1.

Kāds finanšu iestādes darbinieks, kurš vienlaikus bija arī tās klients, lūdza minēto iestādi atklāt to personu identitāti, kuras iekšējās izmeklēšanas gaitā bija aplūkojušas viņa personas datus. Tā kā iestāde atteicās sniegt viņam šo informāciju, viņš izmantoja attiecīgos tiesiskās aizsardzības līdzekļus un beigu beigās cēla prasību Itä‑Suomen hallinto‑oikeus (Austrumsomijas Administratīvā tiesa, Somija).

2.

Minētā tiesa iesniedza Tiesai lūgumu sniegt prejudiciālu nolēmumu par Regulas (ES) 2016/679 ( 2 ) interpretāciju. Lai uz to atbildētu, Tiesai būs jālemj par datu subjekta tiesībām piekļūt konkrētai ar viņa personas datu apstrādi saistītai informācijai.

3.

VDAR 11. apsvērumā ir noteikts:

“Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt un sīki noteikt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus un nosaka to apstrādi, kā arī nepieciešams piešķirt arī atbilstošas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu un noteikt atbilstošas sankcijas par pārkāpumiem dalībvalstīs.”

4.

Minētās regulas 4. pantā (“Definīcijas”) ir noteikts:

“Šajā regulā:

5.

Šīs regulas 15. panta (“Datu subjekta piekļuves tiesības”) 1. punktā ir lasāms:

“Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:

6.

Saskaņā ar 24. panta (“Pārziņa atbildība”) 1. punktu:

“Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.”

7.

Saskaņā ar 25. panta (“Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma”) 2. punktu:

“Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.”

8.

VDAR 29. pantā (“Apstrāde pārziņa vai apstrādātāja pakļautībā”) ir noteikts:

“Apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā minētos datus citādi kā vien saskaņā ar pārziņa norādījumiem, ja vien to darīt nepieprasa Savienības vai dalībvalsts tiesību akti.”

9.

Šīs regulas 30. pantā (“Apstrādes darbību reģistrēšana”) ir noteikts:

“1.   Katrs pārzinis un attiecīgā gadījumā pārziņa pārstāvis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju:

[..]

2.   Katrs apstrādātājs un attiecīgā gadījumā apstrādātāja pārstāvis uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:

3.   Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, tostarp elektroniskā formātā.

4.   Pārzinis vai apstrādātājs, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma nodrošina reģistra pieejamību uzraudzības iestādei.

5.   Pienākumus, kas minēti 1. un 2. punktā, nepiemēro uzņēmumam vai organizācijai, kas nodarbina mazāk nekā 250 personas, izņemot, ja uzņēmuma vai struktūras veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver īpašas datu kategorijas [..], vai personas datus par sodāmību un pārkāpumiem [..].”

10.

Minētās regulas 58. panta (“Pilnvaras”) 1. punktā ir noteikts:

“Katrai uzraudzības iestādei ir visas šādas izmeklēšanas pilnvaras:

[..].”

11.

Atbilstoši šā likuma 30. pantam noteikumi par darbinieku personas datu apstrādi, par darbinieku testiem un pārbaudēm, kā arī šajos testos un pārbaudēs ievērojamajām prasībām un par uzraudzību darbavietā un piekļuvi darbinieka e‑pastiem un to atvēršanu ir ietverti Laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ).

12.

Saskaņā ar minētā likuma 34. panta 1. punktu datu subjektam nav tiesību piekļūt par viņu ievāktajiem datiem VDAR 15. panta izpratnē, ja:

13.

Saskaņā ar šā likuma 34. panta 2. punktu, ja saskaņā ar 1. punktu tikai daļai no datiem nepiemēro VDAR 15. pantā paredzētās tiesības, datu subjekts ir tiesīgs saņemt piekļuvi visiem pārējiem ar viņu saistītiem datiem.

14.

Atbilstoši tā 34. panta 3. punktam datu subjekts ir jāinformē par ierobežojuma iemesliem, ja vien tas neapdraud ierobežojuma mērķi.

15.

Saskaņā ar šā likuma 34. panta 4. punktu gadījumā, ja datu subjektam nav tiesību piekļūt par viņu savāktajiem datiem, VDAR 15. panta 1. punktā minētos datus pēc datu subjekta pieteikuma iesniedz Datu aizsardzības uzraudzītājam.

16.

Saskaņā ar 2. iedaļas 4. panta 2. punktu darba devējam ir iepriekš jāinformē darbinieks par tādu datu vākšanu, ar kuriem ir iespējams noskaidrot viņa uzticamību. Ja darba devējs pārbauda darbinieka kredītspēju, viņam turklāt ir jāpaziņo darbiniekam, no kura reģistra ir iegūta finanšu informācija. Ja dati par darbinieku ir iegūti no citas personas, nevis paša darbinieka, darba devējam ir jāpaziņo darbiniekam iegūtie dati, pirms tie tiek izmantoti, lai pieņemtu lēmumus, kas skar attiecīgo darbinieku. Pārziņa pienākumi iesniegt datu subjektam datus, kā arī datu subjekta tiesības piekļūt datiem ir reglamentētas VDAR III nodaļā.

17.

2014. gadā J. M. uzzināja, ka laikposmā no 2013. gada 1. novembra līdz 31. decembrim tika aplūkoti viņa kā finanšu iestādes Suur‑Savon Osuuspankki (turpmāk tekstā – “Pankki”) klienta personas dati. Šajā laikposmā J. M. bija ne tikai Pankki klients, bet arī tās darbinieks.

18.

Tā kā J. M. radās aizdomas, ka aplūkošanas iemesli nebija pilnībā tiesiski, viņš 2018. gada 29. maijā iesniedza Pankki pieteikumu ar lūgumu sniegt informāciju par viņa datiem iepriekš minētajā laikposmā piekļuvušo darbinieku identitāti un šo datu apstrādes nolūku.

19.

Pa to laiku Pankki atlaida J. M. no darba, un tāpēc viņš savu pieteikumu pamatoja tostarp ar vēlmi noskaidrot atlaišanas iemeslus.

20.

2018. gada 30. augustāPankki kā datu pārzinis atteicās izpaust J. M. to darbinieku vārdus un uzvārdus, kuri bija veikuši viņa personas datu apstrādi. Tā apgalvoja, ka VDAR 15. pantā paredzētās tiesības neattiecas uz ikdienas uzskaiti vai iekšējiem protokoliem, kuros ir norādīts, kuriem darbiniekiem un kurā brīdī bijusi piekļuve datorizētajai informācijas sistēmai, kurā iekļauti klientu dati. Turklāt pieprasītā informācija attiecoties nevis uz J. M. personas datiem, bet gan uz šo darbinieku personas datiem.

21.

Pārpratumu novēršanai Pankki vēl paskaidroja J. M., ka:

22.

J. M. vērsās valsts uzraudzības iestādē (Datu aizsardzības uzraudzītāja birojs, Somija) ar pieteikumu uzdot Pankki sniegt pieprasīto informāciju.

23.

2020. gada 4. augustā Datu aizsardzības uzraudzītāja palīgs šo J. M. pieteikumu noraidīja.

24.

J. M. cēla prasību Itä‑Suomen hallinto‑oikeus (Austrumsomijas Administratīvā tiesa), apgalvojot, ka saskaņā ar VDAR viņš ir tiesīgs piekļūt informācijai par to personu identitāti un amatiem, kas bija aplūkojušas viņa datus finanšu iestādē.

25.

Šajos apstākļos minētā tiesa uzdeva Tiesai šādus prejudiciālus jautājumus:

26.

Lūgums sniegt prejudiciālu nolēmumu Tiesas kancelejā reģistrēts 2021. gada 22. septembrī.

27.

Rakstveida apsvērumus iesniedza J. M., Pankki, Austrijas, Čehijas un Somijas valdības, kā arī Eiropas Komisija.

28.

Tiesas sēdē, kas notika 2022. gada 12. oktobrī, piedalījās J. M., Datu aizsardzības uzraudzītāja birojs, Pankki, Somijas valdība un Komisija.

29.

Tā kā iesniedzējtiesa lūdz interpretēt vairākas VDAR tiesību normas, vispirms jānoskaidro, vai šī regula ratione temporis ir piemērojama pamatlietā. Šīs šaubas ir paustas ceturtajā prejudiciālajā jautājumā.

30.

VDAR 99. panta 1. punktā ir noteikts, ka šī regula ir stājusies spēkā 2016. gada 24. maijā. Tomēr tās piemērošana tika atlikta līdz 2018. gada 25. maijam ( 6 ).

31.

J. M. personas datu pārbaude notika laikposmā no 2013. gada 1. novembra līdz 31. decembrim, proti, kamēr VDAR vēl nebija stājusies spēkā un kļuvusi piemērojama.

32.

Tomēr šajā lietā nozīmīgs ir 2018. gada 29. maijs, kad J. M., pamatojoties uz VDAR (kas bija piemērojama kopš 2018. gada 25. maija) 15. panta 1. punktu, pieprasīja lietā aplūkoto informāciju.

33.

Kā norādīja Austrijas valdība, ar VDAR 15. panta 1. punktu datu subjektiem ir piešķirtas procesuālas tiesības (piekļuves tiesības) iegūt informāciju par savu personas datu apstrādi ( 7 ). Kā šāda veida tiesību norma tā ir piemērojama no tās spēkā stāšanās dienas ( 8 ). Tāpēc J. M. varēja uz to atsaukties brīdī, kad viņš lūdza Pankki sniegt informāciju.

34.

Protams, pirms VDAR stāšanās spēkā veiktā datu apstrāde ir jāvērtē, ņemot vērā tolaik spēkā esošo materiāltiesisko regulējumu, proti, Direktīvu 95/46/EK ( 9 ), kā arī VDAR, ciktāl tā ir piemērojama ar atpakaļejošu spēku ( 10 ).

35.

Tā kā nav strīda par to, ka pieprasītā informācija bija pārziņa rīcībā, kad J. M. lūdza tai piekļuvi (kas ir VDAR 15. panta 1. punktā garantētās tiesības), bija piemērojama šī regula ( 11 ).

36.

Tādējādi tam, ka strīdīgie dati tika apstrādāti pirms VDAR stāšanās spēkā, nav nozīmes, lai nodrošinātu vai liegtu datu subjektam piekļuvi pieprasītajai informācijai saskaņā ar VDAR 15. panta 1. punktu.

37.

Pirmo un otro prejudiciālo jautājumu var izskatīt kopā. Tajos tiek vaicāts būtībā par to, vai J. M. personas dati, ko vāca un apstrādāja Pankki, ir informācija, kuru datu subjekts ir tiesīgs saņemt saskaņā ar VDAR 15. panta 1. punktu.

38.

Kā jau teicu, J. M. pieprasīja informāciju par viņa klienta datus 2013. gadā aplūkojušo darbinieku identitāti, kā arī par apstrādes laikposmu un nolūku.

39.

Tiesas sēdē tika apstiprināts, ka J. M. lūdz izpaust tikai šo darbinieku identitāti. Šajā lietā netiek apstrīdēts konkrēti tas, ka bankai bija juridisks pamats apstrādāt viņa datus ( 12 ).

40.

Savukārt:

41.

Tātad runa ir tikai par informāciju par to Pankki darbinieku identitāti, kuri bija rīkojušies ar J. M. personas datiem.

42.

Faktiski šī informācija attiecas uz kādu apstrādes darbību aspektu, nevis datu subjekta personas datiem kā tādiem VDAR 4. panta 1. punkta izpratnē ( 14 ).

43.

Skaidrs, ka aplūkotie dati bija J. M. personas dati ( 15 ). Pēc tam, kad viņš no Pankki bija saņēmis apstiprinājumu, ka viņa dati ir tikuši apstrādāti ( 16 ), viņam saskaņā ar VDAR 15. panta 1. punktu bija tiesības iegūt šīs tiesību normas a)–h) apakšpunktā minēto informāciju ( 17 ). Šīs informācijas sniegšana palīdz datu subjektam īstenot savas tiesības ( 18 ), izmantojot mehānismus, kas garantē datu apstrādes tiesiskumu.

44.

No VDAR 15. panta 1. punkta izriet, ka tajā minētā informācija attiecas uz datu apstrādes apstākļiem.

45.

Proti, VDAR 15. panta 1. punktā datu subjektam ir piešķirtas tiesības saņemt no pārziņa:

46.

Šajā tiesību normā “personas dati” tiek nošķirti no šā 1. punkta apakšpunktos minētās “informācijas”.

47.

Tāpēc informāciju, kas datu subjektam ir jāsaņem saskaņā ar VDAR 15. panta 1. punkta a)–h) apakšpunktu, nedrīkst sajaukt ar šā subjekta personas datiem regulas 4. panta 1. punkta izpratnē.

48.

Tādējādi tieši par informāciju, nevis par datiem ir uzskatāmas ziņas par tādiem aspektiem kā:

49.

Katrā no šiem gadījumiem informācija attiecas vai nu uz konkrētām datu subjekta tiesībām, vai arī konkrēti uz veiktās apstrādes aspektiem, piemēram, tās nolūku (kas ir arī tās pamats) un tās priekšmetu (apstrādāto datu kategorijas).

50.

Informācija par saņēmējiem, kam datu subjekta personas dati tika vai tiks izpausti (VDAR 15. panta 1. punkta c) apakšpunkts), rada vēl citas konceptuālas problēmas, kurām tūlīt pievērsīšos.

51.

Īsi sakot, VDAR 15. panta 1. punktā ir noteiktas tiesības saņemt informāciju par pašu apstrādes faktu un tās apstākļiem. Papildus šai informācijai tiek sniegta informācija par datu subjekta tiesībām saistībā ar apstrādātajiem datiem, piemēram, tiesībām vērsties uzraudzības iestādē.

52.

Ziņas par pašu datu apstrādes esamību vien un tās veikšanas apstākļiem, manuprāt, nav “personas dati” VDAR 4. panta 1. punkta izpratnē.

53.

Apstrādes iznākumā, kā norāda iesniedzējtiesa ( 21 ), patiešām var tikt pieņemti lēmumi, kas skar datu subjektu. Taču šo iznākumu neietekmēs tas, tieši kuras fiziskas personas Pankki vārdā un uzdevumā bija pārbaudījušas šos datus, kas ir pamatlietā aplūkotā informācija.

54.

Tādējādi J. M. ir tiesības saņemt no Pankki kā pārziņa informāciju par Pankki rīcībā esošajiem personas datiem, kas iegūti vai nu no paša J. M. (VDAR 13. pants), vai kā citādi (VDAR 14. pants). Viņam arī ir tiesības – tagad saskaņā ar VDAR 15. pantu – saņemt informāciju par katras attiecīgo datu apstrādes esamību un apstākļiem, taču nevis tāpēc, ka šie dati paši par sevi būtu “personas dati”, bet gan tāpēc, ka tas ir skaidri paredzēts VDAR 15. pantā ( 22 ).

55.

Kā turpinājumā izklāstīšu sīkāk, uzskatu, ka šajā lietā nozīme ir apstāklim, ka J. M. datus aplūkojušo darbinieku identitāte nav viņa “personas dati”.

56.

Cits jautājums ir par to, vai protokolos vai reģistros, kuriem pievērsīšos vēlāk, tieši vai netieši ir minēti kādi datu subjekta personas dati, kas nav norādes par to, kuri darbinieki tiem bija piekļuvuši. Tas, vai tā ir vai nav, lielā mērā būs atkarīgs no attiecīgo protokolu vai reģistru satura. Bet, kā jau teicu, tā kā pamatlietas priekšmets ir tikai prasījums uzzināt Pankki darbinieku identitāti, runa ir nevis par J. M. personas datiem, bet gan par šo darbinieku personas datiem.

57.

Iesniedzējtiesa vēlas noskaidrot, vai saskaņā ar VDAR 15. panta 1. punkta a)–c) apakšpunktu J. M. ir tiesības saņemt no Pankki informāciju par viņa personas datus apstrādājušajiem darbiniekiem, lai gan šī informācija nav viņa personas dati.

58.

Saskaņā ar minētās normas a) apakšpunktu datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par apstrādes nolūkiem. Taču minētajā apakšpunktā (kas šajā lietā tika ievērots, jo Pankki informēja J. M. par apstrādes nolūku) nav norādīti kritēriji, lai noskaidrotu, kas ir viņa personas datu saņēmēji.

59.

Šis jautājums turpretim ir gluži pamatots, ja tiek lūgts interpretēt VDAR 15. panta 1. punkta c) apakšpunktu. Kā jau teicu, saskaņā ar šo apakšpunktu datu subjektam ir tiesības saņemt informāciju par “personas datu saņēmēji[em] vai saņēmēju kategorij[ām], kam personas dati ir izpausti vai kam tos izpaudīs [..]”.

60.

Savukārt VDAR 4. panta 9. punktā “saņēmējs” ir definēts kā “fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav”.

61.

Šī pēdējā minētā teikuma daļa (“vai tā ir trešā persona vai nav”) varētu radīt neskaidrības par tiesību normas piemērojamības subjektu loku, kā tas tika norādīts tiesas sēdē. Virspusīga un, manuprāt, kļūdaina interpretācija varētu apstiprināt domu, ka “saņēmējs” ir ne tikai kāda trešā persona, kurai Pankki bija izpaudusi J. M. personas datus, bet arī ikviens konkrētais darbinieks, kas bija aplūkojis šos datus juridiskas personas, proti, Pankki, vārdā un uzdevumā.

62.

VDAR 4. panta 10. punktā “trešā persona” ir definēta kā “fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus” ( 23 ).

63.

Tādējādi, ņemot vērā šīs premisas, uzskatu, ka saņēmēja jēdziens neietver juridiskas personas darbiniekus, kuri, izmantojot šīs juridiskās personas datorizētās informācijas sistēmu, bija aplūkojuši klienta personas datus tās pārvaldes struktūrvienību uzdevumā. Šie darbinieki nekļūst par minēto datu “saņēmējiem” tāpēc vien, ka viņi rīkojas pārziņa tiešā pakļautībā ( 24 ).

64.

Tomēr var gadīties, ka darbinieks neievēro pārziņa noteikto kārtību un pēc savas ierosmes nelikumīgi piekļūst klientu vai kādu citu darbinieku datiem. Šādā gadījumā negodīgais darbinieks nerīkojas pārziņa uzdevumā un vārdā.

65.

Šajā gadījumā negodīgais darbinieks var būt kvalificējams par “saņēmēju”, kuram – lai arī patvaļīgi un līdz ar to nelikumīgi – ir (pārnestā nozīmē) “izpausti” datu subjekta personas dati ( 25 ), vai pat par (patstāvīgu) datu pārzini ( 26 ).

66.

No iesniedzējtiesas nolēmumā minētā faktu izklāsta, kā arī no tiesas sēdē Pankki apgalvotā izriet, ka šī iestāde bija atļāvusi saviem darbiniekiem tās atbildībā aplūkot J. M. personas datus. Tādējādi šie darbinieki ievēroja pārziņa norādījumus un rīkojās tā uzdevumā. Tādējādi šie darbinieki nav kvalificējami par saņēmējiem VDAR 15. panta 1. punkta c) apakšpunkta izpratnē ( 27 ).

67.

Cits jautājums ir par to, ka par šo darbinieku identifikāciju un brīdi, kurā jebkurš no viņiem bija piekļuvis klienta personas datiem (proti, saturam, kas rodams norādēs, kuras atrodas failos vai reģistros, kuriem tūlīt pievērsīšos), ir jāpaziņo uzraudzības iestādēm, lai pārbaudītu viņu darbību tiesiskumu.

68.

Tas ir apstiprināts VDAR 29. pantā, kurā ir norādīts uz personām, kas “darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem”. Minētos datus šīs personas drīkst apstrādāt tikai atbilstoši norādījumiem, ko tās saņem no sava darba devēja, kas ir patiesais pārzinis (vai apstrādātājs).

69.

VDAR 15. panta 1. punkta mērķis ir ļaut datu subjektam efektīvi izmantot (aizstāvēt) savas tiesības attiecībā uz saviem personas datiem. Tāpēc viņam ir jābūt informētam par to, kas ir pārzinis un kuriem saņēmējiem šie dati ir iespējami tikuši izpausti. Ieguvis šādu informāciju, attiecīgais datu subjekts var vērsties ne tikai pie pārziņa, bet arī pie viņa datus uzzinājušajiem saņēmējiem.

70.

Protams, datu subjektam var rasties šaubas, vai ir likumīga kādu personu iesaistīšanās viņa datu apstrādes pārvaldībā, kas veikta pārziņa vai apstrādātāja uzdevumā un pakļautībā.

71.

Šajos apstākļos – kā apgalvo Čehijas valdība un kā tiesas sēdē norādīja Komisija – datu subjekts var iesniegt sūdzību datu aizsardzības speciālistam (VDAR 38. panta 4. punkts) vai uzraudzības iestādei (VDAR 15. panta 1. punkta f) apakšpunkts un 77. pants). Taču viņam nav tiesību tieši iegūt personas (identitātes) datus attiecībā uz darbinieku, kurš, būdams pārziņa vai apstrādātāja pakļautībā, principā rīkojas saskaņā ar viņu norādījumiem.

72.

Tiesas sēdē tika apspriests, vai iespēja vērsties pie datu aizsardzības speciālista vai uzraudzības iestādē ir pietiekama garantija no apstrādāto datu subjekta tiesību aizsardzības skatpunkta.

73.

Lai rastu risinājumu šajā strīdā, var pieņemt maksimālistisku nostāju, saskaņā ar kuru jebkuram datu subjektam būtu tiesības uzzināt to pārziņa darbinieku identitāti, kuri bija piekļuvuši viņa datiem, pat tad, ja tas noticis šā pārziņa uzdevumā un vadībā.

74.

Uzskatu, ka šai tēzei nav rodams apstiprinājums VDAR, kas gan neliedz dalībvalstij to pieņemt savos tiesību aktos attiecībā uz kādu vai vairākām konkrētām nozarēm ( 28 ).

75.

Manuprāt, nebūtu saprātīgi, ja Tiesa, uzņemoties kvazileģislatīvas funkcijas, grozītu VDAR, ieviešot jaunu informācijas sniegšanas pienākumu, kas pārklātos ar šīs regulas 15. panta 1. punktā noteiktajiem pienākumiem. Tas tā būtu, ja pārzinim būtu pienākums vienmēr atklāt datu subjektam nevis vairs datus uzzinājušā saņēmēja identitāti, bet gan uzņēmuma jebkura darbinieka vai uzņēmuma šaurajā amatpersonu lokā ietilpstošās personas identitāti, kam ir bijusi likumīga piekļuve šiem datiem ( 29 ).

76.

Kā tiesas sēdē norādīja Pankki, klienta datu apstrādē piedalījušos konkrēto darbinieku identitāte ir īpaši sensitīva informācija drošības apsvērumu dēļ vismaz atsevišķās ekonomikas nozarēs.

77.

Šie darbinieki var tikt pakļauti spiedienam un ietekmēšanas mēģinājumiem no to personu puses, kuras kā bankas klienti varētu būt ieinteresēti personalizēt savu oponentu, kas būtu vairs nevis finanšu iestāde, bet gan kāds vai kādi no tās darbiniekiem kā vājākais posms darījumattiecību ķēdē. Tas tā varētu notikt, piemēram, ja darījumu izsekošana, aplūkojot klientu datus, tiek veikta tālab, lai pildītu pienākumus, kas bankām uzlikti nolūkā novērst un apkarot noziedzību finanšu jomā.

78.

Klients patiešām var apšaubīt pārziņa uzdevumā viņa datu apstrādē iesaistījušās fiziskās personas godīgumu vai objektivitāti. Šīs šaubas, ja tās ir pamatotas, varētu attaisnot viņa interesi uzzināt attiecīgā darbinieka identitāti, lai izmantotu savas tiesības vērsties pret viņu.

79.

Interese uzzināt darbinieka identitāti – ņemot vērā šīs informācijas sensitivitāti – nonāk konfliktā ar ne mazāk neapstrīdamām apstrādes darbu vadošo personu interesēm neizpaust savu darbinieku identitāti un šo darbinieku tiesībām uz savu datu aizsardzību. Līdzsvars, manuprāt, tiek panākts ar uzraudzības iestādes starpniecību, tai samērojot šīs abas pretrunā nonākušās intereses.

80.

Līdz ar to tādā gadījumā kā šajā lietā aplūkotais tieši uzraudzības iestāde būtu tā, kurai objektīvi jāizvērtē, vai šaubas par bankas darbinieku rīcību ir pietiekami pamatotas un konsekventas, lai attaisnotu viņu identitātes neizpaužamības upurēšanu.

81.

Ar šo būtu atbildēts uz pirmo un otro prejudiciālo jautājumu, atzīstot, ka iestādes darbinieki, kas darbojas tās uzdevumā un atbilstoši tās norādījumiem, gluži nav VDAR 15. panta 1. punkta c) apakšpunktā minētie saņēmēji.

82.

Tomēr ir lietderīgi papildināt atbildi ar vērtējumu par apgalvotajām datu subjekta tiesībām uzzināt darbinieku identitāti, ja tā ir minēta iestādes failos vai darbību reģistros. Lai arī, kā jau teicu, ne visu šo failu vai reģistru saturs noteikti ir identisks, ir vispāratzīts, ka tajos ir atspoguļots tas, kurš (no pārziņa darbiniekiem), kā un kad ir aplūkojis klientu datus.

83.

Šādi reģistri palīdz pārzinim pildīt savu pienākumu ievērot VDAR 5. panta 1. punktā noteiktos principus un izmantot atbilstošus tehniskus un organizatoriskus līdzekļus, lai garantētu un apliecinātu apstrādes atbilstību minētajā regulā noteiktajām prasībām (VDAR 24. panta 1. punkts un 25. panta 2. punkts).

84.

Jāteic, ka specifiskajā jomā, kurā ir piemērojama Direktīva (ES) 2016/680 ( 30 ), kuru attiecībā uz kriminālpārkāpumiem Komisija minēja kā īpašas datu aizsardzības sistēmas piemēru ( 31 ):

85.

Tomēr saskaņā ar Direktīvas 2016/680 14. pantu ziņas konkrēti par personas datus apstrādājušā darbinieka identitāti neietilpst tajā informācijā, kurai datu subjektam ir tiesības piekļūt.

86.

Tāpat arī VDAR 30. pantā ir prasīts, lai eksistētu tas, kas tajā tiek dēvēts par “apstrādes darbību [reģistru]”, kura saturs – lai arī mazāk precīzi definējot darbības – atbilst Direktīvas 2016/680 25. pantā noteiktajam ierakstu saturam ( 33 ). Turklāt, gluži tāpat kā direktīvas gadījumā, par darbinieka identitāti reģistrētās ziņas neietilpst informācijā, kas ir pieejama datu subjektam saskaņā ar VDAR 15. pantu.

87.

Šāda asimetrija starp reģistrējamo informāciju un tiesībām tai piekļūt ir izskaidrojama ar apstākli, ka tiesību normām, kas reglamentē attiecīgi vai nu apstrādes darbību reģistrus, vai šo reģistru satura pieejamību, ir atšķirīgi mērķi.

88.

Kā jau teicu, VDAR 30. pantā minētie reģistri ir paredzēti, lai nodrošinātu apstrādes likumīgumu un garantētu datu integritāti un drošību. Atbildība par to, lai tas tā būtu, vispārīgi ir uzraudzības iestādei, kurai pārzinis un apstrādātājs nodrošina darbību reģistru pieejamību (VDAR 30. panta 4. punkts).

89.

VDAR ir noteikts, ka tiesību iesniegt sūdzību par šīs regulas pareizu piemērošanu atbildīgajām uzraudzības iestādēm (15. panta 1. punkta f) apakšpunkts) mērķis ir aizsargāt fizisku personu tiesības attiecībā uz viņu datu apstrādi. Tas ir norādīts VDAR 51. panta 1. punktā un izriet no šīm iestādēm uzticēto uzdevumu uzskaitījuma, kas veikts šīs regulas 57. pantā.

90.

Vispārīgais uzdevums uzraudzīt VDAR piemērošanu un aizsargāt fizisku personu tiesības attaisno uzraudzības iestādes prerogatīvas. Viena no tām ir pilnvaras noskaidrot apstākļus, kādos apstrādātājs vai pārzinis ir veicis datu apstrādi. Šī lieta ir tieši par vienu no šiem apstākļiem, proti, pārziņa vai apstrādātāja vārdā klientu personas datus aplūkojošo personu identitāte.

91.

Tomēr VDAR nekur nav prasīts, lai šīs iestāžu iekšējos reģistros iekļautās norādes uz darbinieku identitāti – kuras izmantojot iespējams uzzināt (un vajadzības gadījumā nodot uzraudzības iestādes rīcībā), kas un kad ir iepazinies ar klienta personas datiem, – tiktu darītas zināmas klientam.

92.

Turpretim personai, kuru skārusi kāda konkrēta apstrāde, ir jāsaņem būtisko apstākļu noskaidrošanai vajadzīgā informācija tālab, lai tā varētu novērtēt apstrādes likumīgumu un attiecīgā gadījumā apstrīdēt tās likumīgumu uzraudzības iestādē vai beigu beigās tiesu iestādē.

93.

Iepriekš minētais gan neizslēdz, ka gadījumā, ja šajos darbību reģistros patiešām ir rodami attiecīgā datu subjekta personas dati (proti, cita informācija, kas nav tikai ziņas par darbinieku identitāti vien), viņam loģiski ir tiesības saņemt no pārziņa apstiprinājumu tam, ka viņa personas dati tiek apstrādāti. Tālab nav svarīgi, vai šī informācija ir norādīta darbību reģistrā, kādā citā failā vai iestādes iekšējā datubāzē.

94.

Iesniedzējtiesa vēlas noskaidrot, “vai tiesvedībā ir nozīme faktam, ka attiecīgā banka veic reglamentētu darbību, vai arī tam, ka J. M. vienlaikus gan strādāja šajā bankā, gan arī bija tās klients”.

95.

Manuprāt, iepriekš izklāstīto nemaina apstāklis, ka datu pārzinis veic reglamentētu darbību. Tomēr tam, ka šis pārzinis ir banka, uz kuru attiecas šādām iestādēm paredzētais īpašais regulējums ( 34 ), var būt nozīme, noskaidrojot apstrādes likumīgumu (tās juridisko pamatu) gadījumā, ja šī apstrāde tiek veikta, pildot kādu šīm iestādēm likumā uzliktu pienākumu ( 35 ).

96.

Principā nav nozīmes arī tam, ka persona, kuras dati tika aplūkoti, vienlaikus bija gan bankas darbinieks, gan tās klients. VDAR 15. panta 1. punktā nav noteiktas atšķirības atkarībā no datu subjekta profesionālās darbības, kas papildina viņa kā finanšu iestādes klienta statusu ( 36 ).

97.

VDAR 23. pantā dalībvalstīm – kā norāda Komisija – patiešām ir ļauts likumdošanas ceļā ierobežot to pienākumu un tiesību apjomu, kas noteikti tostarp šīs regulas 15. pantā, paredzot konkrētai attiecīgo personu kategorijai piemērojamus nozaru noteikumus. Tomēr iesniedzējtiesa nemin nevienu šādu valstī noteiktu ierobežojumu.

98.

Ievērojot iepriekš izklāstīto, ierosinu Tiesai uz Itä‑Suomen hallinto‑oikeus (Austrumsomijas Administratīvā tiesa, Somija) uzdotajiem jautājumiem atbildēt šādi:

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 15. panta 1. punkts kopsakarā ar minētās regulas 4. panta 1. punktu

ir jāinterpretē tādējādi, ka

tas ir piemērojams tad, ja datu subjekta datu pārzinim izteiktais lūgums nodrošināt piekļuvi informācijai ir iesniegts pēc 2018. gada 25. maija;

tas nepiešķir datu subjektam tiesības uzzināt pārziņa rīcībā (iespējami darbību reģistros vai failos) esošo informāciju par šā pārziņa pakļautībā un atbilstoši tā norādījumiem datu subjekta personas datus aplūkojušā darbinieka vai aplūkojušo darbinieku identitāti.