EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CC0579

Generalinio advokato Campos Sánchez-Bordona išvada, pateikta 2022 m. gruodžio 15 d.
J.M. prieš Apulaistietosuojavaltuutettu ir Pankki S.
Itä-Suomen hallinto-oikeus prašymas priimti prejudicinį sprendimą.
Prašymas priimti prejudicinį sprendimą – Asmens duomenų tvarkymas – Reglamentas (ES) 2016/679 – 4 ir 15 straipsniai – Teisės susipažinti su 15 straipsnyje nurodyta informacija apimtis – Duomenų tvarkymo sistemos sukurtuose operacijų žurnalo įrašuose esanti informacija (log data) – 4 straipsnis – Sąvoka „asmens duomenys“ – Sąvoka „duomenų gavėjai“ – Taikymas laiko atžvilgiu.
Byla C-579/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:1001

 GENERALINIO ADVOKATO

MANUEL CAMPOS SÁNCHEZ-BORDONA IŠVADA,

pateikta 2022 m. gruodžio 15 d. ( 1 )

Byla C-579/21

J. M.,

dalyvaujant:

Apulaistietosuojavaltuutettu,

Pankki S

(Itä-Suomen hallinto-oikeus (Rytų Suomijos administracinis teismas, Suomija) prašymas priimti prejudicinį sprendimą)

„Prašymas priimti prejudicinį sprendimą – Asmens duomenų tvarkymas – Reglamentas (ES) 2016/679 – Operacijų registracijos įrašuose esantys duomenys – Teisė susipažinti su duomenimis – Asmens duomenų sąvoka – Duomenų gavėjo sąvoka – Duomenų valdytojo darbuotojai“

1.

Finansų įstaigos darbuotojas ir kartu klientas paprašė šios įstaigos nurodyti asmenis, kurie, atlikdami vidaus tyrimą, susipažino su jo asmens duomenimis. Kadangi įstaiga atsisakė suteikti šią informaciją, jis pasinaudojo atitinkamomis teisių gynimo priemonėmis, pateikdamas ir skundą Itä-Suomen hallinto-oikeus (Rytų Suomijos administracinis teismas, Suomija).

2.

Šis teismas Teisingumo Teismui pateikė prašymą priimti prejudicinį sprendimą dėl Reglamento (ES) 2016/679 ( 2 ) išaiškinimo. Atsakydamas Teisingumo Teismas turės nuspręsti dėl duomenų subjekto teisės susipažinti su tam tikra informacija apie jo asmens duomenų tvarkymą.

I. Teisinis pagrindas

A.   Sąjungos teisė. BDAR

3.

11 konstatuojamojoje dalyje teigiama:

„siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir išsamiai nustatyti duomenų subjektų teises ir asmens duomenis tvarkančių ir jų tvarkymą nustatančių subjektų prievoles, bet ir valstybėse narėse suteikti lygiaverčius įgaliojimus stebėti ir užtikrinti asmens duomenų apsaugos taisyklių laikymąsi ir nustatyti lygiavertes sankcijas dėl pažeidimų.“

4.

4 straipsnyje („Apibrėžtys“) numatyta:

„Šiame reglamente:

1)

asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2)

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

9)

duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis[,] ar ne. <…>“

5.

15 straipsnio („Duomenų subjekto teisė susipažinti su duomenimis“) 1 dalyje numatyta:

„Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)

duomenų tvarkymo tikslai;

b)

atitinkamų asmens duomenų kategorijos;

c)

duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;

d)

kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)

teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)

teisė pateikti skundą priežiūros institucijai;

g)

kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)

tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.“

6.

24 straipsnio („Duomenų valdytojo atsakomybė“) 1 dalyje teigiama:

„Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.“

7.

25 straipsnio („Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga“) 2 dalyje nustatyta:

„Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.“

8.

29 straipsnyje („Duomenų valdytojui ar duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas“) nurodyta:

„Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.“

9.

30 straipsnyje („Duomenų tvarkymo veiklos įrašai“) numatyta:

„1.   Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)

duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)

duomenų tvarkymo tikslai;

c)

duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)

duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

<…>

f)

kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g)

kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

2.   Kiekvienas duomenų tvarkytojas ir, jei taikoma, duomenų tvarkytojo atstovas tvarko su visų kategorijų duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a)

duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, taip pat, jei taikoma, duomenų valdytojo ar duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)

kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c)

kai taikoma, asmen[s] duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai <…>;

d)

kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

3.   1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektronine forma.

4.   Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.

5.   1 ir 2 dalyse nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis <…>, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas. <…>“

10.

58 straipsnio („Įgaliojimai“) 1 dalyje nustatyta:

„Kiekviena priežiūros institucija turi visus šiuos tyrimo įgaliojamus:

a)

nurodyti duomenų valdytojui ir duomenų tvarkytojui ir, kai taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovui pateikti visą jos užduotims atlikti reikalingą informaciją;

<…>“

B.   Nacionalinė teisė

1. Tietosuojalaki (1050/2018) ( 3 )

11.

Kaip matyti iš įstatymo 30 straipsnio, nuostatos dėl darbuotojų asmens duomenų tvarkymo, darbuotojų patikros ir kontrolės bei ją vykdant taikytinų reikalavimų, taip pat dėl techninio stebėjimo darbo vietoje ir darbuotojų elektroninių laiškų atsisiuntimo ir atidarymo yra įtvirtintos Laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ).

12.

Pagal 34 straipsnio 1 dalį duomenų subjektas neturi teisės susipažinti su surinktais duomenimis apie jį, kaip tai suprantama pagal BDAR 15 straipsnį, jeigu:

1)

atskleidus duomenis galėtų būti daromas neigiamas poveikis nacionaliniam saugumui ir gynybai, taip pat viešajai tvarkai ir saugumui arba sudaromos kliūtys nusikaltimų prevencijai ir išaiškinimui;

2)

atskleidus duomenis galėtų kilti rimtas pavojus duomenų subjekto sveikatai ar priežiūrai arba duomenų subjekto ar trečiosios šalies teisėms; arba

3)

asmens duomenys naudojami vykdant priežiūros ir kontrolės veiklą ir jų negalima atskleisti siekiant apsaugoti svarbų ekonominį ar finansinį Suomijos arba Europos Sąjungos interesą.

13.

Pagal 34 straipsnio 2 dalį, jeigu BDAR 15 straipsnyje nustatyta teisė netaikoma tik daliai 1 dalyje nurodytų duomenų, duomenų subjektas turi teisę susipažinti su visais kitais su juo susijusiais duomenimis.

14.

Remiantis 34 straipsnio 3 dalimi, duomenų subjektui turi būti nurodyti apribojimo pagrindai, jeigu dėl to nekyla pavojus apribojimo tikslui.

15.

Pagal 34 straipsnio 4 dalį tuo atveju, kai duomenų subjektas neturi teisės susipažinti su surinktais duomenimis apie jį, BDAR 15 straipsnio 1 dalyje nurodyti duomenys duomenų subjekto prašymu turi būti pateikti duomenų apsaugos priežiūros pareigūnui.

2. Laki yksityisyyden suojasta työelämässä (759/2004)

16.

Kaip nurodyta 2 skirsnio 4 straipsnio 2 dalyje, darbdavys privalo iš anksto pranešti darbuotojui apie jo patikimumui įvertinti skirtų duomenų rinkimą. Tikrindamas darbuotojo kreditingumą darbdavys taip pat turi darbuotojui nurodyti registrą, iš kurio ėmė finansinę informaciją. Jeigu duomenys apie darbuotoją buvo surinkti ne iš jo paties, o iš kito asmens, darbdavys, prieš panaudodamas šiuos duomenis su darbuotoju susijusiems sprendimams priimti, turi juos nurodyti darbuotojui. BDAR III skyriuje reglamentuota duomenų valdytojo pareiga pateikti duomenis duomenų subjektui ir duomenų subjekto teisė susipažinti su duomenimis.

II. Faktinės aplinkybės, byla ir prejudiciniai klausimai

17.

2014 m. J. M. sužinojo, kad 2013 m. lapkričio 1 d.–gruodžio 31 d. laikotarpiu buvo tikrinami jo, kaip finansų įstaigos Suur-Savon Osuuspankki (toliau – Pankki) kliento, asmens duomenys. Tuo laikotarpiu J. M. buvo ne tik Pankki klientas, bet ir darbuotojas.

18.

2018 m. gegužės 29 d. J. M., įtardamas, kad tikrinimo pagrindai nevisiškai teisėti, paprašė Pankki nurodyti darbuotojų, kurie minėtu laikotarpiu susipažino su jo duomenimis, tapatybę ir duomenų tvarkymo tikslus.

19.

Tuo metu Pankki jau buvo atleidusi J. M. ir jis savo prašymą pateikti informaciją motyvavo visų pirma siekiu išsiaiškinti savo atleidimo priežastis.

20.

2018 m. rugpjūčio 30 d.Pankki, kaip duomenų valdytojas, atsisakė pateikti J. M. jo asmens duomenis tvarkiusių darbuotojų vardus ir pavardes. Pankki nurodė, kad BDAR 15 straipsnyje numatyta teisė netaikoma vidaus žurnalams ar registracijos įrašams, kuriuose užfiksuota, kurie darbuotojai ir kada turėjo prieigą prie kompiuterinės sistemos, kurioje saugomi klientų duomenys. Be to, prašoma informacija buvo tų darbuotojų, o ne J. M. asmens duomenys.

21.

Siekdama išvengti nesusipratimų Pankki pateikė J. M. tokius papildomus paaiškinimus:

2014 m. įstaigos vidaus skyriai atliko tyrimus dėl J. M., kaip kliento, duomenų, susijusių su 2013 m. lapkričio 1 d.–gruodžio 31 d. laikotarpiu,

šie tyrimai atlikti dėl to, kad tvarkant kito Pankki kliento duomenis paaiškėjo, jog klientą ir J. M. siejo ryšiai, dėl kurių galėjo kilti interesų konfliktas. Taigi duomenų tvarkymo tikslas buvo išsiaiškinti šią situaciją ( 5 ).

22.

J. M. kreipėsi į nacionalinę priežiūros instituciją (Duomenų apsaugos priežiūros pareigūno biuras, Suomija) ir paprašė įpareigoti Pankki pateikti atitinkamą informaciją.

23.

2020 m. rugpjūčio 4 d. duomenų apsaugos priežiūros pareigūno pavaduotojas atmetė J. M. prašymą.

24.

J. M. pateikė skundą Itä-Suomen hallinto-oikeus (Rytų Suomijos administracinis teismas) ir teigia, kad pagal BDAR turi teisę sužinoti asmenų, susipažinusių su jo duomenimis finansų įstaigoje, tapatybę ir pareigas.

25.

Tokiomis aplinkybėmis Suomijos teismas pateikė Teisingumo Teismui šiuos prejudicinius klausimus:

„1.

Ar pagal [BDAR] 15 straipsnio 1 dalį duomenų subjekto turima teisė susipažinti su duomenimis, siejama su [sąvoka] „asmens duomenys“, kaip ji suprantama pagal šio reglamento 4 straipsnio 1 punktą, turi būti aiškinama taip, kad duomenų valdytojo surinkta informacija, iš kurios matyti, kas, kada ir kokiais tikslais tvarkė duomenų subjekto asmens duomenis, nėra informacija, su kuria duomenų subjektas gali susipažinti, visų pirma dėl to, kad tai yra duomenys, susiję su duomenų valdytojo darbuotojais?

2.

Jeigu į pirmąjį klausimą būtų atsakyta teigiamai ir duomenų subjektas pagal [BDAR] 15 straipsnio 1 dalį neturėtų teisės susipažinti su pirmajame klausime nurodyta informacija dėl to, kad ji nėra duomenų subjekto „asmens duomenys“ pagal [BDAR] 4 straipsnio 1 punktą, šiuo atveju dar kiltų klausimų dėl informacijos, su kuria duomenų subjektas turi teisę susipažinti pagal 15 straipsnio 1 dalies [a–h] punktus:

a)

kaip turi būti aiškinami duomenų tvarkymo tikslai pagal 15 straipsnio 1 dalies a punktą atsižvelgiant į duomenų subjekto teisės susipažinti su duomenimis mastą, t. y. ar duomenų tvarkymo tikslais gali būti pagrindžiama teisė susipažinti su naudotojo žurnalo duomenimis, kuriuos surinko duomenų valdytojas, kaip antai su informacija apie asmens duomenis tvarkiusių darbuotojų asmens duomenis ir apie asmens duomenų tvarkymo laiką ir tikslus?

b)

Ar J. M., kaip kliento, duomenis tvarkę asmenys tokiomis aplinkybėmis remiantis tam tikrais kriterijais gali būti laikomi [BDAR] 15 straipsnio 1 dalies c punkte nurodytais asmens duomenų gavėjais, su kuriais susijusią informaciją duomenų subjektas galėtų gauti?

3.

Ar byloje reikšmingos aplinkybės, kad bankas vykdo reglamentuojamą veiklą ir kad J. M. vienu metu buvo banko darbuotojas ir klientas?

4.

Ar atsakant į pirma pateiktus klausimus reikšminga aplinkybė, kad J. M. duomenys buvo tvarkomi prieš įsigaliojant [BDAR]?“

III. Procesas Teisingumo Teisme

26.

Prašymą priimti prejudicinį sprendimą Teisingumo Teismas gavo 2021 m. rugsėjo 22 d.

27.

Rašytines pastabas pateikė J. M., Pankki, Austrijos, Čekijos bei Suomijos vyriausybės ir Europos Komisija.

28.

2022 m. spalio 12 d. surengtame teismo posėdyje dalyvavo J. M., Duomenų apsaugos priežiūros pareigūno biuro, Pankki, Suomijos vyriausybės ir Komisijos atstovai.

IV. Analizė

29.

Kadangi prašymą priimti prejudicinį sprendimą pateikęs teismas prašo išaiškinti kelias BDAR nuostatas, visų pirma turi būti nustatyta, ar šis reglamentas taikomas ratione temporis pagrindinei bylai. Tai siekiama išsiaiškinti ketvirtuoju prejudiciniu klausimu.

A.   BDAR taikymas (ketvirtasis prejudicinis klausimas)

30.

Kaip nurodyta BDAR 99 straipsnio 1 dalyje, šis reglamentas įsigaliojo 2016 m. gegužės 24 d. Vis dėlto jo taikymas atidėtas iki 2018 m. gegužės 25 d. ( 6 )

31.

J. M. asmens duomenys buvo tikrinami 2013 m. lapkričio 1 d.–gruodžio 31 d. laikotarpiu, t. y. iki BDAR įsigaliojimo ir taikymo pradžios.

32.

Vis dėlto šiuo atveju svarbi data yra 2018 m. gegužės 29 d. – diena, kurią J. M., remdamasis BDAR 15 straipsnio 1 dalimi (taikoma nuo 2018 m. gegužės 25 d.), paprašė nagrinėjamos informacijos.

33.

Kaip nurodė Austrijos vyriausybė, BDAR 15 straipsnio 1 dalyje duomenų subjektams suteikiama procedūrinė teisė gauti informaciją (teisė susipažinti su informacija) apie jų asmens duomenų tvarkymą ( 7 ). Kaip tokio pobūdžio taisyklė, šis straipsnis taikomas nuo jo įsigaliojimo ( 8 ). Taigi J. M. galėjo juo remtis, prašydamas informacijos iš Pankki.

34.

Tiesa, iki BDAR įsigaliojimo surinktų duomenų tvarkymo teisėtumas turi būti vertinamas atsižvelgiant į tuo metu galiojusius materialinės teisės aktus, t. y. Direktyvą 95/46/EB ( 9 ) ir BDAR (tiek, kiek jis taikomas atgaline data) ( 10 ).

35.

Kadangi neginčijama, kad tuo metu, kai J. M. prašė leisti susipažinti su informacija (tokia teisė užtikrinama BDAR 15 straipsnio 1 dalyje), ją turėjo duomenų valdytojas, buvo taikomas BDAR ( 11 ).

36.

Taigi tai, kad nagrinėjami duomenys buvo tvarkomi prieš įsigaliojant BDAR, neturi reikšmės siekiant suteikti arba atsisakyti suteikti informaciją, kurios duomenų subjektas prašė pagal BDAR 15 straipsnio 1 dalį.

B.   Pirmasis ir antrasis prejudiciniai klausimai

37.

Pirmąjį ir antrąjį klausimus galima nagrinėti kartu. Jais iš esmės siekiama išsiaiškinti, ar Pankki surinkti ir tvarkyti J. M. asmens duomenys atitinka informaciją, kurią duomenų subjektas turi teisę gauti pagal BDAR 15 straipsnio 1 dalį.

1. Darbuotojo tapatybė ir duomenų subjekto asmens duomenys

38.

Primenu, kad J. M. prašė nurodyti darbuotojų, kurie 2013 m. susipažino su jo kaip kliento duomenimis, tapatybę, taip pat duomenų tvarkymo laiką ir tikslus.

39.

Per teismo posėdį patvirtinta, kad J. M. prašė nurodyti tik šių darbuotojų tapatybę. Byloje nekeliama konkretaus klausimo, ar bankas jo duomenis tvarkė remdamasis teisėtu pagrindu ( 12 ).

40.

Taigi:

kalbant apie duomenų tvarkymo laiką, iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad J. M. apie jį žinojo jau pateikdamas prašymą,

apie duomenų tvarkymo tikslą Pankki J. M. informavo, kaip nurodyta pirma ( 13 ).

41.

Vadinasi, ginčas iš esmės susijęs tik su informacija apie J. M. asmens duomenis tvarkiusių Pankki darbuotojų tapatybę.

42.

Iš tiesų ši informacija apima duomenų tvarkymo operacijų detales, o ne pačius duomenų subjekto asmens duomenis, kaip tai suprantama pagal BDAR 4 straipsnio 1 dalį ( 14 ).

43.

Akivaizdu, kad asmuo, su kurio duomenimis buvo susipažinta, – tai J. M. ( 15 ). Gavęs iš Pankki patvirtinimą, kad jo duomenys buvo tvarkomi ( 16 ), J. M. pagal BDAR 15 straipsnio 1 dalį turėjo teisę į šios nuostatos a–h punktuose minimą informaciją ( 17 ). Suteikus tokią informaciją lengviau įgyvendinti duomenų subjekto teises ( 18 ) taikant mechanizmus, kuriais užtikrinamas duomenų tvarkymo teisėtumas.

44.

Iš BDAR 15 straipsnio 1 dalies matyti, kad joje nurodyta informacija susijusi su duomenų tvarkymo aplinkybėmis.

45.

BDAR 15 straipsnio 1 dalyje duomenų subjektui iš tiesų suteikiama teisė iš duomenų valdytojo gauti:

pirma, „patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi“,

antra, patvirtinus, kad duomenys yra tvarkomi, „<…> teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija“ ( 19 ), t. y. su tos nuostatos a–h punktuose numatyta informacija.

46.

Nuostatoje daromas skirtumas tarp, pirma, „asmens duomenų“ ir, antra, tam tikruose 1 dalies punktuose nurodytos „informacijos“.

47.

Taigi pagal BDAR 15 straipsnio 1 dalies a–h punktus duomenų subjektui teiktina informacija negali būti painiojama su duomenų subjekto asmens duomenimis, kaip tai suprantama pagal to paties reglamento 4 straipsnio 1 punktą.

48.

Neabejotina, kad toliau nurodyti aspektai yra ne duomenys, o informacija:

„duomenų tvarkymo tikslai“ (a punktas),

„atitinkamų asmens duomenų kategorijos“ (b punktas),

„numatomas <…> saugojimo laikotarpis“ (d punktas),

e, f ir g punktuose minimos duomenų subjekto teisės ( 20 ),

automatizuotas sprendimų priėmimas (h punktas).

49.

Visais šiais atvejais informacija yra susijusi arba su tam tikromis duomenų subjekto teisėmis, arba, konkrečiai kalbant, su atlikto duomenų tvarkymo aspektais, kaip antai tvarkymo tikslu (tikslas yra toks pat kaip ir tvarkymo priežastis) ir dalyku (tvarkomų duomenų kategorijos).

50.

Dėl informacijos apie duomenų gavėjus, kuriems buvo arba bus atskleisti duomenų subjekto asmens duomenys (BDAR 15 straipsnio 1 dalies c punktas), kyla papildomų koncepcinių problemų, kurias tuoj pat ir aptarsiu.

51.

Apskritai BDAR 15 straipsnio 1 dalyje yra nustatyta teisė gauti informaciją apie patį duomenų tvarkymo faktą ir tokio tvarkymo aplinkybes. Dar informuojama apie duomenų subjekto teises, susijusias su tvarkomais duomenimis, pavyzdžiui, teisę pateikti skundą priežiūros institucijai.

52.

Manau, kad vien duomenų tvarkymo faktas ir aplinkybės nėra „asmens duomenys“, kaip jie suprantami pagal BDAR 4 straipsnio 1 dalį.

53.

Tiesa, kaip pažymėjo prašymą priimti prejudicinį sprendimą pateikęs teismas ( 21 ), tvarkant duomenis gali būti priimami su duomenų subjektu susiję sprendimai. Vis dėlto tokie sprendimai nepriklauso nuo to, kuris (‑ie) konkretus (‑ūs) fizinis (‑iai) asmuo (‑enys) Pankki vardu ir jam vadovaujant tikrino duomenis, sudarančius pagrindinėje byloje nagrinėjamą informaciją.

54.

Taigi J. M. turi teisę į tai, kad Pankki, kaip duomenų valdytojas, jį informuotų apie turimus asmens duomenis, gautus iš paties J. M. (BDAR 13 straipsnis) arba kitais būdais (BDAR 14 straipsnis). Jis taip pat turi teisę (šiuo atveju pagal BDAR 15 straipsnį) gauti informaciją apie kiekvieną tų duomenų tvarkymo operaciją ir jos aplinkybes, tačiau ne dėl to, kad toks tvarkymas pats savaime reiškia „asmens duomenis“, o dėl aiškaus BDAR 15 straipsnyje numatyto įpareigojimo ( 22 ).

55.

Pereinant prie klausimų, kuriuos išsamiau aptarsiu toliau, reikia pažymėti, kad nagrinėjamoje byloje svarbu tai, jog su J. M. duomenimis susipažinusių darbuotojų tapatybė nepriskiriama prie J. M. „asmens duomenų“.

56.

Visai kas kita, jeigu žurnaluose ar registracijos įrašuose, kuriuos nurodysiu toliau, tiesiogiai ar netiesiogiai pateikiama duomenų subjekto asmens duomenų, neapimančių informacijos apie darbuotojus, susipažinusius su tais duomenimis. Ar tokių duomenų yra, ar ne, labai priklauso nuo atitinkamų žurnalų ar registracijos įrašų turinio. Vis dėlto, kartoju, pagrindinėje byloje siekiama sužinoti tik Pankki darbuotojų tapatybę, o tai yra ne J. M., bet tų darbuotojų asmens duomenys.

2. Galimybė gauti informacijos apie duomenų gavėjus, kuriems buvo atskleisti asmens duomenys

57.

Prašymą priimti prejudicinį sprendimą pateikęs teismas nori sužinoti, ar pagal BDAR 15 straipsnio 1 dalies a ir c punktus J. M. turi teisę gauti iš Pankki informaciją apie darbuotojus, kurie tvarkė jo asmens duomenis, net jei ši informacija nėra J. M. asmens duomenys.

58.

Pagal a punktą duomenų subjektas turi teisę gauti duomenų valdytojo patvirtinimą, kokiais tikslais buvo tvarkomi duomenys. Vis dėlto šiame punkte (nagrinėjamu atveju jo buvo laikomasi, nes Pankki informavo J. M. apie duomenų tvarkymo tikslą) nenumatyti kriterijai, pagal kuriuos būtų galima nustatyti, kas yra J. M. asmens duomenų gavėjai.

59.

Klausimas vis dėlto įgyja visą savo prasmę atsižvelgiant į tai, kad reikia išaiškinti BDAR 15 straipsnio 1 dalies c punktą. Primenu, kad pagal šį punktą duomenų subjektas turi teisę gauti informaciją apie „duomenų gavėj[us] arba duomenų gavėjų kategorij[as], kuriems buvo arba bus atskleisti asmens duomenys <…>“.

60.

BDAR 4 straipsnio 9 punkte „duomenų gavėjas“ apibrėžiamas kaip „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis[,] ar ne“.

61.

Kaip nurodyta per teismo posėdį, dėl sakinio pabaigos („nesvarbu, ar tai trečioji šalis[,] ar ne“) gali kilti neaiškumų, kokia yra nuostatos taikymo asmenų atžvilgiu sritis. Paviršutiniškai ir, mano nuomone, klaidingai aiškinant būtų galima patvirtinti nuomonę, kad „duomenų gavėjas“ yra ne tik bet kuri trečioji šalis, kuriai Pankki atskleidė J. M. asmens duomenis, bet ir kiekvienas darbuotojas, visų pirma susipažinęs su šiais duomenimis juridinio asmens, t. y. Pankki, vardu ir jam vadovaujant.

62.

BDAR 4 straipsnio 10 punkte „trečioji šalis“ apibrėžiama kaip „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis“ ( 23 ).

63.

Atsižvelgdamas į šias prielaidas manau, kad duomenų gavėjo sąvoka neapima juridinio asmens darbuotojų, kurie, naudodamiesi to juridinio asmens kompiuterine sistema, jo valdymo organų nurodymu susipažįsta su kliento asmens duomenimis. Jeigu tokie darbuotojai veikia tiesiogiai vadovaujami duomenų valdytojo, vien dėl šios aplinkybės jie neįgyja duomenų „gavėjų“ statuso ( 24 ).

64.

Vis dėlto gali būti, kad darbuotojas nesilaiko duomenų valdytojo nustatytos tvarkos ir savo iniciatyva neteisėtai susipažįsta su klientų ar kitų darbuotojų duomenimis. Tokiu atveju nesąžiningas darbuotojas veikia ne duomenų valdytojo vardu ir nurodymu.

65.

Dėl to jį galima laikyti „duomenų gavėju“, kuriam buvo „atskleisti“ (vaizdžiai tariant) duomenų subjekto asmens duomenys, nors jis juos atskleidė pats, taigi neteisėtai ( 25 ), arba net duomenų valdytoju (veikiančiu savarankiškai) ( 26 ).

66.

Iš nutartyje dėl prašymo priimti prejudicinį sprendimą aprašytų faktinių aplinkybių ir Pankki per teismo posėdį išdėstytų argumentų matyti, kad šis bankas įgaliojo savo darbuotojus (prisiimdamas atsakomybę) patikrinti J. M. asmens duomenis. Taigi darbuotojai vykdė duomenų valdytojo nurodymus ir veikė jo vardu. Dėl to jie negali būti laikomi duomenų gavėjais, kaip tai suprantama pagal BDAR 15 straipsnio 1 dalies c punktą ( 27 ).

67.

Visai kas kita, kai šių darbuotojų tapatybė ir momentas, kada kuris nors iš jų susipažino su kliento asmens duomenimis (t. y. informacijos, pateiktos bylose ar registracijos įrašuose, kuriuos netrukus nagrinėsiu, turinys), turi būti nurodyti priežiūros institucijoms, kad būtų galima patikrinti tų darbuotojų veiksmų teisėtumą.

68.

Tai patvirtinta BDAR 29 straipsnyje, nes jame minimi asmenys, „[pavaldūs] duomenų valdytojui arba duomenų tvarkytojui <…> [ir] galint[ys] susipažinti su asmens duomenimis“. Tokie asmenys gali tvarkyti asmens duomenis tik savo darbdavio, kuris yra tikrasis duomenų valdytojas (arba tvarkytojas), nurodymu.

69.

Pagal BDAR 15 straipsnio 1 dalį siekiama užtikrinti, kad duomenų subjektas galėtų veiksmingai naudotis jam priklausančiomis teisėmis, susijusiomis su asmens duomenimis (ir jas ginti). Taigi jam turi būti nurodyta, kas yra duomenų valdytojas, ir, jei reikia, kuriems duomenų gavėjams duomenys buvo atskleisti. Turėdamas tokią informaciją duomenų subjektas gali kreiptis ne tik į duomenų valdytoją, bet ir į duomenų gavėjus, kurie susipažino su jo duomenimis.

70.

Be abejo, duomenų subjektui gali kilti abejonių, ar tam tikri asmenys teisėtai dalyvavo tvarkant jo duomenis duomenų valdytojo ar tvarkytojo vardu ir būdami jiems pavaldūs.

71.

Šiomis aplinkybėmis, kaip nurodo Čekijos vyriausybė ir kaip per teismo posėdį pažymėjo Komisija, jis gali kreiptis į duomenų apsaugos pareigūną (BDAR 38 straipsnio 4 dalis) arba į priežiūros instituciją ir pateikti skundą (BDAR 15 straipsnio 1 dalies f punktas ir 77 straipsnis). Nepripažįstama tik tai, kad darbuotojas, būdamas pavaldus duomenų valdytojui ar duomenų tvarkytojui ir iš esmės veikiantis pagal jų nurodymus, turi teisę tiesiogiai rinkti asmens (tapatybės) duomenis.

72.

Per teismo posėdį buvo svarstoma, ar galimybė kreiptis į duomenų apsaugos pareigūną arba priežiūros instituciją yra pakankama garantija, vertinant asmens, kurio duomenys buvo tvarkomi, teisių gynimo požiūriu.

73.

Sprendžiant šį klausimą galima laikytis maksimalistinės pozicijos, kad bet kuris duomenų subjektas turi teisę žinoti duomenų valdytojo darbuotojų, kurie susipažino su jo duomenimis, net jei tai darė duomenų valdytojo nurodymu ir jam vadovaujant, tapatybę.

74.

Manau, kad šios pozicijos negalima pagrįsti BDAR, tačiau valstybė narė gali ją įtvirtinti nacionalinės teisės aktuose, susijusiuose su vienu ar keliais konkrečiais sektoriais ( 28 ).

75.

Laikausi nuomonės, kad būtų neatsargu, jeigu Teisingumo Teismas, prisiimdamas kvaziteisėkūros funkcijas, iš dalies pakeistų BDAR ir nustatytų naują informavimo pareigą, kuri papildytų 15 straipsnio 1 dalyje numatytas pareigas. Taip būtų tuo atveju, jeigu duomenų valdytojas be jokių išimčių būtų įpareigotas pateikti duomenų subjektui ne duomenų gavėjo, kuriam atskleisti duomenys, o bet kurio darbuotojo ar asmens iš įmonės vidaus aplinkos, teisėtai susipažinusio su duomenimis, tapatybę ( 29 ).

76.

Kaip per teismo posėdį nurodė Pankki, kliento duomenis tvarkiusių pavienių darbuotojų tapatybė yra griežtai neskelbtina informacija, atsižvelgiant į šių darbuotojų saugumą, bent tam tikruose ekonomikos sektoriuose.

77.

Šiems darbuotojams spaudimą ir įtaką gali daryti asmenys, kurie, kaip banko klientai, gali būti suinteresuoti turėti asmeninį klientų aptarnavimo specialistą, – tokiu atveju šie asmenys palaikytų ryšius ne tiek su pačia finansų įstaiga, kiek su vienu ar keliais jos darbuotojais, kaip silpniausia verslo grandinės grandimi. Taip gali būti, pavyzdžiui, kai siekiant laikytis bankams taikomų įpareigojimų, susijusių su nusikaltimų finansų srityje prevencija ir kova su jais, atliekama sandorių stebėsena tikrinant kliento duomenis.

78.

Tiesa, klientui gali kilti abejonių dėl fizinio asmens, kuris jo duomenis tvarkė veikdamas duomenų valdytojo vardu, sąžiningumo ar nešališkumo. Jeigu šios abejonės būtų pagrįstos, jos galėtų pateisinti kliento interesą žinoti darbuotojo tapatybę, siekiant pasinaudoti teise imtis veiksmų prieš jį.

79.

Atsižvelgiant į tai, kad ši informacija neskelbtina, interesas žinoti darbuotojo tapatybę susiduria su ne mažiau neginčijamu duomenų valdytojų interesu neatskleisti darbuotojų tapatybės ir šių darbuotojų teise į savo duomenų apsaugą. Manau, kad pusiausvyrą padeda pasiekti priežiūros institucija, veikianti kaip tarpininkė derinant šiuos du prieštaringus interesus.

80.

Taigi tokiu atveju, kaip nagrinėjamas šioje byloje, priežiūros institucija, veikianti kaip nešališka institucija, turi įvertinti, ar abejonės dėl banko darbuotojų veiksmų yra tokios pagrįstos ir nuoseklios, kad pateisina darbuotojų tapatybės atskleidimą.

3. Galimybė susipažinti su operacijų žurnaluose ar registracijos įrašuose esančia informacija apie darbuotojų tapatybę

81.

Pripažinus, kad įstaigos darbuotojai, veikiantys jos vardu ir pagal jos nurodymus, nėra BDAR 15 straipsnio 1 dalies c punkte minimi duomenų gavėjai, galima atsakyti į pirmąjį ir antrąjį prejudicinius klausimus.

82.

Vis dėlto atsakymą tikslinga papildyti tariamos duomenų subjekto teisės žinoti darbuotojų tapatybę, kai ji nurodyta įstaigos operacijų žurnaluose ar registracijos įrašuose, analize. Nors, kaip minėjau, nebūtinai visų šių žurnalų ar registracijos įrašų turinys yra identiškas, visuotinai pripažįstama, kad iš jų matyti, kuris duomenų valdytojo darbuotojas, kaip ir kada susipažino su klientų duomenimis.

83.

Tokie registracijos įrašai leidžia duomenų valdytojui įvykdyti pareigą laikytis BDAR 5 straipsnio 1 dalyje nustatytų principų ir įgyvendinti tinkamas technines ir organizacines priemones siekiant užtikrinti ir įrodyti, kad duomenys tvarkomi pagal šiame reglamente suteiktus įgaliojimus (BDAR 24 straipsnio 1 dalis ir 25 straipsnio 2 dalis).

84.

Kalbant konkrečiai apie Direktyvą (ES) 2016/680 ( 30 ), kurią Komisija nurodė kaip specialios duomenų apsaugos sistemos, taikomos nusikalstamų veikų srityje, pavyzdį ( 31 ), pažymėtina, kad:

pagal jos 24 straipsnį kiekvienas duomenų valdytojas privalo tvarkyti visų kategorijų asmens duomenų tvarkymo veiklos, už kurią jis atsako, registrą (1 dalis), o kiekvienas duomenų tvarkytojas turi tvarkyti visų kategorijų asmens duomenų tvarkymo veiklos, vykdomos duomenų valdytojo vardu, registrą (2 dalis),

jos 25 straipsnyje reikalaujama, kad „<…> [būtų] saugomi registracijos įrašai bent apie šias duomenų tvarkymo operacijas automatizuotose duomenų tvarkymo sistemose: rinkimą, keitimą, užklausą, atskleidimą, įskaitant perdavimus, sujungimą ir ištrynimą. Užklausos ir atskleidimo registracijos įrašai turi suteikti galimybę nustatyti tokių operacijų priežastis, datą ir laiką, taip pat, kiek tai įmanoma, nustatyti asmens, kuris susipažino su asmens duomenimis arba juos atskleidė, tapatybę ir tokių asmens duomenų gavėjų tapatybę“ ( 32 ).

85.

Vis dėlto pagal Direktyvos 2016/680 14 straipsnį informacija, susijusi visų pirma su asmens duomenis tvarkiusio darbuotojo tapatybe, nepriskiriama prie tos, su kuria duomenų subjektas turi teisę susipažinti.

86.

BDAR 30 straipsnyje taip pat reikalaujama, kad būtų registruojami vadinamieji „duomenų tvarkymo veiklos įrašai“; šio straipsnio turinys sutampa su Direktyvos 2016/680 25 straipsnio turiniu, tik pateikta ne tokia tiksli operacijų apibrėžtis ( 33 ). Kaip ir Direktyvoje 2016/680, BDAR taip pat nurodyta, kad registruojama informacija apie darbuotojo tapatybę nepriskiriama prie informacijos, su kuria duomenų subjektas gali susipažinti pagal BDAR 15 straipsnį.

87.

Registruotos informacijos ir teisės susipažinti su ja asimetrijos priežastis yra skirtingi tikslai, kurių siekiama nuostatomis, reglamentuojančiomis atitinkamai duomenų tvarkymo veiklos įrašus ir galimybę susipažinti su jų turiniu.

88.

Kartoju, BDAR 30 straipsnyje nurodytų įrašų paskirtis – užtikrinti duomenų tvarkymo teisėtumą ir duomenų vientisumą bei saugumą. Už tai paprastai atsakinga priežiūros institucija, kuriai duomenų valdytojas ir duomenų tvarkytojas turi pateikti operacijų įrašus (BDAR 30 straipsnio 4 dalis).

89.

BDAR įtvirtintos teisės pateikti skundą priežiūros institucijoms (15 straipsnio 1 dalies f punktas), kurios privalo užtikrinti tinkamą reglamento taikymą, paskirtis – apsaugoti fizinių asmenų teises, susijusias su jų duomenų tvarkymu. Tai nurodyta BDAR 51 straipsnio 1 dalyje ir matyti iš šioms institucijoms pavestų užduočių sąrašo, pateikto paties reglamento 57 straipsnyje.

90.

Bendroji užduotis stebėti, kaip taikomas BDAR, ir apsaugoti fizinių asmenų teises pateisina priežiūros institucijai suteiktus įgaliojimus. Vienas iš tokių įgaliojimų yra nustatyti aplinkybes, kuriomis duomenų tvarkytojas arba duomenų valdytojas tvarkė duomenis. Nagrinėjamu atveju svarbi yra būtent viena iš šių aplinkybių: asmenų, kurie duomenų valdytojo ar tvarkytojo vardu susipažįsta su klientų asmens duomenimis, tapatybė.

91.

Vis dėlto nė vienoje BDAR nuostatoje nereikalaujama, kad klientui būtų leidžiama susipažinti su šia informacija apie darbuotojų tapatybę, pateikta įstaigų vidaus registracijos įrašuose, iš kurių tos įstaigos gali sužinoti, kas ir kada tikrino kliento asmens duomenis (ir prireikus pateikti šią informaciją priežiūros institucijai).

92.

Priešingai, duomenų subjektui, dėl kurio atlikta konkreti duomenų tvarkymo operacija, turi būti suteikta informacija, būtina svarbioms aplinkybėms nustatyti, kad jis galėtų įvertinti duomenų tvarkymo operacijos teisėtumą ir prireikus ją užginčyti priežiūros institucijoje arba galiausiai teisminėje institucijoje.

93.

Šiai išvadai neturi įtakos tai, kad tuo atveju, jeigu tokiuose operacijų įrašuose iš tiesų pateikta duomenų subjekto asmens duomenų (t. y. nurodyta ne tik darbuotojų tapatybė), duomenų subjektas logiškai turi teisę gauti duomenų valdytojo patvirtinimą, kad jo asmens duomenys yra tvarkomi. Šiuo tikslu nėra skirtumo, ar asmens duomenys yra operacijų registre, ar kokiame nors kitame įstaigos vidaus žurnale arba duomenų bazėje.

C.   Trečiasis prejudicinis klausimas

94.

Prašymą priimti prejudicinį sprendimą pateikęs teismas nori sužinoti, ar „byloje [yra] reikšmingos aplinkybės, kad bankas vykdo reglamentuojamą veiklą ir kad J. M. vienu metu buvo banko darbuotojas ir klientas“.

95.

Laikausi nuomonės, kad tai, kas nurodyta pirma, negali pasikeisti dėl aplinkybės, jog duomenų valdytojas vykdo reglamentuojamą veiklą. Vis dėlto faktas, kad duomenų valdytojas yra bankas, kuriam taikomi specialūs tokioms įstaigoms skirti teisės aktai ( 34 ), gali turėti poveikį siekiant nustatyti duomenų tvarkymo teisėtumą (teisinį pagrindą), jeigu duomenys tvarkomi vykdant teisės aktuose numatytas prievoles, nustatytas tokiam tvarkymui ( 35 ).

96.

Iš esmės taip pat nesvarbu tai, kad asmuo, su kurio duomenimis susipažinta, buvo ir to banko darbuotojas, ir kartu klientas. BDAR 15 straipsnio 1 dalyje nedaroma skirtumo pagal duomenų subjekto profesinę veiklą, glaudžiai susijusią su jo, kaip finansų įstaigos kliento, statusu ( 36 ).

97.

Tiesa, kaip pažymėjo Komisija, BDAR 23 straipsnyje valstybėms narėms leidžiama teisės aktuose apriboti, be kita ko, 15 straipsnyje nustatytų pareigų ir teisių taikymo sritį priimant sektorines nuostatas, skirtas konkrečiai duomenų subjektų kategorijai. Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas nenurodo, kad nacionalinės teisės aktuose yra nustatytas koks nors tokio pobūdžio apribojimas.

V. Išvada

98.

Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui pateikti Itä-Suomen hallinto-oikeus (Rytų Suomijos administracinis teismas, Suomija) tokį atsakymą:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 15 straipsnio 1 dalis, siejama su šio reglamento 4 straipsnio 1 punktu,

turi būti aiškinama taip:

ji taikoma tuo atveju, kai duomenų subjektas prašymą susipažinti su informacija duomenų valdytojui pateikė po 2018 m. gegužės 25 d.

Pagal ją duomenų subjektui nesuteikiama teisės sužinoti, kaip dalį duomenų valdytojo turimos informacijos (prireikus iš operacijų registracijos įrašų ar žurnalų), darbuotojo (-ų), kuris (-ie), būdamas (-i) pavaldus (-ūs) duomenų valdytojui ir vykdydamas (-i) jo nurodymus, susipažino su duomenų subjekto asmens duomenimis, tapatybę.


( 1 ) Originalo kalba: ispanų.

( 2 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymas OL L 74, 2021, p. 35) (toliau – BDAR).

( 3 ) Duomenų apsaugos įstatymas. Jo 1 straipsnyje nurodyta, kad šiuo įstatymu įgyvendinamas ir papildomas BDAR.

( 4 ) Privatumo darbe apsaugos įstatymas.

( 5 ) Pankki norėjo išsiaiškinti, ar galėjo egzistuoti banko kliento, už kurio sąskaitos tvarkymą buvo atsakingas J. M., ir J. M. interesų konfliktas. Galiausiai padaryta išvada, kad J. M. nebuvo galima įtarti padarius kokį nors nusižengimą.

( 6 ) BDAR 99 straipsnio 2 dalis.

( 7 ) Tuo pačiu klausimu žr. generalinio advokato G. Pitruzzella išvados byloje Österreichische Post (Informacija apie asmens duomenų gavėjus) (C-154/21, EU:C:2022:452) 33 punktą: „<…> teisė susipažinti su duomenimis pagal BDAR 15 straipsnio 1 dalies c punktą atlieka funkcinį ir pagalbinį vaidmenį, susijusį su naudojimusi kitomis duomenų subjekto išimtinėmis teisėmis pagal BDAR“.

( 8 ) Arba, kaip nagrinėjamu atveju, nuo tada, kai pati teisės norma pradedama taikyti, jeigu taikymo pradžia nesutampa su įsigaliojimo momentu.

( 9 ) 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355).

( 10 ) Teisingumo Teismo jurisprudencija dėl teisės aktų pakeitimų galiojimo laiko atžvilgiu apibendrinta 2021 m. birželio 15 d. Sprendime Facebook Ireland ir kt. (C-645/19, EU:C:2021:483).

( 11 ) 2009 m. gegužės 7 d. Sprendimo Rijkeboer (C-553/07, EU:C:2009:293) 70 punkte dėl Direktyvos 95/46 nurodyta, kad „direktyvos 12 straipsnio a punktu iš valstybių narių reikalaujama numatyti teisę gauti tiek su dabartimi, tiek su praeitimi susijusią informaciją <…>. Valstybės narės turi nustatyti šios informacijos saugojimo trukmę bei atitinkamą teisę gauti ją taip, kad būtų užtikrinta tinkama pusiausvyra tarp, viena vertus, duomenų subjekto intereso apsaugoti privatų gyvenimą pasinaudojant, be kita ko, Direktyvoje 95/46 numatytomis įsiterpimo [įsikišimo] ir reikalavimų iškėlimo [teisių gynimo] priemonėmis ir, kita vertus, naštos, kuri duomenų valdytojui tenka dėl pareigos saugoti šią informaciją“. Kursyvu išskirta mano.

( 12 ) Nepažeidžiant prašymą priimti prejudicinį sprendimą pateikusio teismo pareigos prireikus išsiaiškinti šį klausimą, per teismo posėdį buvo nurodyti tokie teisėto duomenų tvarkymo pagrindai: pirma, Suomijos teisės aktuose numatyti įpareigojimai, pagal kuriuos Pankki, kaip finansų įstaiga, turi užtikrinti tinkamą rizikos valdymą, taip pat laikytis pinigų plovimo prevencijos ir kovos su juo taisyklių, susijusių su operacijų atsekamumu; antra, banko sutartys su klientais ir darbuotojais, pagal kurias leidžiama susipažinti su jų duomenimis tokiomis aplinkybėmis, kaip susiklosčiusios nagrinėjamoje byloje.

( 13 ) Žr. šios išvados 21 punktą.

( 14 ) Pagal šią nuostatą asmens duomenys yra „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, t. y. „kurio tapatybę [galima nustatyti] tiesiogiai arba netiesiogiai“.

( 15 ) Jo tapatybė nebuvo nustatyta kaip duomenų tvarkymo pasekmė ar tikslas, nes duomenys tvarkyti būtent po to, kai nustatyta J. M. tapatybė.

( 16 ) Kaip pažymėjo Komisija, gali būti, kad J. M. mano, jog pateiktos informacijos nepakanka arba ji yra netiksli. Bet kuriuo atveju pagal BDAR 15 straipsnio 1 dalį J. M. turi teisę gauti patvirtinimą, ar jo duomenys buvo arba yra tvarkomi (turi būti nurodytas jų tvarkymo laikas) ir kokiu tikslu tai daroma. Prašymą priimti prejudicinį sprendimą pateikęs teismas turėtų nustatyti, ar J. M. suteikta pakankamai informacijos abiem klausimais.

( 17 ) Žr. šios išvados 9 punktą, kuriame ta informacija nurodyta.

( 18 ) Kaip Teisingumo Teismas nurodė dėl Direktyvos 95/46 (jo suformuluotas nuostatas galima pritaikyti BDAR), šioje srityje Sąjungos teisės užtikrinami apsaugos principai „atspindėti, pirma, duomenis tvarkančių asmenų pareigose, nes šios pareigos iš esmės yra susijusios su duomenų kokybe, techniniu saugumu, priežiūros institucijos informavimu, aplinkybėmis, kurioms esant galima tvarkyti duomenis, ir, antra, asmenims, kurių duomenys tvarkomi, suteiktose teisėse gauti informaciją apie vykdomą duomenų tvarkymą, susipažinti su atitinkamais duomenimis, reikalauti juos ištaisyti ar net tam tikromis aplinkybėmis prieštarauti dėl jų tvarkymo“ (2017 m. gruodžio 20 d. Sprendimo Nowak, C-434/16, EU:C:2017:994, 48 punktas).

( 19 ) Kursyvu išskirta mano.

( 20 ) Teisė prašyti ištaisyti arba ištrinti asmens duomenis ar apriboti asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu; teisė pateikti skundą priežiūros institucijai; teisė būti informuotam apie duomenų, kurie nebuvo gauti iš duomenų subjekto, šaltinius.

( 21 ) Nutarties dėl prašymo priimti prejudicinį sprendimą 38 punktas.

( 22 ) BDAR 13, 14 ir 15 straipsniai, įtraukti į III skyriaus („Duomenų subjekto teisės“) 2 skirsnį („Informavimas ir teisė susipažinti su asmens duomenimis“), sudaro sistemą, grindžiamą tuo, kad yra pripažįstama teisė susipažinti su: a) duomenų valdytojo turimais asmens duomenimis, neatsižvelgiant į tai, kaip jie buvo gauti (13 ir 14 straipsniai); b) visų pirma aplinkybėmis, kuriomis atlikta kiekviena asmens duomenų tvarkymo operacija (15 straipsnis).

( 23 ) Kursyvu išskirta mano.

( 24 ) Taip mano ir Europos duomenų apsaugos valdyba 2020 m. rugsėjo 2 d. priimtose savo Gairėse Nr. 07/2020 dėl sąvokų „duomenų valdytojas“ ir „duomenų tvarkytojas“ pagal BDAR (83–90 punktai).

( 25 ) Tokiu atveju būtų taikoma BDAR 34 straipsnio 1 dalis.

( 26 ) Tokios nuomonės laikosi Europos duomenų apsaugos valdyba minėtose gairėse Nr. 07/2020 (88 punktas): „[d]arbuotojas ir kt., kuris gauna prieigą prie duomenų, su kuriais jis neturi teisės susipažinti, ir kitais nei darbdavio tikslais <…>. Priešingai, šis darbuotojas turėtų būti laikomas trečiąja šalimi darbdavio atliekamo duomenų tvarkymo atžvilgiu. Jei darbuotojas tvarko asmens duomenis savo tikslais, nesusijusiais su darbdavio tikslais, jis bus laikomas duomenų valdytoju ir prisiims visas su asmens duomenų tvarkymu susijusias pasekmes ir atsakomybę“.

( 27 ) Tokią pačią išvadą galima padaryti aiškinant BDAR 13 ir 14 straipsniuose ir 61 konstatuojamojoje dalyje pateiktas nuorodas į laiką, per kurį duomenų subjektams turi būti suteikta informacija apie duomenų gavėjams atskleistų asmens duomenų tvarkymą. Iš šių nuorodų matyti, kad duomenų gavėjas yra išorinis subjektas arba išorinis asmuo, nesusijęs su duomenų valdytoju ir (arba) tvarkytoju.

( 28 ) Suomijos vyriausybė per teismo posėdį nurodė, kad ji įtvirtino tokią poziciją, reglamentuodama sveikatos duomenis.

( 29 ) Sunku numatyti tokios pareigos pripažinimo pasekmes kasdienei įmonių veiklai, visų pirma toms įmonėms, kurios turi tvarkyti milijonus savo klientų asmens duomenų (logiška, kad juos tvarko jų darbuotojai).

( 30 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016, p. 89).

( 31 ) Per teismo posėdį paaiškinta, kad nuoroda į Direktyvą 2016/680 nereiškia, kad ji taikoma nagrinėjamoje byloje, kuri nėra baudžiamoji.

( 32 ) Šios nuostatos pakartotos 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018, p. 39), 88 straipsnyje, jo 2 dalį papildžius nuostata, kad registracijos įrašai ištrinami po trejų metų, išskyrus atvejus, kai jų reikia tęstinei kontrolei vykdyti.

( 33 ) Direktyvos 2016/680 25 straipsnio 1 dalyje aiškiai nurodytas „asm[uo], kuris susipažino su asmens duomenimis arba juos atskleidė“. Apskritai BDAR 30 straipsnio 2 dalies a punkte, paminint ne kiekvieną konkrečią duomenų tvarkymo veiklą, o „duomenų tvarkymo veikl[os], vykdom[os] duomenų valdytojo vardu, [kategorijas]“, nurodytas „duomenų tvarkytojo <…> vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys“, t. y. „asmuo <…>, kuri[s] duomenų valdytojo vardu tvarko asmens duomenis“, kaip nustatyta BDAR 4 straipsnio 8 punkte.

( 34 ) Pavyzdžiui, tokiuose specialiuose teisės aktuose gali būti numatyta tai, kad „nusikalstamų veikų tyrimo, atskleidimo ar baudžiamojo persekiojimo tikslais finansų įstaigos saugo tam tikrus savo tvarkomus asmens duomenis ir pateikia tuos asmens duomenis tik kompetentingoms nacionalinėms institucijoms konkrečiais atvejais ir laikydamosi valstybės narės teisės“ (Direktyvos 2016/680 11 konstatuojamoji dalis).

( 35 ) Žr. šios išvados 12 išnašą.

( 36 ) Prašymą priimti prejudicinį sprendimą pateikęs teismas nekelia klausimo dėl galimo J. M., kaip Pankki darbuotojo, teisių pažeidimo.

Top