This document is an excerpt from the EUR-Lex website
Document 62021CC0579
Opinion of Advocate General Campos Sánchez-Bordona delivered on 15 December 2022.#Proceedings brought by J.M.#Request for a preliminary ruling from the Itä-Suomen hallinto-oikeus.#Reference for a preliminary ruling – Processing of personal data – Regulation (EU) 2016/679 – Articles 4 and 15 – Scope of the right of access to information referred to in Article 15 – Information contained in log data – Article 4 – Definition of ‘personal data’ – Definition of ‘recipients’ – Temporal application.#Case C-579/21.
Konklużjonijiet tal-Avukat Ġenerali M. Campos Sánchez-Bordona, ippreżentati l-15 ta’ Diċembru 2022.
J.M. vs Apulaistietosuojavaltuutettu u Pankki S.
Talba għal deċiżjoni preliminari, imressqa minn Itä-Suomen hallinto-oikeus.
Rinviju għal deċiżjoni preliminari – Ipproċessar ta’ data personali – Regolament (UE) 2016/679 – Artikoli 4 u 15 – Portata tad-dritt ta’ aċċess għall-informazzjoni msemmija fl-Artikolu 15 – Informazzjoni li tinsab fil-log files ġġenerati minn sistema ta’ pproċessar (log data) – Artikolu 4 – Kunċett ta’ ‘data personali’ – Kunċett ta’ ‘destinatarji’ – Applikazzjoni ratione temporis.
Kawża C-579/21.
Konklużjonijiet tal-Avukat Ġenerali M. Campos Sánchez-Bordona, ippreżentati l-15 ta’ Diċembru 2022.
J.M. vs Apulaistietosuojavaltuutettu u Pankki S.
Talba għal deċiżjoni preliminari, imressqa minn Itä-Suomen hallinto-oikeus.
Rinviju għal deċiżjoni preliminari – Ipproċessar ta’ data personali – Regolament (UE) 2016/679 – Artikoli 4 u 15 – Portata tad-dritt ta’ aċċess għall-informazzjoni msemmija fl-Artikolu 15 – Informazzjoni li tinsab fil-log files ġġenerati minn sistema ta’ pproċessar (log data) – Artikolu 4 – Kunċett ta’ ‘data personali’ – Kunċett ta’ ‘destinatarji’ – Applikazzjoni ratione temporis.
Kawża C-579/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2022:1001
KONKLUŻJONIJIET TAL-AVUKAT ĠENERALI
CAMPOS SÁNCHEZ‑BORDONA
ippreżentati fil‑15 ta’ Diċembru 2022 ( 1 )
Kawża C‑579/21
J. M.
bl-intervent ta’:
Apulaistietosuojavaltuutettu,
Pankki S
(talba għal deċiżjoni preliminari mressqa mill-Itä‑Suomen hallinto‑oikeus (il-Qorti Amministrattiva tal-Finlandja tal-Lvant, il-Finlandja))
“Rinviju għal deċiżjoni preliminari – Ipproċessar ta’ data personali – Regolament (UE) 2016/679 – Data miżmuma f’reġistru tal-operazzjonijiet – Dritt ta’ aċċess – Kunċett ta’ data personali – Kunċett ta’ destinatarju – Persunal tal-kontrollur”
1. |
Impjegat u, fl-istess ħin, klijent ta’ istituzzjoni finanzjarja talab lil din tal-aħħar tinformah bl-identità tal-persuni li kkonsultaw id-data personali tiegħu fil-kuntest ta’ investigazzjoni interna. Fid-dawl tar-rifjut tal-istituzzjoni li tipprovdilu din l-informazzjoni, huwa rrikorra għar-rimedji ġudizzjarji korrispondenti, sakemm wasal quddiem l-Itä‑Suomen hallinto‑oikeus (il-Qorti Amministrattiva tal-Finlandja tal-Lvant, il-Finlandja). |
2. |
Din il-qorti ressqet quddiem il-Qorti tal-Ġustizzja talba għal deċiżjoni preliminari dwar l-interpretazzjoni tar-Regolament (UE) 2016/679 ( 2 ). Bi tweġiba għal din it-talba, il-Qorti tal-Ġustizzja jkollha tiddeċiedi dwar id-dritt tas-suġġett tad-data li jaċċedi għal ċerta informazzjoni relatata mal-ipproċessar tad-data personali tiegħu. |
I. Il‑kuntest ġuridiku
A. Id‑dritt tal‑Unjoni. Il‑GDPR
3. |
Il-premessa 11 tiddikjara li: “Il-protezzjoni effettiva tad-data personali fl-Unjoni kollha teħtieġ it-tisħiħ u l-ispeċifikar fid-dettall tad-drittijiet tas-suġġetti tad-data u l-obbligi ta’ dawk li jipproċessaw u jiddeterminaw l-ipproċessar ta’ data personali, kif ukoll ta’ setgħat ekwivalenti għall-monitoraġġ u l-iżgurar tal-konformità mar-regoli għall-protezzjoni tad-data personali u sanzjonijiet ekwivalenti għall-ksur fl-Istati Membri”. |
4. |
L-Artikolu 4 (“Definizzjonijiet”) jiddikjara li: “Għall-finijiet ta’ dan ir-Regolament:
|
5. |
L-Artikolu 15 (“Dritt ta’ aċċess mis-suġġett tad-data”) jipprovdi kif ġej fil-paragrafu 1 tiegħu: “Is-suġġett tad-data għandu d-dritt li jikseb mingħand il-kontrollur konferma dwar jekk id-data personali li tikkonċerna lilu hijiex qiegħda tiġi proċessata jew le, u, fejn dan ikun il-każ, l-aċċess għad-data personali u l-informazzjoni li ġejja:
|
6. |
L-Artikolu 24 (“Responsabbiltà tal-kontrollur”) jipprovdi kif ġej fil-paragrafu 1 tiegħu: “B’kont meħud tan-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskji ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur għandu jimplimenta miżuri tekniċi u organizzattivi adatti biex jiżgura u jkun jista’ juri li l-ipproċessar isir f’konformità ma’ dan ir-Regolament. Dawk il-miżuri għandhom jiġu rieżaminati u aġġornati fejn meħtieġ”. |
7. |
L-Artikolu 25 (“Protezzjoni ta’ data mid-disinn u b’mod awtomatiku”) jipprovdi kif ġej fil-paragrafu 2 tiegħu: “Il-kontrollur għandu jimplimenta miżuri tekniċi u organizzattivi adatti biex jiżgura li, b’mod awtomatiku, tiġi pproċessata biss data personali li mhijiex meħtieġa għal kull għan speċifiku tal-ipproċessar. Dak l-obbligu japplika għall-ammont ta’ data personali miġbura, il-livell ta’ pproċessar tagħha, il-perijodu tal-ħażna tagħha u l-aċċessibbiltà tagħha. B’mod partikolari, tali mekkaniżmi għandhom jiżguraw li b’mod awtomatiku d-data personali ma ssirx aċċessibbli mingħajr l-intervent tal-individwu għal numru indefinit ta’ persuni fiżiċi”. |
8. |
L-Artikolu 29 (“Ipproċessar taħt l-awtorità tal-kontrollur jew tal-proċessur”), jipprovdi li: “Il-proċessur u kull persuna li taġixxi taħt l-awtorità tal-kontrollur jew tal-proċessur li jkollhom aċċess għal data personali ma għandhomx jipproċessaw dik id-data ħlief fuq istruzzjonijiet mingħand il-kontrollur, sakemm ma jkunux meħtieġa jagħmlu dan taħt il-liġi tal-Unjoni jew ta’ Stat Membru”. |
9. |
L-Artikolu 30, (“Reġistru tal-attivitajiet ta’ pproċessar”), jipprovdi li: “1. Kull kontrollur u, fejn applikabbli, ir-rappreżentant tal-kontrollur, għandu jżomm reġistru tal-attivitajiet ta’ pproċessar taħt ir-responsabbiltà tiegħu. Dak ir-reġistru għandu jkollu l-informazzjoni kollha li ġejja:
[…]
2. Kull proċessur u, fejn applikabbli, rappreżentant tal-proċessur għandhom iżommu reġistru tal-kategoriji kollha ta’ attivitajiet tal-ipproċessar imwettqa f’isem kontrollur, li jkun fih:
3. Ir-reġistru msemmi fil-paragrafi 1 u 2 għandu jkun bil-miktub, inkluż f’forma elettronika. 4. Il-kontrollur jew il-proċessur u, fejn applikabbli, ir-rappreżentant tal-kontrollur jew tal-proċessur, għandhom jagħmlu r-reġistru disponibbli għall-awtorità superviżorja fuq talba. 5. L-obbligi msemmija fil-paragrafi 1 u 2 ma għandhomx japplikaw għal impriża jew organizzazzjoni li timpjega inqas minn 250 persuna ħlief jekk l-ipproċessar li twettaq x’aktarx jirriżulta f’riskju għad-drittijiet u l-libertajiet tas-suġġetti tad-data, l-ipproċessar mhuwiex okkażjonali, jew l-ipproċessar jinkludi kategoriji speċjali ta’ data […] jew l-ipproċessar ta’ data personali relatata ma’ kundanni kriminali u reati […]”. |
10. |
L-Artikolu 58 (“Setgħat”) jipprovdi kif ġej fil-paragrafu 1 tiegħu: “Kull awtorità superviżorja għandu jkollha s-setgħat kollha investigattivi li ġejjin:
[…]”. |
B. Id‑dritt nazzjonali
1. Tietosuojalaki (1050/2018) ( 3 )
11. |
Skont l-Artikolu 30, id-dispożizzjonijiet dwar l-ipproċessar tad-data personali tal-ħaddiema, dwar it-testijiet u l-kontrolli li għandhom jitwettqu fir-rigward tal-ħaddiema, dwar il-kundizzjonijiet li għandhom jiġu ssodisfatti għal dan il-għan, kif ukoll dawk dwar is-sorveljanza teknika fuq il-post tax-xogħol u dwar l-aċċess u l-ftuħ ta’ ittri elettroniċi ta’ ħaddiem jinsabu fil-Laki yksityisyden suojasta työelämässä (759/2004) ( 4 ). |
12. |
Skont l-Artikolu 34(1), is-suġġett tad-data ma għandux dritt ta’ aċċess għad-data miġbura li tikkonċernah, fis-sens tal-Artikolu 15 tal-GDPR, sa fejn:
|
13. |
Skont l-Artikolu 34(2), jekk parti biss mid-data msemmija fil-paragrafu 1 ma tkunx taqa’ taħt id-dritt previst fl-Artikolu 15 tal-GDPR, is-suġġett tad-data jkollu d-dritt li jikseb aċċess għad-data l-oħra kollha li tkun tikkonċernah. |
14. |
Skont l-Artikolu 34(3), ir-raġunijiet għar-restrizzjoni għandhom jiġu żvelati lis-suġġett tad-data, sa fejn dan ma jkunx jippreġudika l-għan tar-restrizzjoni. |
15. |
Skont l-Artikolu 34(4), fuq talba tas-suġġett tad-data, id-data msemmija fl-Artikolu 15(1) tal-GDPR għandha titqiegħed għad-dispożizzjoni tas-superviżur għall-protezzjoni tad-data meta s-suġġett tad-data ma jkollux dritt ta’ aċċess għad-data miġbura li tkun tikkonċernah fil-konfront tiegħu. |
2. Laki yksityisyden suojasta työelämässä (759/2004)
16. |
Skont l-Artikolu 4(2) tat-Taqsima 2, il-persuna li timpjega hija obbligata tinforma minn qabel lill-ħaddiem bil-ġbir tad-data li tippermetti li tiġi evalwata l-affidabbiltà tiegħu. Meta tivverifika s-solidità finanzjarja tal-ħaddiem, il-persuna li timpjega għandha wkoll tinformah bir-reġistru li minnu l-informazzjoni finanzjarja tiegħu tkun inkisbet. Meta data dwar il-ħaddiem tkun inkisbet mingħand persuna li ma tkunx il-ħaddiem innifsu, il-persuna li timpjega għandha tiżvela lill-ħaddiem id-data miksuba qabel ma tintuża sabiex jittieħdu deċiżjonijiet li jaffettwaw lill-ħaddiem. L-obbligi tal-kontrollur li jqiegħed data għad-dispożizzjoni tas-suġġett tad-data, kif ukoll id-dritt ta’ aċċess tas-suġġett tad-data għad-data, huma rregolati mill-Kapitolu III tal-GDPR. |
II. Il‑fatti, il‑kawża u d‑domandi preliminari
17. |
Fl‑2014, J. M. sar jaf li d-data personali tiegħu bħala klijent tal-istituzzjoni finanzjarja Suur‑Savon Osuuspankki (iktar ’il quddiem “Pankki”) kienet ġiet ikkonsultata bejn l‑1 ta’ Novembru u l‑31 ta’ Diċembru 2013. Matul dan il-perijodu, minbarra klijent, J. M. kien ukoll impjegat ta’ Pankki. |
18. |
Fid‑29 ta’ Mejju 2018, billi ssuspetta li r-raġunijiet għall-konsultazzjoni ma kinux kompletament leċiti, J. M. talab lil Pankki tinformah dwar l-identità tal-impjegati li kienu aċċedew id-data tiegħu matul il-perijodu msemmi iktar ’il fuq u dwar l-iskopijiet tal-ipproċessar. |
19. |
Sadanittant, Pankki kienet keċċiet lil J. M., li mmotiva t-talba tiegħu billi wera, b’mod partikolari, ix-xewqa li jikkjarifika r-raġunijiet għat-tkeċċija tiegħu. |
20. |
Fit‑30 ta’ Awwissu 2018, Pankki, fil-kapaċità tagħha ta’ kontrollur, irrifjutat li tipprovdi lil J. M. l-ismijiet tal-impjegati li kienu pproċessaw id-data personali tiegħu. Hija sostniet li d-dritt previst fl-Artikolu 15 tal-GDPR ma japplikax għar-reġistri ta’ kuljum jew għall-protokolli interni li fihom huwa ddokumentat liema impjegati u f’liema mument kellhom aċċess għas-sistema informatika li tinkorpora d-data klijentali. Barra minn hekk, l-informazzjoni mitluba tikkonċerna data personali ta’ dawn l-impjegati, mhux ta’ J. M. |
21. |
Bil-għan li jiġi evitat ftehim ħażin, Pankki pprovdiet dawn l-ispjegazzjonijiet supplimentari lil J. M.:
|
22. |
J. M. adixxa lill-awtorità nazzjonali superviżorja (l-Uffiċċju tas-Superviżur għall-Protezzjoni tad-Data, il-Finlandja), fejn talab li Pankki tiġi ordnata tipprovdi l-informazzjoni kkonċernata. |
23. |
Fl‑4 ta’ Awwissu 2020, l-Assistent Superviżur għall-Protezzjoni tad-Data ċaħad l-ilment ta’ J. M. |
24. |
J. M. ippreżenta rikors quddiem l-Itä‑Suomen hallinto‑oikeus (il-Qorti Amministrattiva tal-Finlandja tal-Lvant), fejn sostna li, abbażi tal-GDPR, huwa għandu d-dritt jaċċedi għall-informazzjoni dwar l-identità u l-karigi tal-persuni li kkonsultaw id-data tiegħu fl-istituzzjoni finanzjarja. |
25. |
F’dan il-kuntest, dik il-qorti għamlet id-domandi segwenti lill-Qorti tal-Ġustizzja:
|
III. Il‑proċedura quddiem il-Qorti tal-Ġustizzja
26. |
It-talba għal deċiżjoni preliminari ġiet irreġistrata fir-Reġistru tal-Qorti tal-Ġustizzja fit‑22 ta’ Settembru 2021. |
27. |
Ġew ippreżentati osservazzjonijiet bil-miktub minn J. M., minn Pankki, mill-Gvern Awstrijak, Ċek u Finlandiż kif ukoll mill-Kummissjoni Ewropea. |
28. |
Waqt is-seduta, li nżammet fit‑12 ta’ Ottubru 2022, dehru J. M., l-Uffiċċju tas-Superviżur għall-Protezzjoni tad-Data, Pankki, il-Gvern Finlandiż kif ukoll il-Kummissjoni. |
IV. Analiżi
29. |
Sa fejn il-qorti tar-rinviju titlob l-interpretazzjoni ta’ diversi dispożizzjonijiet tal-GDPR, qabel kollox għandu jiġi ddeterminat jekk dan ir-regolament huwiex, ratione temporis, applikabbli għat-tilwima fil-kawża prinċipali. Ir-raba’ domanda preliminari tirrigwarda dan id-dubju. |
A. L‑applikabbiltà tal‑GDPR (ir‑raba’ domanda preliminari)
30. |
Skont l-Artikolu 99(1) tiegħu, il-GDPR daħal fis-seħħ fl‑24 ta’ Mejju 2016. Madankollu, l-applikabbiltà tiegħu ġiet posposta għall‑25 ta’ Mejju 2018 ( 6 ). |
31. |
L-eżami tad-data personali ta’ J. M. seħħ bejn l‑ta’ Novembru u l‑31 ta’ Diċembru 2013, jiġifieri qabel id-dħul fis-seħħ u l-applikabbiltà tal-GDPR. |
32. |
Madankollu, id-data rilevanti hawnhekk hija dik tad‑29 ta’ Mejju 2018, jum li fih J. M., filwaqt li invoka l-Artikolu 15(1) tal-GDPR (applikabbli mill‑25 ta’ Mejju 2018), talab l-informazzjoni kontenzjuża. |
33. |
Kif enfasizza l-Gvern Awstrijak, l-Artikolu 15(1) tal-GDPR jagħti lis-suġġetti tad-data dritt ta’ natura proċedurali (dritt ta’ aċċess) sabiex jiksbu informazzjoni dwar l-ipproċessar tad-data personali tagħhom ( 7 ). Bħala regola ta’ din in-natura, din tapplika hekk kif tidħol fis-seħħ ( 8 ). Għaldaqstant, J. M seta’ jinvokaha meta talab informazzjoni mingħand Pankki. |
34. |
Ċertament, il-legalità tal-ipproċessar tad-data miġbura qabel id-dħul fis-seħħ tal-GDPR għandha tiġi bbilanċjata fid-dawl tal-leġiżlazzjoni sostantiva li kienet fis-seħħ dak iż-żmien, jiġifieri, id-Direttiva 95/46/KE ( 9 ) u, sa fejn dan jirriżulta applikabbli b’mod retroattiv, tal-GDPR ( 10 ). |
35. |
Peress li ma huwiex ikkontestat li l-informazzjoni mitluba kienet fil-pussess tal-kontrollur meta J. M. talab jaċċediha (li huwa d-dritt iggarantit mill-Artikolu 15(1) tal-GDPR), dan l-aħħar regolament kien applikabbli ( 11 ). |
36. |
Il-fatt li d-data kontenzjuża kienet ġiet ipproċessata qabel id-dħul fis-seħħ tal-GDPR huwa, konsegwentement, irrilevanti għall-aċċess jew għaċ-ċaħda tal-informazzjoni meħtieġa mis-suġġett tad-data skont l-Artikolu 15(1) tal-GDPR. |
B. L‑ewwel u t‑tieni domanda preliminari
37. |
L-ewwel u t-tieni domanda preliminari jistgħu jiġu eżaminati flimkien. Il-kwistjoni li titqajjem hija, essenzjalment, dik dwar jekk id-data personali ta’ J. M., miġbura u pproċessata minn Pankki, tikkorrispondix għall-informazzjoni li s-suġġett tad-data għandu d-dritt li jikseb skont l-Artikolu 15(1) tal-GDPR. |
1. L‑identità tal-impjegat u d‑data personali tas‑suġġett tad‑data
38. |
Infakkar li l-informazzjoni mitluba minn J. M. kienet tirrigwarda l-identità tal-impjegati li kienu kkonsultaw id-data tiegħu bħala klijent matul is-sena 2013, kif ukoll il-mument li fih kien seħħ l-ipproċessar u l-għan tal-ipproċessar. |
39. |
Matul is-seduta ġie kkonfermat li J. M. illimita t-talba tiegħu sabiex ikun jaf l-identità ta’ dawn l-impjegati. Fit-tilwima, ma huwiex ikkontestat, speċifikament, li l-ipproċessar tad-data tiegħu mill-istituzzjoni bankarja kellu bażi legali ( 12 ). |
40. |
Issa:
|
41. |
Għaldaqstant id-dibattitu jirrigwarda biss l-informazzjoni dwar l-identità tal-impjegati ta’ Pankki li pproċessaw id-data personali ta’ J. M. |
42. |
Fil-verità, din l-informazzjoni tirrigwarda dettall tal-operazzjonijiet ta’ pproċessar u mhux, strettament, id-data personali tas-suġġett tad-data, fis-sens tal-Artikolu 4(1) tal-GDPR ( 14 ). |
43. |
Huwa ċar li l-persuna li d-data tagħha kienet is-suġġett tal-konsultazzjoni kienet J. M ( 15 ). Ladarba dan tal-aħħar kiseb il-konferma mingħand Pankki li d-data tiegħu kienet ġiet ipproċessata ( 16 ), l-informazzjoni li għaliha kien intitolat, skont l-Artikolu 15(1) tal-GDPR, hija dik elenkata fil-punti (a) sa (h) ta’ din id-dispożizzjoni ( 17 ). Billi din tiġi pprovduta, l-eżerċizzju tad-drittijiet li għandu s-suġġett tad-data huwa ffaċilitat ( 18 ), fi ħdan il-kuntest tal-mekkaniżmi li jiggarantixxu l-legalità tal-ipproċessar tad-data. |
44. |
Mill-Artikolu 15(1) tal-GDPR jirriżulta li l-informazzjoni inkwistjoni tikkonċerna ċ-ċirkustanzi relatati mal-ipproċessar tad-data. |
45. |
Fil-fatt, l-Artikolu 15(1) tal-GDPR jagħti lis-suġġett tad-data d-dritt li jikseb mingħand il-kontrollur:
|
46. |
Id-dispożizzjoni tiddistingwixxi bejn id-“data personali”, minn naħa, u l-“informazzjoni” msemmija fil-punti tal-paragrafu 1, min-naħa l-oħra. |
47. |
L-informazzjoni li għandha tiġi pprovduta lis-suġġett tad-data skont l-Artikolu 15(1)(a) sa (h) tal-GDPR ma tistax għalhekk tiġi konfuża mad-data personali tiegħu, fis-sens tal-Artikolu 4(1) tal-istess regolament. |
48. |
Ċertament, din ma hijiex data, iżda informazzjoni dwar:
|
49. |
F’dawn il-każijiet kollha, l-informazzjoni tirrigwarda jew ċerti drittijiet tas-suġġett tad-data, jew, b’mod partikolari, elementi relatati mal-ipproċessar imwettaq, bħall-għan tiegħu (jiġifieri r-raġuni għalih) u s-suġġett tiegħu (il-kategoriji ta’ data pproċessata). |
50. |
L-informazzjoni dwar id-destinatarji li lilhom tkun ġiet żvelata jew ser tiġi żvelata d-data personali (Artikolu 15(1)(c) tal-GDPR), tippreżenta iktar problemi kunċettwali, li għalihom ser nirreferi immedjatament. |
51. |
L-Artikolu 15(1) tal-GDPR jistabbilixxi, essenzjalment, dritt għall-informazzjoni dwar il-fatt innifsu tal-ipproċessar u dwar iċ-ċirkustanzi tiegħu. Ma’ din l-informazzjoni tiżdied dik dwar id-drittijiet li għandu s-suġġett tad-data fir-rigward tad-data li hija s-suġġett tal-ipproċessar, bħal dak ta’ tressiq ta’ lment quddiem awtorità superviżorja. |
52. |
Fl-opinjoni tiegħi, is-sempliċi eżistenza tal-ipproċessar u ċ-ċirkustanzi tiegħu ma jikkostitwixxux “data personali” fis-sens tal-Artikolu 4(1) tal-GDPR. |
53. |
Huwa minnu li deċiżjonijiet li jaffettwaw is-suġġett tad-data jistgħu jirriżultaw mill-ipproċessar, kif irrilevat il-qorti tar-rinviju ( 21 ). Iżda dan ir-riżultat ma jiddependix fuq liema persuna jew persuni fiżiċi eżaminaw b’mod konkret id-data għan-nom u taħt ir-responsabbiltà ta’ Pankki, li hija l-informazzjoni inkwistjoni fil-kawża prinċipali. |
54. |
Għalhekk, J. M. ikollu d-dritt li Pankki, bħala kontrollur, tinformah dwar id-data personali miżmuma minnha, jew miksuba mill-istess J. M.(Artikolu 13 tal-GDPR), jew permezz ta’ mezzi oħra (Artikolu 14 tal-GDPR). Huwa jkollu wkoll dritt – skont l-Artikolu 15 tal-GDPR – għall-informazzjoni dwar l-eżistenza u ċ-ċirkustanzi ta’ kull ipproċessar li għalih kienet suġġetta din id-data, iżda mhux għaliex din tal-aħħar tikkostitwixxi fiha nnifisha “data personali”, iżda b’mandat espliċitu skont tal-Artikolu 15 tal-GDPR ( 22 ). |
55. |
Filwaqt li nkompli fuq dak li iktar tard ser nispjega iktar fit-tul, dak li huwa rilevanti għal din il-kawża huwa li l-identità tal-impjegati li kkonsultaw id-data ta’ J. M. ma tikkostitwixxix “data personali” tiegħu. |
56. |
Ikun differenti jekk il-protokolli jew ir-reġistri li ser nirreferi għalihom iktar ’il quddiem, ikunu jinkludu, direttament jew indirettament, data personali tas-suġġett tad-data, differenti mir-riferiment għall-impjegati li jkunu aċċedewha. Jekk dan huwiex il-każ, jew le, jiddependi ħafna mill-kontenut tal-protokolli jew tar-reġistri korrispondenti. Iżda, nirrepeti, peress li t-tilwima fil-kawża prinċipali hija limitata għal li ssir magħrufa l-identità tal-impjegati ta’ Pankki, din ma hijiex data personali ta’ J. M., iżda ta’ dawn l-istess impjegati. |
2. Aċċess għall‑informazzjoni dwar id‑destinatarji li lilhom tkun ġiet żvelata d‑data personali
57. |
Il-qorti tar-rinviju tistaqsi jekk, anki jekk din ma tikkostitwixxix data personali ta’ J. M., dan tal-aħħar għandux id-dritt, fid-dawl tal-Artikolu 15(1)(a) u (c) tal-GDPR, li Pankki tipprovdilu informazzjoni dwar l-impjegati li jkunu pproċessaw id-data personali tiegħu. |
58. |
Skont l-Artikolu 15(1)(a), is-suġġett tad-data għandu d-dritt li l-kontrollur jikkonfermalu x’inhuma l-iskopijiet tal-ipproċessar. Madankollu, tali Artikolu 15(1)(a) (li, f’dan il-każ, ġie rrispettat peress li Pankki informat lil J. M. dwar l-għan tal-ipproċessar) ma jipprovdix kriterji sabiex jiġu mifhum min huma destinatarji tad-data personali tiegħu. |
59. |
Għall-kuntrarju, id-domanda tkun tagħmel sens sħiħ meta tkun teħtieġ l-interpretazzjoni tal-Artikolu 15(1)(c) tal-GDPR. Infakkar li, skont tali dispożizzjoni, is-suġġett tad-data għandu d-dritt li jikseb l-informazzjoni dwar ir-“ir-riċevituri jew il-kategoriji ta’ riċevituri li lilhom tkun ġiet żvelata jew ser tiġi żvelata d-data personali.” |
60. |
L-Artikolu 4(9) tal-GDPR, min-naħa tiegħu, jiddefinixxi “riċevitur” bħala l-“persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew korp ieħor, li lilha tiġi żvelata d-data personali, irrispettivament milli huwiex parti terza jew le.” |
61. |
Dan l-aħħar punt (“irrispettivament milli huwiex parti terza jew le”) jista’ jagħti lok għal nuqqas ta’ ftehim dwar il-kamp ta’ applikazzjoni suġġettiv tad-dispożizzjoni, kif ġie invokat waqt is-seduta. Interpretazzjoni superfiċjali u, fil-fehma tiegħi, żbaljata tista’ ssostni l-idea li “riċevitur” ma jkunx biss kwalunkwe terz li lilu Pankki tkun żvelat data personali ta’ J. M., iżda wkoll kull wieħed mill-impjegati li jikkonsultaw, b’mod konkret, din id-data f’isem u għan-nom tal-persuna ġuridika li hija Pankki. |
62. |
L-Artikolu 4(10) tal-GDPR jiddefinixxi “parti terza” bħala “persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew korp għajr is-suġġett tad-data, il-kontrollur, il-proċessur u l-persuni li, taħt l-awtorità diretta tal-kontrollur jew tal-proċessur, ikunu awtorizzati li jipproċessaw id-data personali” ( 23 ). |
63. |
Issa, fid-dawl ta’ dawn il-premessi, inqis li l-kunċett ta’ destinatarju ma jkoprix lill-impjegati ta’ persuna ġuridika li, meta jużaw is-sistema informatika tagħha, jikkonsultaw id-data personali ta’ klijent f’isem il-korpi diriġenti tiegħu. Meta tali impjegati jaġixxu taħt l-awtorità diretta tal-kontrollur, huma ma jiksbux, minħabba dan il-fatt biss, in-natura ta’ “destinatarji” tad-data ( 24 ). |
64. |
Madankollu, jista’ jkun il-każ li impjegat ma jsegwix il-proċeduri stabbiliti mill-kontrollur u, fuq inizjattiva tiegħu stess, jaċċedi d-data klijentali jew ta’ impjegati oħra b’mod illegali. F’tali ipoteżi, l-impjegat żleali ma jkunx aġixxa f’isem u għan-nom tal-kontrollur. |
65. |
F’dan ir-rigward, l-impjegat żleali jista’ jiġi kklassifikat bħala “destinatarju” li lilu tkun ġiet “żvelata” (fis-sens figurattiv), jew li, minn rajh, u għalhekk illegalment, data personali tas-suġġett tad-data ( 25 ), jew saħansitra bħala kontrollur (awtonomu) tal-ipproċessar ( 26 ). |
66. |
Mid-deskrizzjoni fattwali li tinsab fid-deċiżjoni tar-rinviju u mill-argumenti esposti waqt is-seduta minn Pankki, jirriżulta li din tal-aħħar awtorizzat, taħt ir-responsabbiltà tagħha, lill-impjegati tagħha sabiex jikkonsultaw id-data personali ta’ J. M. Dawn l-impjegati għalhekk segwew l-istruzzjonijiet tal-kontrollur u aġixxew f’ismu. Għalhekk ma huwiex possibbli li dawn jiġu kklassifikati bħala destinatarji fis-sens tal-Artikolu 15(1)(c) tal-GDPR ( 27 ). |
67. |
Hija kwistjoni differenti li l-identifikazzjoni ta’ dawn l-impjegati u tal-mument li fih xi ħadd minnhom aċċeda għad-data personali tal-klijent (jiġifieri, il-kontenut ta’ dawn ir-riferimenti fil-fajls jew fir-reġistri li ser niffoka fuqhom immedjatament) għandhom jitqiegħdu għad-dispożizzjoni tal-awtoritajiet ta’ kontroll sabiex jivverifikaw il-legalità tal-azzjonijiet tagħhom. |
68. |
Dan huwa kkorroborat mill-Artikolu 29 tal-GDPR li jirreferi għall-persuni li jaġixxu “taħt l-awtorità tal-kontrollur jew tal-proċessur li jkollhom aċċess għal data personali”. Din id-data tista’ tiġi pproċessata minn dawn il-persuni biss fuq istruzzjonijiet tal-persuna li timpjegahom, li hija l-kontrollur effettiv (jew il-proċessur). |
69. |
L-Artikolu 15(1) tal-GDPR huwa intiż li jippermetti lis-suġġett tad-data jeżerċita (jiddefendi) b’mod effettiv id-drittijiet li huwa għandu fir-rigward tad-data personali tiegħu. Għalhekk, għandu jiġi indikat min huwa l-kontrollur u, fejn ikun il-każ, lil liema destinatarji din id-data ġiet żvelata. Permezz ta’ din l-informazzjoni, is-suġġett tad-data jkun jista’ jindirizza ruħu, minbarra lill-kontrollur, lid-destinatarji li saru jafu bid-data tiegħu. |
70. |
Ċertament, is-suġġett tad-data jista’ jkollu dubji dwar il-legalità tal-intervent ta’ ċerti persuni fil-ġestjoni tal-ipproċessar tad-data tiegħu f’isem il-kontrollur jew il-proċessur u taħt id-dipendenza tagħhom. |
71. |
F’dan il-kuntest, kif irrileva l-Gvern Ċek u kif enfasizzat il-Kummissjoni waqt is-seduta, wieħed jista’ jindirizza ruħu lill-Uffiċjal tal-Protezzjoni tad-Data (Artikolu 38(4) tal-GDPR) jew lill-awtorità superviżorja sabiex iressaq ilment (Artikolu 15(1)(f) u Artikolu 77 tal-GDPR). Dak li ma huwiex irrikonoxxut lilu huwa d-dritt li jiġbor direttament data personali (l-identità) tal-impjegat li, bħala subordinat għall-kontrollur jew għall-proċessur, jaġixxi bħala prinċipju skont l-istruzzjonijiet tiegħu. |
72. |
Waqt is-seduta, ġie diskuss jekk il-possibbiltà li jiġi indirizzat l-Uffiċjal tal-Protezzjoni tad-Data jew l-awtorità superviżorja kinitx tikkostitwixxi garanzija suffiċjenti, mill-perspettiva tad-difiża tad-drittijiet tal-persuna li d-data tagħha kienet is-suġġett ta’ pproċessar. |
73. |
Sabiex jiġi solvut dan id-dibattitu, tista’ tiġi adottata pożizzjoni massimalista, b’tali mod li kull suġġett tad-data jkollu d-dritt li jkun jaf l-identità tal-impjegati tal-kontrollur li kellhom aċċess għad-data tiegħu, anki jekk fuq ordni jew taħt il-mandat ta’ dan il-kontrollur. |
74. |
Jiena nemmen li l-GDPR ma jagħtix sostenn sabiex jiġi difiż dan l-argument, bla ħsara għall-possibbiltà li Stat Membru jadottah fil-leġiżlazzjoni interna tiegħu, għal settur speċifiku wieħed jew iktar ( 28 ). |
75. |
Ma jkunx prudenti, fil-fehma tiegħi, li l-Qorti tal-Ġustizzja, li tassumi funzjonijiet kważi leġiżlattivi, temenda l-GDPR sabiex tintroduċi obbligu ġdid ta’ informazzjoni, superimpost fuq dawk tal-Artikolu 15(1) tiegħu. Dan ikun il-każ kieku l-kontrollur tad-data kien meħtieġ, b’mod indiskriminat, jipprovdi lis-suġġett tad-data bl-identità mhux biss tad-destinatarju li lilu tkun ġiet żvelata d-data, iżda ta’ kwalunkwe impjegat, jew persuna taċ-ċirku intern tal-kumpanija, li kellhom aċċess leġittimu għaliha ( 29 ). |
76. |
Kif irrimarkat Pankki waqt is-seduta, l-identità tal-impjegati individwali li jkunu amministraw l-ipproċessar tad-data ta’ klijent tikkostitwixxi informazzjoni partikolarment sensittiva mill-perspettiva tas-sigurtà tagħhom, tal-inqas f’ċerti setturi ekonomiċi. |
77. |
Dawn l-impjegati jistgħu jkunu esposti għal tentattivi ta’ pressjoni u ta’ influwenza minn naħa ta’ dawk li, bħala klijenti tal-istituzzjoni bankarja, jista’ jkollhom interess li jippersonalizzaw l-interlokutur tagħhom, li ma jkunx iktar l-istituzzjoni finanzjarja nnifisha, iżda wieħed jew iktar mill-impjegati tagħha, bħala ħolqa iktar dgħajfa fil-katina tan-negozju. Dan jista’ jkun il-każ, pereżempju, meta l-monitoraġġ tal-operazzjonijiet, permezz tal-konsultazzjoni tad-data klijentali, jitwettaq sabiex jiġu ssodisfatti l-obbligi li huma suġġetti għalihom il-banek fil-qasam tal-prevenzjoni u l-ġlieda kontra l-kriminalità fil-qasam finanzjarju. |
78. |
Ċertament, il-klijent jista’ jiddubita mill-integrità jew mill-imparzjalità tal-persuna fiżika li tkun intervjeniet f’isem il-kontrollur tad-data tiegħu. Tali dubju jista’, jekk ikun raġonevoli, jiġġustifika l-interess tiegħu li jsir jaf l-identità tal-impjegat, bil-għan li jieħu azzjoni kontrih sabiex jeżerċita d-dritt tiegħu. |
79. |
Fid-dawl tas-sensittività ta’ din l-informazzjoni, l-interess li tkun magħrufa l-identità tal-impjegat huwa kunfliġġenti mal-interess mhux inqas indiskutibbli tal-kontrolluri li jippreservaw id-diskrezzjoni fir-rigward tal-identità tal-impjegati tagħhom u mad-dritt ta’ dawn tal-aħħar għall-protezzjoni tad-data tagħhom stess. Il-punt ta’ bilanċ huwa, fil-fehma tiegħi, milħuq permezz tal-intermedjazzjoni tal-awtorità superviżorja, bħala arbitru bejn dawn iż-żewġ interessi opposti. |
80. |
F’każ bħal dan inkwistjoni, hija għalhekk l-awtorità superviżorja li, mill-pożizzjoni ta’ imparzjalità tagħha, għandha tevalwa jekk id-dubji dwar l-azzjonijiet tal-impjegati fis-servizz tal-istituzzjoni bankarja humiex fondati u konsistenti sabiex jiġi ġġustifikat l-iżvelar tal-identità tagħhom. |
3. Aċċess għall‑informazzjoni dwar l‑identità tal‑impjegati inklużi fil‑fajls jew fir‑reġistri tal‑operazzjonijiet
81. |
Ir-risposta għall-ewwel u għat-tieni domanda preliminari tista’ tieqaf hawn, wara li jiġi kkonstatat li l-impjegati tal-istituzzjoni li jaġixxu f’isimha u fuq l-istruzzjonijiet tagħha ma humiex, fil-veru sens tal-kelma, id-destinatarji msemmija fl-Artikolu 15(1)(c) tal-GDPR. |
82. |
Madankollu, huwa opportun li r-risposta tiġi kkompletata permezz tal-analiżi tal-allegat dritt tas-suġġett tad-data li jkun jaf l-identità tal-impjegati, meta dawn ikunu inklużi fil-fajls jew fir-reġistri tal-operazzjonijiet ta’ istituzzjoni. Anki jekk, kif diġà irrilevajt, mhux dawn il-fajls jew reġistri kollha neċessarjament ikollhom kontenut identiku, huwa ġeneralment aċċettat li dawn jirriflettu min (fost l-impjegati tal-kontrollur) ikun ikkonsulta d-data klijentali, u kif u meta. |
83. |
Dawn it-tip ta’ reġistri jippermettu lill-kontrollur jikkonforma ruħu mal-obbligu tiegħu li jissodisfa l-prinċipji stabbiliti fl-Artikolu 5(1) tal-GDPR u li japplika l-miżuri tekniċi u organizzattivi xierqa sabiex jiżgura u jistabbilixxi l-konformità tal-ipproċessar mar-regoli ta’ dan ir-regolament (Artikoli 24(1) u 25(2) tal-GDPR). |
84. |
Fil-kamp ta’ applikazzjoni speċifiku tad-Direttiva (UE) 2016/680 ( 30 ), invokata mill-Kummissjoni bħala eżempju ( 31 ) ta’ sistema partikolari ta’ protezzjoni tad-data fil-qasam tar-reati kriminali:
|
85. |
Madankollu, skont l-Artikolu 14 tad-Direttiva 2016/680, l-informazzjoni dwar, b’mod partikolari, l-identità tal-impjegat li jkun ipproċessa d-data personali ma hijiex inkluża fost dik li għaliha s-suġġett tad-data għandu dritt ta’ aċċess. |
86. |
Bl-istess mod, l-Artikolu 30 tal-GDPR jipprevedi l-eżistenza ta’ dak li dan isejjaħ “reġistru tal-attivitajiet ta’ pproċessar”, li l-kontenut tiegħu jikkorrispondi – bi grad inqas ta’ speċifikazzjoni fir-rigward tad-definizzjoni tal-operazzjonijiet – għal dak tal-Artikolu 25 tad-Direttiva 2016/680 ( 33 ). U, bħal din tal-aħħar, l-informazzjoni rreġistrata dwar l-identità tal-impjegat lanqas ma tinsab fost dik aċċessibbli għas-suġġett tad-data skont l-Artikolu 15 tal-GDPR. |
87. |
Ir-raġuni għal dan in-nuqqas ta’ simetrija bejn l-informazzjoni rreġistrata, minn naħa, u d-dritt ta’ aċċess għaliha, min-naħa l-oħra, tinsab fid-differenza tal-iskopijiet li jservu d-dispożizzjonijiet li jirregolaw rispettivament ir-reġistri tal-attivitajiet ta’ pproċessar u l-aċċessibbiltà tal-kontenut tagħhom. |
88. |
Nerġa’ nirrepeti li, ir-reġistri msemmija fl-Artikolu 30 tal-GDPR, huma intiżi li tiġi żgurata l-legalità tal-ipproċessar u li tiġi ggarantita l-integrità u s-sigurtà tad-data. Ir-responsabbiltà għal dan taqa’, b’mod ġenerali, fuq l-awtorità superviżorja, li l-kontrollur u l-proċessur għandhom iqiegħdu għad-dispożizzjoni tagħha r-reġistri tal-operazzjonijiet (Artikolu 30(4) tal-GDPR). |
89. |
Fil-GDPR, id-dritt li wieħed iressaq ilment quddiem l-awtoritajiet superviżorji (Artikolu 15(1)(f)), li għandhom l-obbligu li jiżguraw l-applikazzjoni xierqa tiegħu, huwa intiż li jipproteġi d-drittijiet tal-persuni fiżiċi fir-rigward tal-ipproċessar tad-data tagħhom. Dan huwa previst mill-Artikolu 51(1) tal-GDPR u jirriżulta mil-lista ta’ funzjonijiet mogħtija lilhom mill-Artikolu 57 tal-istess regolament. |
90. |
Il-funzjoni ġenerali ta’ superviżjoni tal-applikazzjoni tal-GDPR u ta’ protezzjoni tad-drittijiet tal-persuni fiżiċi tiġġustifika l-prerogattivi tal-awtorità superviżorja. Fosthom, dik li jsiru magħrufa ċ-ċirkustanzi li fihom seħħ l-ipproċessar ta’ data minn proċessur jew kontrollur. Preċiżament, waħda minn dawn iċ-ċirkustanzi hija rilevanti għall-kawża ineżami: l-identità tal-persuni li jikkonsultaw id-data personali tal-klijenti f’isem il-kontrollur jew il-proċessur. |
91. |
Madankollu, imkien fil-GDPR ma huwa meħtieġ li dawn ir-riferimenti għall-identità tal-impjegati inklużi fir-reġistri interni tal-istituzzjonijiet, li bihom dawn jistgħu jkunu jafu (u, jekk ikun il-każ, iqiegħdu għad-dispożizzjoni tal-awtorità superviżorja) min eżamina, u meta, data personali ta’ klijent, għandhom ikunu disponibbli għal dan tal-aħħar. |
92. |
Għall-kuntrarju, il-persuna kkonċernata minn proċessar partikolari għandha tingħata l-informazzjoni neċessarja sabiex tkun taf iċ-ċirkustanzi rilevanti, għall-finijiet tal-evalwazzjoni tal-legalità tal-ipproċessar u tal-kontestazzjoni tiegħu, jekk ikun il-każ, quddiem l-awtorità ta’ superviżorja jew, fl-aħħar mill-aħħar, quddiem l-awtorità ġudizzjarja. |
93. |
Xorta jibqa’ l-fatt li, jekk f’dawn ir-reġistri ta’ operazzjonijiet, ikun hemm effettivament data personali tas-suġġett tad-data (jiġifieri minbarra s-sempliċi identità tal-impjegati), dan ikollu loġikament id-dritt li jikseb mill-kontrollur il-konferma li d-data personali tiegħu tkun qiegħda tiġi pproċessata. Għal dan il-għan, huwa irrilevanti jekk din tal-aħħar tkunx tinsab f’reġistru tal-operazzjonijiet jew fi kwalunkwe fajl ieħor jew database oħra interna tal-istituzzjoni. |
C. It‑tielet domanda preliminari
94. |
Il-qorti tar-rinviju tistaqsi jekk “huw[iex] rilevanti għall-proċedura inkwistjoni l-fatt li huwa bank li jwettaq attività regolatorja jew li J. M ħadem ma’ dan il-bank u kien klijent tiegħu fl-istess ħin.” |
95. |
Fil-fehma tiegħi, dak kollu li ġie rrilevat sa issa ma jinbidilx għaliex il-kontrollur tad-data jeżerċita attività rregolata. Il-fatt li dan il-kontrollur ikun bank suġġett għar-regoli speċifiċi applikabbli għal dawn it-tip ta’ istituzzjonijiet ( 34 ), jista’, madankollu, ikollu effett fuq il-legalità (il-bażi ġuridika) tal-ipproċessar, meta dan ikun jirriżulta mill-osservanza tal-obbligi legali li għalihom huwa suġġett ( 35 ). |
96. |
Bħala prinċipju, lanqas ma huwa rilevanti li l-persuna li d-data tagħha tkun ġiet ikkonsultata kienet ħaddiema u, fl-istess ħin, klijenta ta’ dan il-bank. L-Artikolu 15(1) tal-GDPR ma jagħmilx distinzjoni skont l-attività professjonali tas-suġġett tad-data, minbarra l-istatus tiegħu ta’ klijent tal-istituzzjoni finanzjarja ( 36 ). |
97. |
Ċertament, kif enfasizzat il-Kummissjoni, l-Artikolu 23 tal-GDPR jippermetti lill-Istati Membri jillimitaw leġiżlattivament il-portata tal-obbligi u tad-drittijiet previsti, inter alia, fl-Artikolu 15 tiegħu, permezz ta’ dispożizzjonijiet settorjali għal kategorija speċifika ta’ persuni kkonċernati. Madankollu, il-qorti tar-rinviju ma ssemmi ebda limitazzjoni nazzjonali ta’ dan it-tip. |
V. Konklużjoni
98. |
Fid-dawl ta’ dak li ġie rrilevat iktar ’il fuq, nissuġġerixxi li l-Qorti tal-Ġustizzja tirrispondi lill-Itä‑Suomen hallinto‑oikeus (il-Qorti Amministrattiva Provinċjali tal-Finlandja tal-Lvant, il-Finlandja) kif ġej: “L-Artikolu 15(1) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data), moqri flimkien mal-Artikolu 4(1) tal-istess regolament, għandu jiġi interpretat fis-sens li: dan huwa applikabbli meta t-talba għall-aċċess għall-informazzjoni li s-suġġett tad-data jkun ressaq quddiem il-kontrollur tad-data tiegħu kienet tressqet wara l‑25 ta’ Mejju 2018. huwa ma jagħtix lis-suġġett tad-data d-dritt li jsir jaf, fost l-informazzjoni disponibbli għall-kontrollur (jekk ikun il-każ, permezz ta’ reġistri jew ta’ fajls tal-operazzjonijiet), l-identità tal-impjegat jew l-impjegati li, taħt l-awtorità u fuq l-istruzzjonijiet tiegħu, ikunu kkonsultaw id-data personali tiegħu”. |
( 1 ) Lingwa oriġinali: l-Ispanjol.
( 2 ) Regolament tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU 2016, L 119, p. 1; rettifika fil-ĠU 2018, L 127, p. 2; iktar ’il quddiem il-“GDPR”).
( 3 ) Liġi dwar il-Protezzjoni tad-Data. Skont l-Artikolu 1 tagħha, din il-liġi tiżviluppa u tikkompleta l-GDPR.
( 4 ) Liġi dwar il-Ħarsien tal-Privatezza Fil-Ħajja Professjonali.
( 5 ) Pankki xtaqet tikkjarifika l-eżistenza eventwali ta’ kunflitt ta’ interessi bejn klijent tal-bank li J. M. kien responsabbli għall-immaniġġar tal-kont tiegħu, u J. M innifsu. Finalment ġie konkluż li J. M. ma kien issuspettat b’ebda azzjoni żbaljata.
( 6 ) Artikolu 99(2) tal-GDPR.
( 7 ) Fl-istess sens, ara l-konklużjonijiet tal-Avukat Ġenerali Pitruzzella fis-sentenza Österreichische Post (Informazzjoni dwar id-destinatarji tad-data personali) (C‑154/21, EU:C:2022:452), punt 33: “[…] d-dritt ta’ aċċess previst fl-Artikolu 15(1)(c) tar-RĠPD għandu rwol funzjonali u strumentali meta mqabbel mal-eżerċizzju ta’ prerogattivi oħra tas-suġġett tad-data previsti mir-RĠPD.”
( 8 ) Jew, kif huwa l-każ hawnhekk, mill-mument li fih ir-regola stess tibda tapplika, jekk dan ma jkunx jikkoinċidi ma’ dak tad-dħul fis-seħħ.
( 9 ) Direttiva tal-Parlament Ewropew u tal-Kunsill tal‑24 ta’ Ottubru 1995 dwar il-protezzjoni ta’ individwi fir-rigward ta’ l-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ dik id-data (ĠU Edizzjoni Speċjali bil-Malti, Kapitolu 13, Vol. 15, p. 355).
( 10 ) Il-ġurisprudenza tal-Qorti tal-Ġustizzja dwar l-effettività ratione temporis tal-emendi leġiżlattivi hija miġbura fil-qosor fis-sentenza tal‑15 ta’ Ġunju 2021, Facebook Ireland et (C‑645/19, EU:C:2021:483).
( 11 ) B’riferiment għad-Direttiva 95/46, is-sentenza tas‑7 ta’ Mejju 2009, Rijkeboer (C‑553/07, EU:C:2009:293, punt 70), iddikjarat li “[l]-Artikolu 12(a) tad-Direttiva jimponi fuq l-Istati Membri l-obbligu li jipprovdu għal dritt ta’ aċċess għall-informazzjoni […] mhux biss għall-preżent iżda wkoll għall-imgħoddi. Huma l-Istati Membri li għandhom jistabbilixxu terminu għaż-żamma ta’ din l-informazzjoni kif ukoll aċċess korrelattiv għaliha li jikkostitwixxu ekwilibriju ġust bejn, minn naħa, l-interess tas-suġġett tad-data li jipproteġi l-ħajja privata tiegħu, b’mod partikolari permezz ta’ mezzi ta’ intervent u ta’ rimedju ġudizzjarju previsti b’din id-direttiva u, min-naħa l-oħra, il-piż li l-obbligu ta’ żamma ta’ din l-informazzjoni jirrappreżenta għall-kontrollur.” Korsiv miżjud.
( 12 ) Bla ħsara għall-fatt li dan il-punt għandu jiġi deċiż, jekk ikun il-każ, mill-qorti tar-rinviju, waqt is-seduta, tressqu bħala bażijiet sabiex jilleġittimizzaw l-ipproċessar tad-data, minn naħa, l-obbligi li jirriżultaw mil-liġijiet Finlandiżi li bis-saħħa tagħhom Pankki, bħala istituzzjoni finanzjarja, għandha tiżgura l-ġestjoni tajba tar-riskji kif ukoll l-osservanza tar-regoli ta’ prevenzjoni u tal-ġlieda kontra l-ħasil tal-flus fir-rigward tat-traċċabbiltà tal-operazzjonijiet; min-naħa l-oħra, il-kuntratti tal-bank mal-klijenti u l-impjegati tiegħu, li jawtorizzaw il-konsultazzjoni tad-data tagħhom f’ċirkustanzi bħal dawk f’dan il-każ.
( 13 ) Ara l-punt 21 ta’ dawn il-konklużjonijiet.
( 14 ) Skont din id-dispożizzjoni, data personali tfisser “kwalunkwe informazzjoni relatata ma’ persuna fiżika identifikata jew identifikabbli”, jiġifieri li “hija persuna li tista’ tiġi identifikata, direttament jew indirettament”.
( 15 ) L-identità tiegħu ma ġietx speċifikata bħala konsegwenza jew bħala effett tal-ipproċessar, peress li dan seħħ, preċiżament, wara l-identifikazzjoni ta’ J. M.
( 16 ) Kif osservat il-Kummissjoni, jista’ jkun li J. M. jikkunsidra li l-informazzjoni pprovduta ma hijiex suffiċjenti jew ma hijiex preċiża. Fi kwalunkwe każ, u skont l-Artikolu 15(1) tal-GDPR, J. M. għandu d-dritt li jingħata konferma li d-data tiegħu ġiet ipproċessata jew qiegħda tiġi pproċessata (li jinkludi l-indikazzjoni ta’ meta) u l-iskopijiet li l-ipproċessar jissodisfa. Hija l-qorti tar-rinviju li għandha tiddetermina jekk din iż-żewġ tip ta’ informazzjoni ngħatawx b’mod suffiċjenti.
( 17 ) Ara t-traskrizzjoni tagħha fil-punt 9 ta’ dawn il-konklużjonijiet.
( 18 ) Kif affermat il-Qorti tal-Ġustizzja fir-rigward tad-Direttiva 95/46 u f’termini li jistgħu japplikaw għall-GDPR, il-prinċipji tal-protezzjoni żgurata mid-dritt tal-Unjoni f’dan il-qasam “huma riflessi, minn naħa, fl-obbligi imposti fuq il-persuni li huma responsabbli mill-ipproċessar tad-data, liema obbligi jikkonċernaw b’mod partikolari l-kwalità tad-data, is-sigurtà teknika, in-notifikazzjoni lill-awtorità superviżorja, u ċ-ċirkustanzi li fihom jista’ jseħħ l-ipproċessar, u min-naħa l-oħra, fid-drittijiet mogħtija lill-persuni li d-data tagħhom hija suġġett għal ipproċessar li jiġu informati dwaru, li jikkonsultaw id-data, li jitolbu rettifika u saħansitra li jikkontestaw l-ipproċessar f’ċerti ċirkustanzi” (sentenza tal‑20 ta’ Diċembru 2017, Nowak,C‑434/16, EU:C:2017:994, punt 48).
( 19 ) Korsiv miżjud.
( 20 ) Id-dritt li tintalab ir-rettifika jew it-tħassir ta’ data, jew il-limitazzjoni jew l-oppożizzjoni għall-ipproċessar; id-dritt li jitressaq ilment quddiem l-awtorità superviżorja u d-dritt ta’ informazzjoni dwar l-oriġini tad-data li ma tkunx inkisbet mingħand is-suġġett tad-data.
( 21 ) Punt 38 tad-digriet tar-rinviju.
( 22 ) L-Artikoli 13, 14 u 15 tal-GDPR, integrati fit-Taqsima 2 (“Informazzjoni u aċċess għad-data personali”) tal-Kapitolu III (“Drittijiet tas-suġġett tad-data”), jikkostitwixxu sistema bbażata fuq ir-rikonoxximent tad-dritt li wieħed ikun jaf: (a) id-data personali miżmuma mill-kontrollur, irrispettivament mill-mod li bih tkun inkisbet (Artikoli 13 u 14); u (b) iċ-ċirkustanzi ta’ kull proċessar ta’ tali data, b’mod partikolari (Artikolu 15).
( 23 ) Korsiv miżjud.
( 24 ) Dan ġie wkoll difiż mill-Kumitat Ewropew għall-Protezzjoni tad-Data fil-Linji Gwida tiegħu 07/2020, adottati fit‑2 ta’ Settembru 2020, dwar il-kunċetti ta’ kontrollatur u ta’ proċessur fil-GDPR, punti 83 sa 90.
( 25 ) F’dan il-każ, isir applikabbli l-Artikolu 34(1) tal-GDPR.
( 26 ) Il-Bord Ewropew għall-Protezzjoni tad-Data huwa tal-istess opinjoni fil-Linji Gwida 07/2020, iċċitati iktar ’il fuq, punt 88: “Impjegat […] li jikseb aċċess għal data li huwa ma jkunx awtorizzat jaċċedi u għal skopijiet oħra għajr dawk tal-persuna li timpjega ma jaqax taħt din il-kategorija. Minflok, dan l-impjegat għandu jitqies bħala terz fir-rigward tal-ipproċessar imwettaq mill-persuna li timpjega. Sa fejn l-impjegat jipproċessa data personali għal skopijiet personali tiegħu, distinti minn dawk tal-persuna li timpjegah, huwa għandu jitqies bħala kontrollur u huwa għandu jassumi l-konsegwenzi u r-responsabbiltajiet li jirriżultaw fil-qasam ta’ pproċessar ta’ data personali”.
( 27 ) L-istess riżultat jinkiseb billi jiġu interpretati r-riferimenti magħmula mill-Artikoli 13 u 14 tal-GDPR, kif ukoll mill-premessa 21 tiegħu, għall-mument li fih l-informazzjoni dwar l-ipproċessar tad-data personali żvelata lid-destinatarji għandha tiġi pprovduta lis-suġġetti tad-data. Minn dan jirriżulta li d-destinatarju huwa istituzzjoni jew persuna esterna, mhux relatata mal-kontrollur/proċessur.
( 28 ) Il-Gvern Finlandiż sostna, waqt is-seduta, li huwa għamel dan fir-rigward tad-data relatata mas-saħħa.
( 29 ) Il-konsegwenzi li jiġi rrikonoxxut tali obbligu huma diffiċilment prevedibbli għall-attività ta’ kuljum tal-impriżi, b’mod partikolari, għal dawk li huma obbligati li jipproċessaw (loġikament, permezz tal-impjegati tagħhom) miljuni ta’ data personali tal-klijenti tagħhom.
( 30 ) Direttiva tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-awtoritajiet kompetenti għall-finijiet tal-prevenzjoni, l-investigazzjoni, is-sejbien jew il-prosekuzzjoni ta’ reati kriminali jew l-eżekuzzjoni ta’ pieni kriminali, u dwar il-moviment liberu ta’ tali data, u li tħassar id-Deċiżjoni Qafas tal-Kunsill 2008/977/ĠAI (ĠU 2016, L 119, p. 89, rettifika fil-ĠU 2018, L 127, p. 6).
( 31 ) Waqt is-seduta, ġie ppreċiżat li r-riferiment għad-Direttiva 2016/680 ma kienx jimplika l-applikabbiltà tagħha f’din il-kawża, li ma għandhiex konnotazzjonijiet kriminali.
( 32 ) Dispożizzjonijiet li huma riprodotti fl-Artikolu 88 tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat‑23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU 2018, L 295, p. 39), biż-żieda, fil-paragrafu 2 tiegħu, li r-reġistri għandhom jitħassru wara tliet snin, sakemm ma jkunux neċessarji għal kontroll kontinwu.
( 33 ) L-Artikolu 25(1) tad-Direttiva 2016/680 jirreferi espliċitament għall-“persuna li tkun ikkonsultat jew żvelat id-data personali”. B’mod iktar ġenerali, u mingħajr ma jirreferi għal kull attività ta’ pproċessar konkreta, iżda għall-“kategoriji kollha ta’ attivitajiet tal-ipproċessar imwettqa f’isem kontrollur”, l-Artikolu 30(2)(a) tal-GDPR isemmi l-“isem u d-dettalji tal-kuntatt tal-proċessur”, jiġifieri, konformement mal-Artikolu 4(8) tal-GDPR, il-“persuna […] li [t]ipproċessa data personali f’isem il-kontrollur”.
( 34 ) Din il-leġiżlazzjoni speċifika tista’ timplika, pereżempju, kif tipprovdi l-premessa 11 tad-Direttiva 2016/680, li, “[…] għall-finijiet ta’ investigazzjoni, sejbien jew prosekuzzjoni ta’ reati kriminali, l-istituzzjonijiet finanzjarji jżommu ċerta data personali li tkun proċessata minnhom, u jipprovdu dik id-data personali biss lill-awtoritajiet nazzjonali kompetenti f’każijiet speċifiċi u f’konformità mal-liġi ta’ Stat Membru.”
( 35 ) Ara n-nota ta’ qiegħ il-paġna 12 ta’ dawn il-konklużjonijiet.
( 36 ) Il-qorti tar-rinviju ma staqsietx jekk kienx hemm ksur tad-drittijiet ta’ J. M. bħala impjegat ta’ Pankki.