TEISINGUMO TEISMO (pirmoji kolegija) SPRENDIMAS

2023 m. birželio 22 d. ( *1 )

„Prašymas priimti prejudicinį sprendimą – Asmens duomenų tvarkymas – Reglamentas (ES) 2016/679 – 4 ir 15 straipsniai – Teisės susipažinti su 15 straipsnyje nurodyta informacija apimtis – Duomenų tvarkymo sistemos sukurtuose operacijų žurnalo įrašuose esanti informacija (log data) – 4 straipsnis – Sąvoka „asmens duomenys“ – Sąvoka „duomenų gavėjai“ – Taikymas laiko atžvilgiu“

Byloje C‑579/21

dėl Itä-Suomen hallinto-oikeus (Rytų Suomijos administracinis teismas, Suomija) 2021 m. rugsėjo 21 d. sprendimu, kurį Teisingumo Teismas gavo 2021 m. rugsėjo 22 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje, inicijuotoje

J. M.,

dalyvaujant

Apulaistietosuojavaltuutettu,

Pankki S,

TEISINGUMO TEISMAS (pirmoji kolegija),

kurį sudaro kolegijos pirmininkas A. Arabadjiev, teisėjai P. G. Xuereb, T. von Danwitz, A. Kumin ir I. Ziemele (pranešėja),

generalinis advokatas M. Campos Sánchez-Bordona,

posėdžio sekretorė C. Strömholm, administratorė,

atsižvelgęs į rašytinę proceso dalį ir įvykus 2022 m. spalio 12 d. posėdžiui,

išnagrinėjęs pastabas, pateiktas:

J. M.,

Apulaistietosuojavaltuutettu, atstovaujamo tietosuojavaltuutettu A. Talus,

Pankki S, atstovaujamo asianajajat T. Kalliokoski ir J. Lång, taip pat oikeustieteen maisteri E.‑L. Hokkonen,

Suomijos vyriausybės, atstovaujamos A. Laine ir H. Leppo,

Čekijos vyriausybės, atstovaujamos A. Edelmannová, M. Smolek ir J. Vláčil,

Austrijos vyriausybės, atstovaujamos A. Posch,

Europos Komisijos, atstovaujamos A. Bouchagiar, H. Kranenborg ir I. Söderlund,

susipažinęs su 2022 m. gruodžio 15 d. posėdyje pateikta generalinio advokato išvada,

priima šį

Sprendimą

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 15 straipsnio 1 dalies išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant J. M. inicijuotą bylą dėl Apulaistietosuojavaltuutettule (duomenų apsaugos priežiūros pareigūno pavaduotojas, Suomija) sprendimo atmesti J. M. prašymą įpareigoti Suomijoje įsteigtą banką Pankki S pateikti jam tam tikrą informaciją apie jo asmens duomenų tvarkymo operacijas.

Teisinis pagrindas

3

BDAR 4, 10, 11, 26, 39, 58, 60, 63 ir 74 konstatuojamosiose dalyse nurodyta:

„(4)

asmens duomenys turėtų būti tvarkomi taip, kad tai pasitarnautų žmonijai. Teisė į asmens duomenų apsaugą nėra absoliuti; <…>

<…>

(10)

siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo [Europos] Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. <…>

(11)

siekiant veiksmingos asmens duomenų apsaugos visoje Sąjungoje, reikia ne tik sustiprinti ir išsamiai nustatyti duomenų subjektų teises ir asmens duomenis tvarkančių ir jų tvarkymą nustatančių subjektų prievoles <…>

<…>

(26)

<…> Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. <…>

<…>

(39)

bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. Tas principas visų pirma susijęs su duomenų subjektų informavimu apie duomenų valdytojo tapatybę ir duomenų tvarkymo tikslus, taip pat su tolesniu informavimu, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas atitinkamų fizinių asmenų atžvilgiu, jų teise gauti patvirtinimą dėl su jais susijusių asmens duomenų tvarkymo ir teise tuos duomenis gauti. Fiziniai asmenys turėtų būti informuoti apie su asmens duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones bei teises ir apie tai, kaip naudotis savo teisėmis tokio asmens duomenų tvarkymo srityje. Visų pirma, konkretūs tikslai, kuriais tvarkomi asmens duomenys, turėtų būti aiškūs, teisėti ir nustatyti asmens duomenų rinkimo metu. <…>

<…>

(58)

pagal skaidrumo principą visuomenei arba duomenų subjektui skirta informacija turi būti glausta, lengvai prieinama ir suprantama, pateikiama aiškia ir paprasta kalba ir, be to, prireikus naudojamas vizualizavimas. Tokia informacija galėtų būti pateikta elektronine forma, pavyzdžiui, interneto svetainėje, kai ji skirta viešai paskelbti. Tai ypač svarbu tais atvejais, kai dėl dalyvių gausos ir naudojamų technologijų sudėtingumo duomenų subjektui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka ir kokiu tikslu, kaip antai reklama internete. Atsižvelgiant į tai, kad vaikams turi būti užtikrinta ypatinga apsauga, informacija ir pranešimai, kai duomenų tvarkymas orientuotas į vaiką, turėtų būti suformuluoti vaikui lengvai suprantama aiškia ir paprasta kalba;

<…>

(60)

pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus. Duomenų valdytojas turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą. <…>

<…>

(63)

duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. <…> Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas visų pirma apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. <…> Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. <…>

<…>

(74)

turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms.“

4

BDAR 1 straipsnio „Dalykas ir tikslai“ 2 dalyje nustatyta:

„Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.“

5

Šio reglamento 4 straipsnyje numatyta:

„Šiame reglamente:

1)

asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti <…>; fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2)

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

<…>

7)

duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones <…>;

<…>

9)

duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. <…>

<…>

21)

priežiūros institucija – valstybės narės pagal 51 straipsnį įsteigta nepriklausoma valdžios institucija;

<…>“

6

Nurodyto reglamento 5 straipsnis „Su asmens duomenų tvarkymu susiję principai“, suformuluotas taip:

1.   Asmens duomenys turi būti:

a)

duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

<…>

f)

tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

7

Šio reglamento 12 straipsnyje „Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos“ nustatyta:

1.   Duomenų valdytojas imasi tinkamų priemonių, kad visą 13 ir 14 straipsniuose nurodytą informaciją ir visus pranešimus pagal 15–22 ir 34 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba <…> Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. <…>

<…>

5.   <…> Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas <…>:

<…>

b)

gali atsisakyti imtis veiksmų pagal prašymą.

Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.

<…>“

8

Šio reglamento 15 straipsnyje „Duomenų subjekto teisė susipažinti su duomenimis“ nustatyta:

1.   Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:

a)

duomenų tvarkymo tikslai;

b)

atitinkamų asmens duomenų kategorijos;

c)

duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;

d)

kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;

e)

teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;

f)

teisė pateikti skundą priežiūros institucijai;

g)

kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;

h)

tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.

<…>

3.   Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. <…>

4.   3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms.“

9

Minėto reglamento 16 ir 17 straipsniuose atitinkamai įtvirtinta duomenų subjekto teisė reikalauti ištaisyti netikslius asmens duomenis (teisė reikalauti ištaisyti duomenis) ir teisė tam tikromis aplinkybėmis reikalauti ištrinti asmens duomenis (teisė reikalauti ištrinti duomenis arba „teisė būti pamirštam“).

10

To paties reglamento 18 straipsnio „Teisė apriboti duomenų tvarkymą“ 1 dalyje nustatyta:

„Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą kai taikomas vienas iš šių atvejų:

a)

asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;

b)

asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

c)

duomenų valdytojui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba

d)

duomenų subjektas pagal 21 straipsnio 1 dalį paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.“

11

BDAR 21 straipsnio „Teisė nesutikti“ 1 dalyje numatyta:

„Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.“

12

To paties reglamento 24 straipsnio 1 dalyje nustatyta:

„Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. <…>“

13

Šio reglamento 29 straipsnis „Duomenų valdytojui ar duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas“ suformuluotas taip:

„Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.“

14

BDAR 30 straipsnyje „Duomenų tvarkymo veiklos įrašai“ numatyta:

„1.   Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. <…>

<…>

4.   Duomenų valdytojas <…> ir, jei taikoma, [jo] atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.

<…>“

15

Šio reglamento 58 straipsnio „Įgaliojimai“ 1 dalyje nustatyta:

„Kiekviena priežiūros institucija turi visus šiuos tyrimo įgaliojamus:

a)

nurodyti duomenų valdytojui ir duomenų tvarkytojui ir, kai taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovui pateikti visą jos užduotims atlikti reikalingą informaciją;

<…>“

16

Minėto reglamento 77 straipsnyje „Teisė pateikti skundą priežiūros institucijai“ nurodyta:

„1.   Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

2.   Priežiūros institucija, kuriai pateiktas skundas, informuoja skundo pateikėją apie skundo nagrinėjimo pažangą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 78 straipsnį.“

17

BDAR 79 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją“ 1 dalyje nustatyta:

„Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.“

18

Šio reglamento 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1 dalyje numatyta:

„Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.“

19

Kaip nurodyta BDAR 99 straipsnio 2 dalyje, šis reglamentas taikomas nuo 2018 m. gegužės 25 d.

Pagrindinė byla ir prejudiciniai klausimai

20

2014 m. J. M., tuometinis Pankki S darbuotojas ir klientas, sužinojo, kad laikotarpiu nuo 2013 m. lapkričio 1 d. iki gruodžio 31 d. banko darbuotojai kelis kartus tikrino jo, kaip kliento, asmens duomenis.

21

Suabejojęs šio tikrinimo teisėtumu, 2018 m. gegužės 29 d. J. M., tuo metu jau atleistas iš darbo Pankki S, paprašė šio banko pranešti jam darbuotojų, kurie susipažino su jo, kaip kliento, duomenimis, tapatybę, tikslias susipažinimo datas ir tų duomenų tvarkymo tikslus.

22

2018 m. rugpjūčio 30 d. atsakyme Pankki S, kaip duomenų valdytojas pagal BDAR 4 straipsnio 7 punktą, atsisakė pateikti duomenis tvarkiusių darbuotojų vardus ir pavardes tuo pagrindu, kad ši informacija yra jų asmens duomenys.

23

Vis dėlto šiame atsakyme Pankki S paaiškino duomenų tikrinimo operacijas, kurias jo nurodymu atliko jo vidaus audito skyrius. Jis nurodė, kad vienas šio banko, kuriame J. M. dirbo klientų konsultantu, klientas buvo asmens, kurio pavardė taip pat buvo J. M., kreditorius, todėl bankas norėjo išsiaiškinti, ar ieškovas pagrindinėje byloje ir atitinkamas skolininkas yra vienas ir tas pats asmuo ir ar nėra neleistino interesų konflikto. Pankki S pridūrė, kad siekiant tai išsiaiškinti reikėjo tvarkyti J. M. asmens duomenis, tačiau visi šiuos duomenis tvarkę banko darbuotojai vidaus audito skyriui pateikė paaiškinimus dėl duomenų tvarkymo pagrindų. Be to, bankas pareiškė, kad šis tvarkymas leido išsklaidyti visus įtarimus dėl interesų konflikto J. M. atžvilgiu.

24

J. M. kreipėsi į Tietosuojavaltuutetun toimisto (Duomenų apsaugos priežiūros pareigūno biuras, Suomija) – priežiūros instituciją, kaip ji suprantama pagal BDAR 4 straipsnio 21 punktą, – su prašymu įpareigoti Pankki S pateikti prašomą informaciją.

25

2020 m. rugpjūčio 4 d. sprendimu duomenų apsaugos priežiūros pareigūno pavaduotojas atmetė J. M. prašymą. Jis paaiškino, kad tokiu prašymu siekta leidimo J. M. susipažinti su duomenis tvarkiusių darbuotojų operacijų žurnalo įrašais, tačiau, remiantis jo praktika, tokie įrašai yra asmens duomenys, susiję ne su duomenų subjektu, bet su jo duomenis tvarkiusiais darbuotojais.

26

J. M. apskundė šį sprendimą prašymą priimti prejudicinį sprendimą pateikusiam teismui.

27

Šis teismas primena, kad BDAR 15 straipsnyje numatyta duomenų subjekto teisė gauti duomenų valdytojo leidimą susipažinti su tvarkomais jo asmens duomenimis ir informacija apie, be kita ko, duomenų tvarkymo tikslus ir duomenų gavėjus. Jam kyla klausimas, ar BDAR 15 straipsnis apima vykdant duomenų tvarkymo operacijas daromų operacijų žurnalo įrašų, kuriuose yra tokios informacijos, be kita ko, apie duomenų valdytojo darbuotojų tapatybę, atskleidimą, nes šie įrašai gali būti reikalingi duomenų subjektui siekiant įvertinti jo asmens duomenų tvarkymo teisėtumą.

28

Šiomis aplinkybėmis Itä-Suomen hallinto-oikeus (Rytų Suomijos administracinis teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.

Ar pagal [BDAR] 15 straipsnio 1 dalį duomenų subjekto turima teisė susipažinti su duomenimis, siejama su [sąvoka] „asmens duomenys“, kaip ji suprantama pagal šio reglamento 4 straipsnio 1 punktą, turi būti aiškinama taip, kad duomenų valdytojo surinkta informacija, iš kurios matyti, kas, kada ir kokiais tikslais tvarkė duomenų subjekto asmens duomenis, nėra informacija, su kuria duomenų subjektas gali susipažinti, visų pirma dėl to, kad tai yra duomenys, susiję su duomenų valdytojo darbuotojais?

2.

Jeigu į pirmąjį klausimą būtų atsakyta teigiamai ir duomenų subjektas pagal BDAR 15 straipsnio 1 dalį neturėtų teisės susipažinti su pirmajame klausime nurodyta informacija dėl to, kad ji nėra duomenų subjekto „asmens duomenys“ pagal BDAR 4 straipsnio 1 punktą, šiuo atveju dar kiltų klausimų dėl informacijos, su kuria duomenų subjektas turi teisę susipažinti pagal 15 straipsnio 1 dalies [a–h] punktus:

a)

kaip turi būti aiškinami duomenų tvarkymo tikslai pagal [BDAR] 15 straipsnio 1 dalies a punktą atsižvelgiant į duomenų subjekto teisės susipažinti su duomenimis mastą, t. y. ar duomenų tvarkymo tikslais gali būti grindžiama teisė susipažinti su naudotojo žurnalo duomenimis, kuriuos surinko duomenų valdytojas, kaip antai su informacija apie asmens duomenis tvarkiusių darbuotojų asmens duomenis ir apie asmens duomenų tvarkymo laiką ir tikslus?

b)

Ar J. M., kaip kliento, duomenis tvarkę asmenys tokiomis aplinkybėmis remiantis tam tikrais kriterijais gali būti laikomi [BDAR] 15 straipsnio 1 dalies c punkte nurodytais asmens duomenų gavėjais, su kuriais susijusią informaciją duomenų subjektas galėtų gauti?

3.

Ar byloje reikšmingos aplinkybės, kad bankas vykdo reglamentuojamą veiklą ir kad J. M. vienu metu buvo banko darbuotojas ir klientas?

4.

Ar atsakant į pirma pateiktus klausimus reikšminga aplinkybė, kad J. M. duomenys buvo tvarkomi prieš įsigaliojant [BDAR]?“

Dėl prejudicinių klausimų

Dėl ketvirtojo klausimo

29

Ketvirtuoju klausimu, kurį tikslinga nagrinėti pirmiausia, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 15 straipsnis, siejamas su šio reglamento 99 straipsnio 2 dalimi, taikomas prašymui leisti susipažinti su pirmoje iš šių nuostatų nurodyta informacija, kai šiame prašyme nurodytos duomenų tvarkymo operacijos buvo atliktos iki minėto reglamento taikymo pradžios dienos, tačiau pats prašymas pateiktas po šios datos.

30

Siekiant atsakyti į šį klausimą, reikia pažymėti, kad pagal BDAR 99 straipsnio 2 dalį šis reglamentas taikomas nuo 2018 m. gegužės 25 d.

31

Nagrinėjamu atveju iš prašymo priimti prejudicinį sprendimą matyti, kad pagrindinėje byloje nagrinėjamos asmens duomenų tvarkymo operacijos buvo atliktos laikotarpiu nuo 2013 m. lapkričio 1 d. iki 2013 m. gruodžio 31 d., t. y. iki BDAR taikymo pradžios datos. Vis dėlto taip pat matyti, kad J. M. savo prašymą suteikti informacijos pateikė Pankki S po šios datos, t. y. 2018 m. gegužės 29 d.

32

Šiuo aspektu reikia priminti, kad procesinės teisės normos paprastai laikomos taikytinomis nuo jų įsigaliojimo momento, skirtingai nei materialinės teisės normos, kurios paprastai aiškinamos kaip taikytinos iki jų įsigaliojimo susidariusioms situacijoms, tik jeigu iš šių normų formuluotės, tikslo ar struktūros aiškiai matyti, kad turi būti pripažintas toks jų poveikis (2021 m. birželio 15 d. Sprendimo Facebook Ireland ir kt., C‑645/19, EU:C:2021:483, 100 punktas ir jame nurodyta jurisprudencija).

33

Nagrinėjamu atveju iš prašymo priimti prejudicinį sprendimą matyti, kad J. M. prašymas suteikti jam pagrindinėje byloje nagrinėjamą informaciją susijęs su BDAR 15 straipsnio 1 dalimi, kurioje numatyta duomenų subjekto teisė susipažinti su tvarkomais jo asmens duomenimis ir su šioje nuostatoje nurodyta informacija.

34

Reikia konstatuoti, kad ši nuostata nesusijusi su duomenų subjekto asmens duomenų tvarkymo teisėtumo sąlygomis. Iš tiesų BDAR 15 straipsnio 1 dalyje tik patikslinama šio asmens teisės susipažinti su joje nurodytais duomenimis ir informacija apimtis.

35

Iš to išplaukia, kad, kaip savo išvados 33 punkte pažymėjo generalinis advokatas, pagal BDAR 15 straipsnio 1 dalį duomenų subjektams suteikiama procedūrinio pobūdžio teisė gauti informaciją apie jų asmens duomenų tvarkymą. Kaip procedūrinė norma, ji taikoma prašymams leisti susipažinti, pateiktiems p[radėjus taikyti šį reglamentą, kaip antai J. M. prašymui.

36

Šiomis aplinkybėmis į ketvirtąjį klausimą reikia atsakyti: BDAR 15 straipsnis, siejamas su šio reglamento 99 straipsnio 2 dalimi, turi būti aiškinamas kaip taikomas prašymui leisti susipažinti su šioje nuostatoje nurodyta informacija, kai šiame prašyme nurodytos duomenų tvarkymo operacijos buvo atliktos iki minėto reglamento taikymo pradžios dienos, tačiau pats prašymas pateiktas po šios datos.

Dėl pirmojo ir antrojo klausimų

37

Pirmuoju ir antruoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 15 straipsnio 1 dalis turi būti aiškinama taip, kad informacija apie asmens duomenų tvarkymo operacijas, konkrečiai kalbant apie šių operacijų datas, tikslus ir operacijas atlikusių fizinių asmenų tapatybę, yra informacija, kurią šis asmuo turi teisę gauti iš duomenų valdytojo pagal šią nuostatą.

38

Pirmiausia reikia priminti, kad remiantis suformuota jurisprudencija aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekstą, bet ir į kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus bei paskirtį (2023 m. sausio 12 d. Sprendimo Österreichische Post (Informacija apie asmens duomenų gavėjus), C‑154/21, EU:C:2023:3, 29 punktas).

39

Visų pirma, kiek tai susiję su BDAR 15 straipsnio 1 dalies formuluote, pažymėtina, kad šioje nuostatoje nurodyta, jog duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jeigu tokie asmens duomenys yra tvarkomi, – teisę susipažinti su tais duomenimis ir informacija apie, be kita ko, tvarkymo tikslus ir duomenų gavėjus, kuriems buvo arba bus atskleisti šie asmens duomenys, arba tokių gavėjų kategorijas.

40

Šiuo klausimu svarbu pabrėžti, kad BDAR 15 straipsnio 1 dalyje vartojamos sąvokos apibrėžtos šio reglamento 4 straipsnyje.

41

Pirmiausia BDAR 4 straipsnio 1 punkte „asmens duomenys“ apibrėžiami kaip „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, taip pat patikslinama, kad „fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“.

42

Šioje nuostatoje esančių žodžių „bet kokia informacija“ vartojimas apibrėžiant sąvoką „asmens duomenys“ atspindi Sąjungos teisės aktų leidėjo tikslą šiai sąvokai suteikti plačią reikšmę, kuri potencialiai apima bet kokios rūšies informaciją – tiek objektyvią, tiek subjektyvią, nuomonių ar vertinimų pavidalo, jei tik ji yra „apie“ atitinkamą asmenį (2023 m., gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 23 punktas).

43

Šiuo klausimu buvo nuspręsta, kad informacija yra apie fizinį asmenį, kurio tapatybė yra arba gali būti nustatyta, jeigu dėl savo turinio, tikslo ar poveikio ji yra susijusi su asmeniu, kurio tapatybė gali būti nustatyta (2023 m., gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 24 punktas).

44

Dėl to, ar „galima nustatyti asmens tapatybę“, BDAR 26 konstatuojamojoje dalyje nurodyta, kad reikia atsižvelgti „į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo“.

45

Iš to matyti, kad plati sąvokos „asmens duomenys“ apibrėžtis apima ne tik duomenų valdytojo surinktus ir saugomus duomenis, bet ir visą tvarkant asmens duomenis gautą informaciją, susijusią su asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 26 punktą).

46

Antra, kiek tai susiję su sąvoka „tvarkymas“, kaip ji apibrėžta BDAR 4 straipsnio 2 punkte, reikia konstatuoti, kad vartodamas žodžių junginį „bet kuri operacija“ Sąjungos teisės aktų leidėjas siekė suteikti šiai sąvokai plačią reikšmę, pateikdamas nebaigtinį operacijų, taikomų asmens duomenims ar jų rinkiniams, sąrašą, kuris, be kita ko, apima jų rinkimą, įrašymą, saugojimą ar susipažinimą su jais (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 27 punktą).

47

Trečia, BDAR 4 straipsnio 9 punkte patikslinta, kad duomenų gavėjas – tai „fizinis ar juridinis asmuo, valdžios institucija, agentūra ar bet kuri kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne“.

48

Šiuo klausimu Teisingumo Teismas yra nusprendęs, kad duomenų subjektas turi teisę iš duomenų valdytojo gauti informaciją apie konkrečius duomenų gavėjus, kuriems buvo ar bus atskleisti su duomenų subjektu susiję asmens duomenys (2023 m. sausio 12 d. Sprendimo Österreichische Post (Informacija apie asmens duomenų gavėjus), C‑154/21, EU:C:2023:3, 46 punktas).

49

Taigi iš BDAR 15 straipsnio 1 dalies ir joje esančių sąvokų teksto analizės matyti, kad pagal šią nuostatą duomenų subjektui suteikta teisė susipažinti su duomenimis apima platų informacijos, kurią duomenų valdytojas turi pateikti šiam asmeniui, spektrą.

50

Kiek tai susiję su BDAR 15 straipsnio 1 dalies kontekstu, svarbu priminti, pirma, kad šio reglamento 63 konstatuojamojoje dalyje numatyta, kad kiekvienas duomenų subjektas turi turėti teisę žinoti ir būti informuotas visų pirma apie asmens duomenų tvarkymo tikslus, jei įmanoma, apie šių duomenų tvarkymo trukmę ir tokių duomenų gavėjų tapatybę.

51

Antra, BDAR 60 konstatuojamojoje dalyje nurodyta, kad pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui turi būti pranešta apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, o duomenų valdytojas turėtų pateikti jam visą papildomą informaciją, būtiną tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą. Be to, pagal prašymą priimti prejudicinį sprendimą pateikusio teismo nurodytą skaidrumo principą, į kurį daroma nuoroda BDAR 58 konstatuojamojoje dalyje ir kuris aiškiai įtvirtintas šio reglamento 12 straipsnio 1 dalyje, visa duomenų subjektui skirta informacija turi būti glausta, lengvai prieinama ir suprantama, pateikta aiškia ir paprasta kalba.

52

Šiuo klausimu BDAR 12 straipsnio 1 dalyje nurodyta, kad duomenų valdytojas informaciją turi pateikti raštu arba kitomis priemonėmis, įskaitant, kai tinkama, elektroninėmis priemonėmis, nebent duomenų subjektas prašytų ją pateikti žodžiu. Šios nuostatos, kuri yra skaidrumo principo išraiška, tikslas – užtikrinti, kad duomenų subjektas galėtų visapusiškai suprasti jam perduodamą informaciją (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 38 punktas ir jame nurodyta jurisprudencija).

53

Iš pateiktos kontekstinės analizės matyti, kad BDAR 15 straipsnio 1 dalis yra viena iš nuostatų, kuriomis siekiama užtikrinti asmens duomenų tvarkymo būdų skaidrumą duomenų subjekto atžvilgiu.

54

Galiausiai tokį BDAR 15 straipsnio 1 dalyje numatytos teisės susipažinti su duomenimis apimties aiškinimą patvirtina šiuo reglamentu siekiami tikslai.

55

Iš tiesų, pirma, šiuo reglamentu, kaip nurodyta jo 10 ir 11 konstatuojamosiose dalyse, siekiama užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą Sąjungoje, taip pat sustiprinti ir išsamiai nustatyti duomenų subjektų teises.

56

Be to, kaip matyti iš BDAR 63 konstatuojamosios dalies, suteikiant asmeniui teisę susipažinti su jo paties asmens duomenimis ir kita šio reglamento 15 straipsnio 1 dalyje nurodyta informacija pirmiausia siekiama, kad šis asmuo žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Iš šios konstatuojamosios dalies ir, kaip nurodyta šio sprendimo 50 punkte, darytina išvada, kad kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas visų pirma apie asmens duomenų tvarkymo tikslus, jei įmanoma, apie šių duomenų tvarkymo trukmę, tokių duomenų gavėjų tapatybę ir pagal kokią logiką jie tvarkomi.

57

Šiuo klausimu reikia priminti, kad Teisingumo Teismas jau yra nusprendęs, jog BDAR 15 straipsnyje numatyta teisė susipažinti su duomenimis turi leisti duomenų subjektui įsitikinti, kad jo asmens duomenys yra tikslūs ir tvarkomi teisėtai (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 34 punktas).

58

Konkrečiai kalbant, ši teisė susipažinti su duomenimis yra būtina tam, kad duomenų subjektas prireikus galėtų pasinaudoti teise ištaisyti duomenis, teise ištrinti duomenis („teisė būti pamirštam“) ir teise apriboti duomenų tvarkymą, kurios jam suteiktos atitinkamai pagal BDAR 16–18 straipsnius, taip pat BDAR 21 straipsnyje numatyta teise nesutikti, kad jo asmens duomenys būtų tvarkomi, ir BDAR 79 ir 82 straipsniuose numatyta teise pareikšti ieškinį, kai patiriama žalos (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 35 punktas ir jame nurodyta jurisprudencija).

59

Taigi BDAR 15 straipsnio 1 dalis yra viena iš nuostatų, skirtų asmens duomenų tvarkymo būdų skaidrumui duomenų subjekto atžvilgiu užtikrinti (2023 m. sausio 12 d. Sprendimo Österreichische Post (Informacija apie asmens duomenų gavėjus), C‑154/21, EU:C:2023:3, 42 punktas), nes be šio skaidrumo duomenų subjektas negalėtų įvertinti savo duomenų tvarkymo teisėtumo ir pasinaudoti šio reglamento 16–18, 21, 79 ir 82 straipsniuose numatytomis teisėmis.

60

Nagrinėjamu atveju iš prašymo priimti prejudicinį sprendimą matyti, kad J. M. paprašė Pankki S pateikti jam informaciją apie nuo 2013 m. lapkričio 1 d. iki 2013 m. gruodžio 31 d. su jo asmens duomenimis atliktas tikrinimo operacijas, taip pat apie šių tikrinimų datas, jų tikslus ir šiuos tikrinimus atlikusių asmenų tapatybę. Prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad vykdant nurodytas operacijas padarytų žurnalo įrašų pateikimas leistų patenkinti J. M. prašymą.

61

Nagrinėjamu atveju neginčijama, kad su ieškovo pagrindinėje byloje asmens duomenimis atliktos tikrinimo operacijos yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, todėl pagal šio reglamento 15 straipsnio 1 dalį jam suteikiama ne tik teisė susipažinti su šiais asmens duomenimis, bet ir teisė gauti šioje nuostatoje nurodytą informaciją apie minėtas operacijas.

62

J. M. prašyta pateikti informacija, pirmiausia susijusi su tikrinimų operacijų datomis, leistų duomenų subjektui įsitikinti, kad jo asmens duomenys tikrai buvo tvarkomi konkrečiu momentu. Be to, kadangi BDAR 5 ir 6 straipsniuose numatytos teisėtumo sąlygos turi būti įvykdytos paties duomenų tvarkymo momentu, tokio tvarkymo data yra veiksnys, leidžiantis patikrinti jo teisėtumą. Taip pat svarbu pažymėti, kad informacija apie duomenų tvarkymo tikslus aiškiai nurodyta šio reglamento 15 straipsnio 1 dalies a punkte. Galiausiai šio reglamento 15 straipsnio 1 dalies c punkte numatyta, kad duomenų valdytojas informuoja duomenų subjektą apie gavėjus, kuriems jo duomenys buvo atskleisti.

63

Konkrečiau kalbant apie visos šios informacijos perdavimą pateikiant pagrindinėje byloje nagrinėjamų duomenų tvarkymo operacijų žurnalo įrašus, reikia pažymėti, kad BDAR 15 straipsnio 3 dalies pirmame sakinyje nurodyta, kad duomenų valdytojas „pateikia tvarkomų asmens duomenų kopiją“.

64

Šiuo klausimu Teisingumo Teismas jau yra nusprendęs, kad vartojama sąvoka „kopija“ reiškia tikslų originalo atgaminimą ar perrašymą, todėl bendras tvarkomų duomenų aprašymas arba nuoroda į asmens duomenų kategorijas neatitinka šios apibrėžties. Be to, iš šio reglamento 15 straipsnio 3 dalies pirmo sakinio matyti, kad pareiga pateikti susijusi su asmens duomenimis, kurie yra nagrinėjamo tvarkymo objektas (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 21 punktą).

65

Kopijoje, kurią privalo pateikti duomenų valdytojas, turi būti nurodyti visi tvarkomi asmens duomenys, ji turi atitikti visus požymius, leidžiančius duomenų subjektui veiksmingai įgyvendinti savo teises pagal šį reglamentą, todėl joje turi būti visiškai ir tiksliai atgaminti šie duomenys (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 32 ir 39 punktus).

66

Siekiant užtikrinti, kad taip pateiktą informaciją būtų lengva suprasti, kaip to reikalaujama pagal BDAR 12 straipsnio 1 dalį, siejamą su šio reglamento 58 konstatuojamąja dalimi, dokumentų ištraukų ar net visos apimties dokumentų ar išrašų iš duomenų bazių, kuriuose, be kita ko, yra tvarkomų asmens duomenų, atgaminimas gali būti būtinas tuo atveju, kai reikia nurodyti asmens duomenų tvarkymo kontekstą, siekiant užtikrinti, kad jie būtų suprantami. Konkrečiai kalbant, kai asmens duomenys generuojami remiantis kitais duomenimis arba kai tokie duomenys gaunami iš tuščių laukelių, t. y. kai nėra informaciją apie duomenų subjektą atskleidžiančių nuorodų, tokių duomenų tvarkymo kontekstas yra būtinas elementas, kad duomenų subjektas galėtų turėti skaidrią prieigą ir kad šie duomenys būtų jam pateikti suprantamai (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 41 ir 42 punktai).

67

Nagrinėjamu atveju, kaip savo išvados 88–90 punktuose pažymėjo generalinis advokatas, operacijų žurnalo įrašai, kuriuose yra J. M. prašomos informacijos, atitinka veiklos įrašus, kaip tai suprantama pagal BDAR 30 straipsnį. Šie įrašai turi būti laikomi patenkančiais į to reglamento 74 konstatuojamojoje dalyje nurodytų priemonių, kurias duomenų valdytojas įgyvendina siekdamas įrodyti, kad duomenų tvarkymo veikla atitinka tą reglamentą, taikymo sritį. To paties reglamento 30 straipsnio 4 dalyje visų pirma nurodyta, kad pateikus prašymą priežiūros institucijai turi būti suteikta galimybė su jais susipažinti.

68

Jeigu šiuose veiklos įrašuose nėra informacijos, susijusios su fiziniu asmeniu, kurio tapatybė yra arba gali būti nustatyta, kaip tai suprantama pagal šio sprendimo 42 ir 43 punktuose primintą jurisprudenciją, jie tik leidžia duomenų valdytojui įvykdyti savo pareigas priežiūros institucijai, kuri prašo juos pateikti.

69

Dėl duomenų valdytojo operacijų žurnalo įrašų pažymėtina, kad gali paaiškėti, jog šiuose įrašuose esančios informacijos kopijos pateikimas yra būtinas tam, kad būtų įvykdyta pareiga suteikti duomenų subjektui prieigą prie visos BDAR 15 straipsnio 1 dalyje nurodytos informacijos ir užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, taip sudarant jam galimybę visapusiškai pasinaudoti iš šio reglamento kylančiomis teisėmis.

70

Iš tiesų, pirma, tokie operacijų žurnalo įrašai atskleidžia duomenų tvarkymo faktą, t. y. informaciją, prie kurios duomenų subjektas turi turėti prieigą pagal BDAR 15 straipsnio 1 dalį. Be to, jie informuoja apie duomenų tikrinimo operacijų dažnumą ir intensyvumą, kad duomenų subjektas galėtų įsitikinti, jog duomenų tvarkymas iš tikrųjų grindžiamas duomenų valdytojo nurodytais tikslais.

71

Antra, šie įrašai apima informaciją apie tikrinimo operacijas atlikusių asmenų tapatybę.

72

Nagrinėjamu atveju iš prašymo priimti prejudicinį sprendimą matyti, kad asmenys, vykdę pagrindinėje byloje nagrinėjamas tikrinimo operacijas, yra Pankki S darbuotojai, veikę jam vadovaujant ir pagal jo nurodymus.

73

Nors iš BDAR 15 straipsnio 1 dalies c punkto matyti, kad duomenų subjektas turi teisę iš duomenų valdytojo gauti informaciją apie gavėjus, kuriems asmens duomenys buvo ar bus atskleisti, arba apie tokių gavėjų kategorijas, kaip priminta šio sprendimo 47 ir 48 punktuose, duomenų valdytojo darbuotojai negali būti laikomi „duomenų gavėjais“, kaip tai suprantama pagal BDAR 15 straipsnio 1 dalies c punktą, kai jie tvarko asmens duomenis vadovaujant tam duomenų valdytojui ir laikydamiesi jo nurodymų, kaip savo išvados 63 punkte pažymėjo generalinis advokatas.

74

Šiuo klausimu reikia pažymėti, kad pagal BDAR 29 straipsnį kiekvienas duomenų valdytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, gali tvarkyti šiuos duomenis tik gavęs duomenų valdytojo nurodymus.

75

Vis dėlto operacijų žurnalo įrašuose esanti informacija apie duomenų subjekto asmens duomenis tikrinusius asmenis gali būti laikoma priskiriama prie BDAR 4 straipsnio 1 punkte numatytosios, kaip nurodyta šio sprendimo 41 punkte, ir galinčia leisti duomenų subjektui patikrinti jo duomenų tvarkymo teisėtumą, be kita ko, įsitikinti, kad duomenų tvarkymo operacijos iš tikrųjų buvo atliekamos vadovaujant duomenų valdytojui ir laikantis jo nurodymų.

76

Vis dėlto, pirma, iš prašymo priimti prejudicinį sprendimą matyti, kad pagrindinėje byloje nagrinėjamuose operacijų žurnalo įrašuose esanti informacija leidžia identifikuoti duomenų tvarkymo operacijas vykdžiusius darbuotojus ir apima šių darbuotojų asmens duomenis, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą.

77

Šiuo klausimu reikia priminti, kad, kiek tai susiję su BDAR 15 straipsnyje numatyta teise susipažinti, šio reglamento 63 konstatuojamojoje dalyje nurodyta, kad „ši teisė neturėtų daryti neigiamo poveikio kitų asmenų teisėms ar laisvėms“.

78

Pagal RGPD 4 konstatuojamąją dalį teisė į asmens duomenų apsaugą nėra absoliuti, nes turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis (šiuo klausimu žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems (C‑311/18, EU:C:2020:559, 172 punktą).

79

Net darant prielaidą, kad informacijos apie duomenų valdytojo darbuotojų tapatybę atskleidimas duomenų subjektui gali būti jam būtinas, kad jis galėtų patikrinti jo asmens duomenų tvarkymo teisėtumą, toks atskleidimas gali pažeisti šių darbuotojų teises ir laisves.

80

Šiomis aplinkybėmis kilus konfliktui tarp, pirma, naudojimosi teise susipažinti su duomenimis, taip užtikrinant BDAR duomenų subjektui suteiktų teisių veiksmingumą, ir, antra, kito asmens teisių ir laisvių, reikia suderinti priešingas teises ir laisves. Kai įmanoma, turėtų būti pasirenkami tokie perdavimo būdai, kuriais nebūtų pažeistos kitų asmenų teisės ar laisvės, atsižvelgiant į tai, kad, kaip nurodyta BDAR 63 konstatuojamojoje dalyje, tokie argumentai neturėtų „lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją“ (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 44 punktą).

81

Vis dėlto, antra, iš prašymo priimti prejudicinį sprendimą matyti, kad J. M. neprašo pateikti informacijos apie Pankki S darbuotojų, tikrinusių jo asmens duomenis, tapatybę todėl, kad, kaip jis mano, jie iš tikrųjų neveikė vadovaujami duomenų valdytojo ir vykdydami jo nurodymus, bet, atrodo, jis abejoja dėl Pankki S jam pateiktos informacijos, susijusios su šių tikrinimų tikslais, teisingumo.

82

Tokiomis aplinkybėmis, jeigu duomenų subjektas mano, kad duomenų valdytojo pateiktos informacijos nepakanka, kad jis galėtų išsklaidyti abejones dėl asmens duomenų tvarkymo teisėtumo, pagal BDAR 77 straipsnio 1 dalį jis turi teisę pateikti skundą priežiūros institucijai, kuri pagal to paties reglamento 58 straipsnio 1 dalies a punktą turi įgaliojimus prašyti duomenų valdytojo pateikti jai visą informaciją, reikalingą nagrinėjant duomenų subjekto skundą.

83

Iš to, kas išdėstyta, matyti, kad BDAR 15 straipsnio 1 dalis turi būti aiškinama taip, kad informacija apie duomenų subjekto asmens duomenų tikrinimo operacijas, susijusi su šių operacijų datomis ir tikslais, yra informacija, kurią šis subjektas turi teisę gauti iš duomenų valdytojo pagal šią nuostatą. Tačiau nurodytoje nuostatoje tokios teisės nesuteikiama dėl informacijos apie minėto duomenų valdytojo darbuotojų, atlikusių šias operacijas jam vadovaujant ir pagal jo nurodymus, tapatybę, nebent ši informacija yra būtina, kad duomenų subjektas galėtų veiksmingai pasinaudoti šiuo reglamentu jam suteiktomis teisėmis, ir su sąlyga, kad atsižvelgiama į šių darbuotojų teises ir laisves.

Dėl trečiojo klausimo

84

Trečiuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar aplinkybė, kad, pirma, duomenų valdytojas vykdo bankinę, t. y. reglamentuojamą, veiklą ir, antra, asmuo, kurio, kaip duomenų valdytojo kliento, asmens duomenys buvo tvarkomi, taip pat buvo šio duomenų valdytojo darbuotojas, turi reikšmės apibrėžiant BDAR 15 straipsnio 1 dalyje jam suteiktos teisės susipažinti su duomenimis apimtį.

85

Pirmiausia reikia pažymėti, kad, kiek tai susiję su BDAR 15 straipsnio 1 dalyje numatytos teisės susipažinti su duomenimis taikymo sritimi, jokioje šio reglamento nuostatoje nedaroma skirtumo pagal duomenų valdytojo veiklos pobūdį arba asmens, kurio duomenys tvarkomi, statusą.

86

Pirma, dėl Pankki S veiklos reglamentuojamojo pobūdžio pažymėtina, kad pagal BDAR 23 straipsnį valstybėms narėms leidžiama teisėkūros priemonėmis apriboti, be kita ko, šio reglamento 15 straipsnyje numatytų pareigų ir teisių apimtį.

87

Vis dėlto iš prašymo priimti prejudicinį sprendimą nematyti, kad Pankki S veiklai būtų taikomos tokios teisėkūros priemonės.

88

Antra, dėl aplinkybės, kad J. M. buvo ir Pankki S klientas, ir darbuotojas, reikia pažymėti, kad, atsižvelgiant ne tik į BDAR tikslus, bet ir į duomenų subjektui suteiktos teisės susipažinti su duomenimis apimtį, kaip priminta šio sprendimo 49 ir 55–59 punktuose, aplinkybės, kuriomis duomenų subjektas prašo leisti susipažinti su BDAR 15 straipsnio 1 dalyje nurodyta informacija, negali turėti jokios įtakos šios teisės apimčiai.

89

Taigi BDAR 15 straipsnio 1 dalis turi būti aiškinama taip, kad aplinkybė, kad duomenų valdytojas vykdo bankinę, t. y. reglamentuojamą, veiklą ir kad asmuo, kurio, kaip duomenų valdytojo kliento, asmens duomenys buvo tvarkomi, taip pat buvo šio valdytojo darbuotojas, iš principo neturi įtakos šio asmens pagal šią nuostatą turimos teisės apimčiai.

Dėl bylinėjimosi išlaidų

90

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

 

Remdamasis šiais motyvais, Teisingumo Teismas (pirmoji kolegija) nusprendžia:

 

1.

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 15 straipsnis, siejamas su šio reglamento 99 straipsnio 2 dalimi,

turi būti aiškinamas taip:

jis taikomas prašymui leisti susipažinti su šioje nuostatoje nurodyta informacija, kai šiame prašyme nurodytos duomenų tvarkymo operacijos buvo atliktos iki minėto reglamento taikymo pradžios dienos, tačiau pats prašymas pateiktas po šios datos.

 

2.

Reglamento 2016/679 15 straipsnio 1 dalis

turi būti aiškinama taip:

informacija apie duomenų subjekto asmens duomenų tikrinimo operacijas, susijusi su šių operacijų datomis ir tikslais, yra informacija, kurią šis subjektas turi teisę gauti iš duomenų valdytojo pagal šią nuostatą. Tačiau nurodytoje nuostatoje tokios teisės nesuteikiama dėl informacijos apie minėto duomenų valdytojo darbuotojų, atlikusių šias operacijas jam vadovaujant ir pagal jo nurodymus, tapatybę, nebent ši informacija yra būtina, kad duomenų subjektas galėtų veiksmingai pasinaudoti šiuo reglamentu jam suteiktomis teisėmis, ir su sąlyga, kad atsižvelgiama į šių darbuotojų teises ir laisves.

 

3.

Reglamento 2016/679 15 straipsnio 1 dalis

turi būti aiškinama taip:

aplinkybė, kad duomenų valdytojas vykdo bankinę, t. y. reglamentuojamą, veiklą ir kad asmuo, kurio, kaip duomenų valdytojo kliento, asmens duomenys buvo tvarkomi, taip pat buvo šio valdytojo darbuotojas, iš principo neturi įtakos šio asmens pagal šią nuostatą turimos teisės apimčiai.

 

Parašai.


( *1 ) Proceso kalba: suomių.