismeréséhez fűződő érdek szemben áll az adatkezelőknek azzal a nem kevésbé vitathatatlan érdekével, hogy diszkréten kezeljék az alkalmazottaik személyazonosságát, valamint az alkalmazottaknak a saját adataik védelméhez való jogával. Véleményem szerint az egyensúly a felügyeleti hatóságnak a két egymással versengő érdeketet mérlegelő döntőbíróként történő közreműködésével érhető el.

80.

A jelen ügyhöz hasonló esetben a felügyeleti hatóságnak kell tehát pártatlan helyzetéből eredően értékelnie, hogy a banknál dolgozó alkalmazottak eljárásával kapcsolatos kétségek eléggé megalapozottak és következetesek‑e ahhoz, hogy indokolják a személyazonosságuk megőrzésének feláldozását.

81.

Az előzetes döntéshozatalra előterjesztett első és a második kérdésre adott válasz itt véget is érhetne, miután megállapítást nyert, hogy a szervezet nevében és utasításai szerint eljáró alkalmazottak nem minősülnek az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontjában említett, szűkebb értelemben vett címzetteknek.

82.

A választ azonban ki kell egészíteni az érintett arra vonatkozó állítólagos jogának elemzésével, hogy megismerje az alkalmazottak személyazonosságát, ha az rögzítve van a fájlokban vagy a műveleti nyilvántartásban. Jóllehet – amint azt már említettem – nem minden ilyen fájl vagy nyilvántartás tartalma azonos szükségszerűen, általánosan elfogadott, hogy azok tükrözik, hogy (az adatkezelő alkalmazottai közül) ki, hogyan és mikor tekintett be az ügyféladatokba.

83.

Az ilyen jellegű nyilvántartási rendszer lehetővé teszi az adatkezelő számára, hogy eleget tegyen az általános adatvédelmi rendelet 5. cikkének (1) bekezdésében meghatározott elvek betartására vonatkozó kötelezettségének, és megfelelő technikai és szervezési intézkedéseket hajtson végre annak biztosítása és bizonyítása céljából, hogy az adatkezelés az említett rendelettel összhangban történik (az általános adatvédelmi rendelet 24. cikkének (1) bekezdése és 25. cikkének (2) bekezdése).

84.

A Bizottság által a bűncselekmények terén alkalmazott különleges adatvédelmi rendszer példájaként felhozott ( 30 ) (EU) 2016/680 irányelv ( 31 )konkrét területén:

85.

A 2016/680 irányelv 14. cikke alapján azonban a személyes adatokat kezelő alkalmazott személyazonosságára vonatkozó információk nem tartoznak azon információk közé, amelyekhez az érintett jogosult hozzáférni.

86.

Ezzel összhangban az általános adatvédelmi rendelet 30. cikke előírja az úgynevezett „adatkezelési tevékenységek nyilvántartás[ának]” meglétét, amelynek tartalma megegyezik a 2016/680 irányelv – a műveletek meghatározását illetően kevésbé konkrét – 25. cikkében foglaltakkal. ( 33 ) Az alkalmazott személyazonosságára vonatkozóan nyilvántartott információk ez utóbbi esetében sem tartoznak azon információk közé, amelyek az általános adatvédelmi rendelet 15. cikke értelmében az érintett számára hozzáférhetőek.

87.

A nyilvántartott információk és az azokhoz való hozzáférés joga közötti aszimmetria oka abban rejlik, hogy az adatkezelési tevékenységek nyilvántartására, illetve a tartalmukhoz való hozzáférésre vonatkozó rendelkezések eltérő célokat szolgálnak.

88.

Az általános adatvédelmi rendelet 30. cikkében foglalt nyilvántartás célja – ismétlem – az adatkezelés jogszerűségének biztosítása, valamint az adatok integritásának és biztonságának garantálása. Az ezzel kapcsolatos felelősség általánosságban véve a felügyeleti hatóságot terheli, amely részére az adatkezelőnek és az adatfeldolgozónak rendelkezésre kell bocsátania a tevékenységek nyilvántartását (az általános adatvédelmi rendelet 30. cikkének (4) bekezdése).

89.

Az általános adatvédelmi rendelet megfelelő végrehajtásának biztosításáért felelős felügyeleti hatósághoz címzett panasz benyújtásának e rendeletben foglalt joga a természetes személyek adataik kezelésével kapcsolatos jogainak védelmét célozza (a 15. cikk (1) bekezdésének f) pontja). Ekként rendelkezik az általános adatvédelmi rendelet 51. cikkének (1) bekezdése, és ez következik az általános adatvédelmi rendelet 57. cikkében a felügyeleti hatóságra ruházott feladatok felsorolásából.

90.

Az általános adatvédelmi rendelet alkalmazásának ellenőrzésére és a természetes személyek jogainak védelmére vonatkozó általános feladat indokolja a felügyeleti hatóság előjogait. Ezek közé tartozik az adatfeldolgozó vagy az adatkezelő által végzett adatfeldolgozás körülményeinek megismerése. Pontosan e körülmény bír jelentőséggel az ügy szempontjából: az adatkezelő vagy az adatfeldolgozó nevében az ügyfelek személyes adataiba betekintő személyek személyazonossága.

91.

Az általános adatvédelmi rendelet azonban sehol nem írja elő, hogy az ügyfél számára szabadon hozzáférhetőnek kell lenniük a szervezetek belső nyilvántartásaiban szereplő, az alkalmazottak személyazonosságára vonatkozó azon adatoknak, amelyek révén a szervezeteknek tudomása lehet arról (és adott esetben a felügyeleti hatóság rendelkezésére bocsáthatják), hogy ki és mikor vizsgálta meg egy ügyfél személyes adatait.

92.

Ellenkezőleg, a konkrét adatkezelés által érintett személyt tájékoztatni kell a releváns körülmények megismeréséhez szükséges információkról ahhoz, hogy az adatkezelés jogszerűségét értékelhesse, és azt adott esetben a felügyeleti hatóság vagy végső soron az igazságügyi hatóság előtt vitathassa.

93.

Ennek nem mond ellent az, hogy – amennyiben a tevékenységek említett nyilvántartása ténylegesen tartalmaz az érintettre vonatkozó személyes (vagyis az alkalmazottak puszta személyazonosságán túli) adatokat – az érintett értelemszerűen jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van. Ebből a szempontból közömbös, hogy ezek a személyes adatok a műveleti nyilvántartásban, vagy a szervezet bármely más fájljában vagy belső adatbázisában szerepelnek‑e.

94.

A kérdést előterjesztő bíróság azt kívánja megtudni, hogy „[j]elentőséggel bír‑e az eljárás szempontjából az, hogy egy szabályozott tevékenységet folytató bankról van szó, illetve az, hogy J. M. a bank alkalmazottja és ügyfele is volt egyidejűleg”.

95.

Véleményem szerint az eddig kifejtetteken nem változtat az, hogy az adatkezelő szabályozott tevékenységet folytat. Az a tény viszont, hogy az adatkezelő egy bank, amelyre az ilyen típusú szervezetekre irányadó különleges szabályok ( 34 ) vonatkoznak, hatással lehet az adatkezelés jogszerűségének (a jogalap) megállapítására, amennyiben az a rá vonatkozó jogi kötelezettségeknek való megfelelésből fakad. ( 35 )

96.

Elvileg az sem releváns, hogy az a személy, akinek az adataiba betekintettek, az adott bank munkavállalója és egyúttal ügyfele is volt. Az általános adatvédelmi rendelet 15. cikkének (1) bekezdése nem tesz különbséget az érintett szakmai tevékenysége alapján, amely átfedésben van azon jogállásával, amellyel a pénzügyi szervezet ügyfeleként rendelkezik. ( 36 )

97.

Igaz, hogy – amint arra a Bizottság rámutatott – az általános adatvédelmi rendelet 23. cikke lehetővé teszi a tagállamok számára, hogy az érintett személyek egy meghatározott kategóriájára vonatkozó ágazati rendelkezésekkel a jogalkotáson keresztül korlátozzák a többek között a 15. cikkben meghatározott kötelezettségek és jogok hatályát. A kérdést előterjesztő bíróság azonban nem tesz említést ilyen jellegű nemzeti korlátozásról.

98.

A fent kifejtettek alapján azt javaslom, hogy a Bíróság az Itä‑Suomen hallinto‑oikeus (kelet‑finnországi közigazgatási bíróság) számára a következő választ adja:

„A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 15. cikkének (1) bekezdését az említett rendelet 4. cikkének 1. pontjával összefüggésben

a következőképpen kell értelmezni:

az akkor alkalmazandó, ha az érintett az adatkezelőhöz címzett, információkhoz való hozzáférés iránti kérelmet 2018. május 25. után nyújtotta be.

Az nem biztosít az érintett számára arra vonatkozóan jogot, hogy az adatkezelő (adott esetben nyilvántartások vagy műveleti fájlok révén) rendelkezésére álló információk közül megismerje azon alkalmazott vagy alkalmazottak személyazonosságát, akik az adatkezelő irányítása alatt és annak utasításait követve az érintett személyes adataiba betekintettek.”