1.

Impjegat u, fl-istess ħin, klijent ta’ istituzzjoni finanzjarja talab lil din tal-aħħar tinformah bl-identità tal-persuni li kkonsultaw id-data personali tiegħu fil-kuntest ta’ investigazzjoni interna. Fid-dawl tar-rifjut tal-istituzzjoni li tipprovdilu din l-informazzjoni, huwa rrikorra għar-rimedji ġudizzjarji korrispondenti, sakemm wasal quddiem l-Itä‑Suomen hallinto‑oikeus (il-Qorti Amministrattiva tal-Finlandja tal-Lvant, il-Finlandja).

2.

Din il-qorti ressqet quddiem il-Qorti tal-Ġustizzja talba għal deċiżjoni preliminari dwar l-interpretazzjoni tar-Regolament (UE) 2016/679 ( 2 ). Bi tweġiba għal din it-talba, il-Qorti tal-Ġustizzja jkollha tiddeċiedi dwar id-dritt tas-suġġett tad-data li jaċċedi għal ċerta informazzjoni relatata mal-ipproċessar tad-data personali tiegħu.

3.

Il-premessa 11 tiddikjara li:

“Il-protezzjoni effettiva tad-data personali fl-Unjoni kollha teħtieġ it-tisħiħ u l-ispeċifikar fid-dettall tad-drittijiet tas-suġġetti tad-data u l-obbligi ta’ dawk li jipproċessaw u jiddeterminaw l-ipproċessar ta’ data personali, kif ukoll ta’ setgħat ekwivalenti għall-monitoraġġ u l-iżgurar tal-konformità mar-regoli għall-protezzjoni tad-data personali u sanzjonijiet ekwivalenti għall-ksur fl-Istati Membri”.

4.

L-Artikolu 4 (“Definizzjonijiet”) jiddikjara li:

“Għall-finijiet ta’ dan ir-Regolament:

5.

L-Artikolu 15 (“Dritt ta’ aċċess mis-suġġett tad-data”) jipprovdi kif ġej fil-paragrafu 1 tiegħu:

“Is-suġġett tad-data għandu d-dritt li jikseb mingħand il-kontrollur konferma dwar jekk id-data personali li tikkonċerna lilu hijiex qiegħda tiġi proċessata jew le, u, fejn dan ikun il-każ, l-aċċess għad-data personali u l-informazzjoni li ġejja:

6.

L-Artikolu 24 (“Responsabbiltà tal-kontrollur”) jipprovdi kif ġej fil-paragrafu 1 tiegħu:

“B’kont meħud tan-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskji ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur għandu jimplimenta miżuri tekniċi u organizzattivi adatti biex jiżgura u jkun jista’ juri li l-ipproċessar isir f’konformità ma’ dan ir-Regolament. Dawk il-miżuri għandhom jiġu rieżaminati u aġġornati fejn meħtieġ”.

7.

L-Artikolu 25 (“Protezzjoni ta’ data mid-disinn u b’mod awtomatiku”) jipprovdi kif ġej fil-paragrafu 2 tiegħu:

“Il-kontrollur għandu jimplimenta miżuri tekniċi u organizzattivi adatti biex jiżgura li, b’mod awtomatiku, tiġi pproċessata biss data personali li mhijiex meħtieġa għal kull għan speċifiku tal-ipproċessar. Dak l-obbligu japplika għall-ammont ta’ data personali miġbura, il-livell ta’ pproċessar tagħha, il-perijodu tal-ħażna tagħha u l-aċċessibbiltà tagħha. B’mod partikolari, tali mekkaniżmi għandhom jiżguraw li b’mod awtomatiku d-data personali ma ssirx aċċessibbli mingħajr l-intervent tal-individwu għal numru indefinit ta’ persuni fiżiċi”.

8.

L-Artikolu 29 (“Ipproċessar taħt l-awtorità tal-kontrollur jew tal-proċessur”), jipprovdi li:

“Il-proċessur u kull persuna li taġixxi taħt l-awtorità tal-kontrollur jew tal-proċessur li jkollhom aċċess għal data personali ma għandhomx jipproċessaw dik id-data ħlief fuq istruzzjonijiet mingħand il-kontrollur, sakemm ma jkunux meħtieġa jagħmlu dan taħt il-liġi tal-Unjoni jew ta’ Stat Membru”.

9.

L-Artikolu 30, (“Reġistru tal-attivitajiet ta’ pproċessar”), jipprovdi li:

“1.   Kull kontrollur u, fejn applikabbli, ir-rappreżentant tal-kontrollur, għandu jżomm reġistru tal-attivitajiet ta’ pproċessar taħt ir-responsabbiltà tiegħu. Dak ir-reġistru għandu jkollu l-informazzjoni kollha li ġejja:

[…]

2.   Kull proċessur u, fejn applikabbli, rappreżentant tal-proċessur għandhom iżommu reġistru tal-kategoriji kollha ta’ attivitajiet tal-ipproċessar imwettqa f’isem kontrollur, li jkun fih:

3.   Ir-reġistru msemmi fil-paragrafi 1 u 2 għandu jkun bil-miktub, inkluż f’forma elettronika.

4.   Il-kontrollur jew il-proċessur u, fejn applikabbli, ir-rappreżentant tal-kontrollur jew tal-proċessur, għandhom jagħmlu r-reġistru disponibbli għall-awtorità superviżorja fuq talba.

5.   L-obbligi msemmija fil-paragrafi 1 u 2 ma għandhomx japplikaw għal impriża jew organizzazzjoni li timpjega inqas minn 250 persuna ħlief jekk l-ipproċessar li twettaq x’aktarx jirriżulta f’riskju għad-drittijiet u l-libertajiet tas-suġġetti tad-data, l-ipproċessar mhuwiex okkażjonali, jew l-ipproċessar jinkludi kategoriji speċjali ta’ data […] jew l-ipproċessar ta’ data personali relatata ma’ kundanni kriminali u reati […]”.

10.

L-Artikolu 58 (“Setgħat”) jipprovdi kif ġej fil-paragrafu 1 tiegħu:

“Kull awtorità superviżorja għandu jkollha s-setgħat kollha investigattivi li ġejjin:

[…]”.

11.

Skont l-Artikolu 30, id-dispożizzjonijiet dwar l-ipproċessar tad-data personali tal-ħaddiema, dwar it-testijiet u l-kontrolli li għandhom jitwettqu fir-rigward tal-ħaddiema, dwar il-kundizzjonijiet li għandhom jiġu ssodisfatti għal dan il-għan, kif ukoll dawk dwar is-sorveljanza teknika fuq il-post tax-xogħol u dwar l-aċċess u l-ftuħ ta’ ittri elettroniċi ta’ ħaddiem jinsabu fil-Laki yksityisyden suojasta työelämässä (759/2004) ( 4 ).

12.

Skont l-Artikolu 34(1), is-suġġett tad-data ma għandux dritt ta’ aċċess għad-data miġbura li tikkonċernah, fis-sens tal-Artikolu 15 tal-GDPR, sa fejn:

13.

Skont l-Artikolu 34(2), jekk parti biss mid-data msemmija fil-paragrafu 1 ma tkunx taqa’ taħt id-dritt previst fl-Artikolu 15 tal-GDPR, is-suġġett tad-data jkollu d-dritt li jikseb aċċess għad-data l-oħra kollha li tkun tikkonċernah.

14.

Skont l-Artikolu 34(3), ir-raġunijiet għar-restrizzjoni għandhom jiġu żvelati lis-suġġett tad-data, sa fejn dan ma jkunx jippreġudika l-għan tar-restrizzjoni.

15.

Skont l-Artikolu 34(4), fuq talba tas-suġġett tad-data, id-data msemmija fl-Artikolu 15(1) tal-GDPR għandha titqiegħed għad-dispożizzjoni tas-superviżur għall-protezzjoni tad-data meta s-suġġett tad-data ma jkollux dritt ta’ aċċess għad-data miġbura li tkun tikkonċernah fil-konfront tiegħu.

16.

Skont l-Artikolu 4(2) tat-Taqsima 2, il-persuna li timpjega hija obbligata tinforma minn qabel lill-ħaddiem bil-ġbir tad-data li tippermetti li tiġi evalwata l-affidabbiltà tiegħu. Meta tivverifika s-solidità finanzjarja tal-ħaddiem, il-persuna li timpjega għandha wkoll tinformah bir-reġistru li minnu l-informazzjoni finanzjarja tiegħu tkun inkisbet. Meta data dwar il-ħaddiem tkun inkisbet mingħand persuna li ma tkunx il-ħaddiem innifsu, il-persuna li timpjega għandha tiżvela lill-ħaddiem id-data miksuba qabel ma tintuża sabiex jittieħdu deċiżjonijiet li jaffettwaw lill-ħaddiem. L-obbligi tal-kontrollur li jqiegħed data għad-dispożizzjoni tas-suġġett tad-data, kif ukoll id-dritt ta’ aċċess tas-suġġett tad-data għad-data, huma rregolati mill-Kapitolu III tal-GDPR.

17.

Fl‑2014, J. M. sar jaf li d-data personali tiegħu bħala klijent tal-istituzzjoni finanzjarja Suur‑Savon Osuuspankki (iktar ’il quddiem “Pankki”) kienet ġiet ikkonsultata bejn l‑1 ta’ Novembru u l‑31 ta’ Diċembru 2013. Matul dan il-perijodu, minbarra klijent, J. M. kien ukoll impjegat ta’ Pankki.

18.

Fid‑29 ta’ Mejju 2018, billi ssuspetta li r-raġunijiet għall-konsultazzjoni ma kinux kompletament leċiti, J. M. talab lil Pankki tinformah dwar l-identità tal-impjegati li kienu aċċedew id-data tiegħu matul il-perijodu msemmi iktar ’il fuq u dwar l-iskopijiet tal-ipproċessar.

19.

Sadanittant, Pankki kienet keċċiet lil J. M., li mmotiva t-talba tiegħu billi wera, b’mod partikolari, ix-xewqa li jikkjarifika r-raġunijiet għat-tkeċċija tiegħu.

20.

Fit‑30 ta’ Awwissu 2018, Pankki, fil-kapaċità tagħha ta’ kontrollur, irrifjutat li tipprovdi lil J. M. l-ismijiet tal-impjegati li kienu pproċessaw id-data personali tiegħu. Hija sostniet li d-dritt previst fl-Artikolu 15 tal-GDPR ma japplikax għar-reġistri ta’ kuljum jew għall-protokolli interni li fihom huwa ddokumentat liema impjegati u f’liema mument kellhom aċċess għas-sistema informatika li tinkorpora d-data klijentali. Barra minn hekk, l-informazzjoni mitluba tikkonċerna data personali ta’ dawn l-impjegati, mhux ta’ J. M.

21.

Bil-għan li jiġi evitat ftehim ħażin, Pankki pprovdiet dawn l-ispjegazzjonijiet supplimentari lil J. M.:

22.

J. M. adixxa lill-awtorità nazzjonali superviżorja (l-Uffiċċju tas-Superviżur għall-Protezzjoni tad-Data, il-Finlandja), fejn talab li Pankki tiġi ordnata tipprovdi l-informazzjoni kkonċernata.

23.

Fl‑4 ta’ Awwissu 2020, l-Assistent Superviżur għall-Protezzjoni tad-Data ċaħad l-ilment ta’ J. M.

24.

J. M. ippreżenta rikors quddiem l-Itä‑Suomen hallinto‑oikeus (il-Qorti Amministrattiva tal-Finlandja tal-Lvant), fejn sostna li, abbażi tal-GDPR, huwa għandu d-dritt jaċċedi għall-informazzjoni dwar l-identità u l-karigi tal-persuni li kkonsultaw id-data tiegħu fl-istituzzjoni finanzjarja.

25.

F’dan il-kuntest, dik il-qorti għamlet id-domandi segwenti lill-Qorti tal-Ġustizzja:

26.

It-talba għal deċiżjoni preliminari ġiet irreġistrata fir-Reġistru tal-Qorti tal-Ġustizzja fit‑22 ta’ Settembru 2021.

27.

Ġew ippreżentati osservazzjonijiet bil-miktub minn J. M., minn Pankki, mill-Gvern Awstrijak, Ċek u Finlandiż kif ukoll mill-Kummissjoni Ewropea.

28.

Waqt is-seduta, li nżammet fit‑12 ta’ Ottubru 2022, dehru J. M., l-Uffiċċju tas-Superviżur għall-Protezzjoni tad-Data, Pankki, il-Gvern Finlandiż kif ukoll il-Kummissjoni.

29.

Sa fejn il-qorti tar-rinviju titlob l-interpretazzjoni ta’ diversi dispożizzjonijiet tal-GDPR, qabel kollox għandu jiġi ddeterminat jekk dan ir-regolament huwiex, ratione temporis, applikabbli għat-tilwima fil-kawża prinċipali. Ir-raba’ domanda preliminari tirrigwarda dan id-dubju.

30.

Skont l-Artikolu 99(1) tiegħu, il-GDPR daħal fis-seħħ fl‑24 ta’ Mejju 2016. Madankollu, l-applikabbiltà tiegħu ġiet posposta għall‑25 ta’ Mejju 2018 ( 6 ).

31.

L-eżami tad-data personali ta’ J. M. seħħ bejn l‑ta’ Novembru u l‑31 ta’ Diċembru 2013, jiġifieri qabel id-dħul fis-seħħ u l-applikabbiltà tal-GDPR.

32.

Madankollu, id-data rilevanti hawnhekk hija dik tad‑29 ta’ Mejju 2018, jum li fih J. M., filwaqt li invoka l-Artikolu 15(1) tal-GDPR (applikabbli mill‑25 ta’ Mejju 2018), talab l-informazzjoni kontenzjuża.

33.

Kif enfasizza l-Gvern Awstrijak, l-Artikolu 15(1) tal-GDPR jagħti lis-suġġetti tad-data dritt ta’ natura proċedurali (dritt ta’ aċċess) sabiex jiksbu informazzjoni dwar l-ipproċessar tad-data personali tagħhom ( 7 ). Bħala regola ta’ din in-natura, din tapplika hekk kif tidħol fis-seħħ ( 8 ). Għaldaqstant, J. M seta’ jinvokaha meta talab informazzjoni mingħand Pankki.

34.

Ċertament, il-legalità tal-ipproċessar tad-data miġbura qabel id-dħul fis-seħħ tal-GDPR għandha tiġi bbilanċjata fid-dawl tal-leġiżlazzjoni sostantiva li kienet fis-seħħ dak iż-żmien, jiġifieri, id-Direttiva 95/46/KE ( 9 ) u, sa fejn dan jirriżulta applikabbli b’mod retroattiv, tal-GDPR ( 10 ).

35.

Peress li ma huwiex ikkontestat li l-informazzjoni mitluba kienet fil-pussess tal-kontrollur meta J. M. talab jaċċediha (li huwa d-dritt iggarantit mill-Artikolu 15(1) tal-GDPR), dan l-aħħar regolament kien applikabbli ( 11 ).

36.

Il-fatt li d-data kontenzjuża kienet ġiet ipproċessata qabel id-dħul fis-seħħ tal-GDPR huwa, konsegwentement, irrilevanti għall-aċċess jew għaċ-ċaħda tal-informazzjoni meħtieġa mis-suġġett tad-data skont l-Artikolu 15(1) tal-GDPR.

37.

L-ewwel u t-tieni domanda preliminari jistgħu jiġu eżaminati flimkien. Il-kwistjoni li titqajjem hija, essenzjalment, dik dwar jekk id-data personali ta’ J. M., miġbura u pproċessata minn Pankki, tikkorrispondix għall-informazzjoni li s-suġġett tad-data għandu d-dritt li jikseb skont l-Artikolu 15(1) tal-GDPR.

38.

Infakkar li l-informazzjoni mitluba minn J. M. kienet tirrigwarda l-identità tal-impjegati li kienu kkonsultaw id-data tiegħu bħala klijent matul is-sena 2013, kif ukoll il-mument li fih kien seħħ l-ipproċessar u l-għan tal-ipproċessar.

39.

Matul is-seduta ġie kkonfermat li J. M. illimita t-talba tiegħu sabiex ikun jaf l-identità ta’ dawn l-impjegati. Fit-tilwima, ma huwiex ikkontestat, speċifikament, li l-ipproċessar tad-data tiegħu mill-istituzzjoni bankarja kellu bażi legali ( 12 ).

40.

Issa:

41.

Għaldaqstant id-dibattitu jirrigwarda biss l-informazzjoni dwar l-identità tal-impjegati ta’ Pankki li pproċessaw id-data personali ta’ J. M.

42.

Fil-verità, din l-informazzjoni tirrigwarda dettall tal-operazzjonijiet ta’ pproċessar u mhux, strettament, id-data personali tas-suġġett tad-data, fis-sens tal-Artikolu 4(1) tal-GDPR ( 14 ).

43.

Huwa ċar li l-persuna li d-data tagħha kienet is-suġġett tal-konsultazzjoni kienet J. M ( 15 ). Ladarba dan tal-aħħar kiseb il-konferma mingħand Pankki li d-data tiegħu kienet ġiet ipproċessata ( 16 ), l-informazzjoni li għaliha kien intitolat, skont l-Artikolu 15(1) tal-GDPR, hija dik elenkata fil-punti (a) sa (h) ta’ din id-dispożizzjoni ( 17 ). Billi din tiġi pprovduta, l-eżerċizzju tad-drittijiet li għandu s-suġġett tad-data huwa ffaċilitat ( 18 ), fi ħdan il-kuntest tal-mekkaniżmi li jiggarantixxu l-legalità tal-ipproċessar tad-data.

44.

Mill-Artikolu 15(1) tal-GDPR jirriżulta li l-informazzjoni inkwistjoni tikkonċerna ċ-ċirkustanzi relatati mal-ipproċessar tad-data.

45.

Fil-fatt, l-Artikolu 15(1) tal-GDPR jagħti lis-suġġett tad-data d-dritt li jikseb mingħand il-kontrollur:

46.

Id-dispożizzjoni tiddistingwixxi bejn id-“data personali”, minn naħa, u l-“informazzjoni” msemmija fil-punti tal-paragrafu 1, min-naħa l-oħra.

47.

L-informazzjoni li għandha tiġi pprovduta lis-suġġett tad-data skont l-Artikolu 15(1)(a) sa (h) tal-GDPR ma tistax għalhekk tiġi konfuża mad-data personali tiegħu, fis-sens tal-Artikolu 4(1) tal-istess regolament.

48.

Ċertament, din ma hijiex data, iżda informazzjoni dwar:

49.

F’dawn il-każijiet kollha, l-informazzjoni tirrigwarda jew ċerti drittijiet tas-suġġett tad-data, jew, b’mod partikolari, elementi relatati mal-ipproċessar imwettaq, bħall-għan tiegħu (jiġifieri r-raġuni għalih) u s-suġġett tiegħu (il-kategoriji ta’ data pproċessata).

50.

L-informazzjoni dwar id-destinatarji li lilhom tkun ġiet żvelata jew ser tiġi żvelata d-data personali (Artikolu 15(1)(c) tal-GDPR), tippreżenta iktar problemi kunċettwali, li għalihom ser nirreferi immedjatament.

51.

L-Artikolu 15(1) tal-GDPR jistabbilixxi, essenzjalment, dritt għall-informazzjoni dwar il-fatt innifsu tal-ipproċessar u dwar iċ-ċirkustanzi tiegħu. Ma’ din l-informazzjoni tiżdied dik dwar id-drittijiet li għandu s-suġġett tad-data fir-rigward tad-data li hija s-suġġett tal-ipproċessar, bħal dak ta’ tressiq ta’ lment quddiem awtorità superviżorja.

52.

Fl-opinjoni tiegħi, is-sempliċi eżistenza tal-ipproċessar u ċ-ċirkustanzi tiegħu ma jikkostitwixxux “data personali” fis-sens tal-Artikolu 4(1) tal-GDPR.

53.

Huwa minnu li deċiżjonijiet li jaffettwaw is-suġġett tad-data jistgħu jirriżultaw mill-ipproċessar, kif irrilevat il-qorti tar-rinviju ( 21 ). Iżda dan ir-riżultat ma jiddependix fuq liema persuna jew persuni fiżiċi eżaminaw b’mod konkret id-data għan-nom u taħt ir-responsabbiltà ta’ Pankki, li hija l-informazzjoni inkwistjoni fil-kawża prinċipali.

54.

Għalhekk, J. M. ikollu d-dritt li Pankki, bħala kontrollur, tinformah dwar id-data personali miżmuma minnha, jew miksuba mill-istess J. M.(Artikolu 13 tal-GDPR), jew permezz ta’ mezzi oħra (Artikolu 14 tal-GDPR). Huwa jkollu wkoll dritt – skont l-Artikolu 15 tal-GDPR – għall-informazzjoni dwar l-eżistenza u ċ-ċirkustanzi ta’ kull ipproċessar li għalih kienet suġġetta din id-data, iżda mhux għaliex din tal-aħħar tikkostitwixxi fiha nnifisha “data personali”, iżda b’mandat espliċitu skont tal-Artikolu 15 tal-GDPR ( 22 ).

55.

Filwaqt li nkompli fuq dak li iktar tard ser nispjega iktar fit-tul, dak li huwa rilevanti għal din il-kawża huwa li l-identità tal-impjegati li kkonsultaw id-data ta’ J. M. ma tikkostitwixxix “data personali” tiegħu.

56.

Ikun differenti jekk il-protokolli jew ir-reġistri li ser nirreferi għalihom iktar ’il quddiem, ikunu jinkludu, direttament jew indirettament, data personali tas-suġġett tad-data, differenti mir-riferiment għall-impjegati li jkunu aċċedewha. Jekk dan huwiex il-każ, jew le, jiddependi ħafna mill-kontenut tal-protokolli jew tar-reġistri korrispondenti. Iżda, nirrepeti, peress li t-tilwima fil-kawża prinċipali hija limitata għal li ssir magħrufa l-identità tal-impjegati ta’ Pankki, din ma hijiex data personali ta’ J. M., iżda ta’ dawn l-istess impjegati.

57.

Il-qorti tar-rinviju tistaqsi jekk, anki jekk din ma tikkostitwixxix data personali ta’ J. M., dan tal-aħħar għandux id-dritt, fid-dawl tal-Artikolu 15(1)(a) u (c) tal-GDPR, li Pankki tipprovdilu informazzjoni dwar l-impjegati li jkunu pproċessaw id-data personali tiegħu.

58.

Skont l-Artikolu 15(1)(a), is-suġġett tad-data għandu d-dritt li l-kontrollur jikkonfermalu x’inhuma l-iskopijiet tal-ipproċessar. Madankollu, tali Artikolu 15(1)(a) (li, f’dan il-każ, ġie rrispettat peress li Pankki informat lil J. M. dwar l-għan tal-ipproċessar) ma jipprovdix kriterji sabiex jiġu mifhum min huma destinatarji tad-data personali tiegħu.

59.

Għall-kuntrarju, id-domanda tkun tagħmel sens sħiħ meta tkun teħtieġ l-interpretazzjoni tal-Artikolu 15(1)(c) tal-GDPR. Infakkar li, skont tali dispożizzjoni, is-suġġett tad-data għandu d-dritt li jikseb l-informazzjoni dwar ir-“ir-riċevituri jew il-kategoriji ta’ riċevituri li lilhom tkun ġiet żvelata jew ser tiġi żvelata d-data personali.”

60.

L-Artikolu 4(9) tal-GDPR, min-naħa tiegħu, jiddefinixxi “riċevitur” bħala l-“persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew korp ieħor, li lilha tiġi żvelata d-data personali, irrispettivament milli huwiex parti terza jew le.”

61.

Dan l-aħħar punt (“irrispettivament milli huwiex parti terza jew le”) jista’ jagħti lok għal nuqqas ta’ ftehim dwar il-kamp ta’ applikazzjoni suġġettiv tad-dispożizzjoni, kif ġie invokat waqt is-seduta. Interpretazzjoni superfiċjali u, fil-fehma tiegħi, żbaljata tista’ ssostni l-idea li “riċevitur” ma jkunx biss kwalunkwe terz li lilu Pankki tkun żvelat data personali ta’ J. M., iżda wkoll kull wieħed mill-impjegati li jikkonsultaw, b’mod konkret, din id-data f’isem u għan-nom tal-persuna ġuridika li hija Pankki.

62.

L-Artikolu 4(10) tal-GDPR jiddefinixxi “parti terza” bħala “persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew korp għajr is-suġġett tad-data, il-kontrollur, il-proċessur u l-persuni li, taħt l-awtorità diretta tal-kontrollur jew tal-proċessur, ikunu awtorizzati li jipproċessaw id-data personali” ( 23 ).

63.

Issa, fid-dawl ta’ dawn il-premessi, inqis li l-kunċett ta’ destinatarju ma jkoprix lill-impjegati ta’ persuna ġuridika li, meta jużaw is-sistema informatika tagħha, jikkonsultaw id-data personali ta’ klijent f’isem il-korpi diriġenti tiegħu. Meta tali impjegati jaġixxu taħt l-awtorità diretta tal-kontrollur, huma ma jiksbux, minħabba dan il-fatt biss, in-natura ta’ “destinatarji” tad-data ( 24 ).

64.

Madankollu, jista’ jkun il-każ li impjegat ma jsegwix il-proċeduri stabbiliti mill-kontrollur u, fuq inizjattiva tiegħu stess, jaċċedi d-data klijentali jew ta’ impjegati oħra b’mod illegali. F’tali ipoteżi, l-impjegat żleali ma jkunx aġixxa f’isem u għan-nom tal-kontrollur.

65.

F’dan ir-rigward, l-impjegat żleali jista’ jiġi kklassifikat bħala “destinatarju” li lilu tkun ġiet “żvelata” (fis-sens figurattiv), jew li, minn rajh, u għalhekk illegalment, data personali tas-suġġett tad-data ( 25 ), jew saħansitra bħala kontrollur (awtonomu) tal-ipproċessar ( 26 ).

66.

Mid-deskrizzjoni fattwali li tinsab fid-deċiżjoni tar-rinviju u mill-argumenti esposti waqt is-seduta minn Pankki, jirriżulta li din tal-aħħar awtorizzat, taħt ir-responsabbiltà tagħha, lill-impjegati tagħha sabiex jikkonsultaw id-data personali ta’ J. M. Dawn l-impjegati għalhekk segwew l-istruzzjonijiet tal-kontrollur u aġixxew f’ismu. Għalhekk ma huwiex possibbli li dawn jiġu kklassifikati bħala destinatarji fis-sens tal-Artikolu 15(1)(c) tal-GDPR ( 27 ).

67.

Hija kwistjoni differenti li l-identifikazzjoni ta’ dawn l-impjegati u tal-mument li fih xi ħadd minnhom aċċeda għad-data personali tal-klijent (jiġifieri, il-kontenut ta’ dawn ir-riferimenti fil-fajls jew fir-reġistri li ser niffoka fuqhom immedjatament) għandhom jitqiegħdu għad-dispożizzjoni tal-awtoritajiet ta’ kontroll sabiex jivverifikaw il-legalità tal-azzjonijiet tagħhom.

68.

Dan huwa kkorroborat mill-Artikolu 29 tal-GDPR li jirreferi għall-persuni li jaġixxu “taħt l-awtorità tal-kontrollur jew tal-proċessur li jkollhom aċċess għal data personali”. Din id-data tista’ tiġi pproċessata minn dawn il-persuni biss fuq istruzzjonijiet tal-persuna li timpjegahom, li hija l-kontrollur effettiv (jew il-proċessur).

69.

L-Artikolu 15(1) tal-GDPR huwa intiż li jippermetti lis-suġġett tad-data jeżerċita (jiddefendi) b’mod effettiv id-drittijiet li huwa għandu fir-rigward tad-data personali tiegħu. Għalhekk, għandu jiġi indikat min huwa l-kontrollur u, fejn ikun il-każ, lil liema destinatarji din id-data ġiet żvelata. Permezz ta’ din l-informazzjoni, is-suġġett tad-data jkun jista’ jindirizza ruħu, minbarra lill-kontrollur, lid-destinatarji li saru jafu bid-data tiegħu.

70.

Ċertament, is-suġġett tad-data jista’ jkollu dubji dwar il-legalità tal-intervent ta’ ċerti persuni fil-ġestjoni tal-ipproċessar tad-data tiegħu f’isem il-kontrollur jew il-proċessur u taħt id-dipendenza tagħhom.

71.

F’dan il-kuntest, kif irrileva l-Gvern Ċek u kif enfasizzat il-Kummissjoni waqt is-seduta, wieħed jista’ jindirizza ruħu lill-Uffiċjal tal-Protezzjoni tad-Data (Artikolu 38(4) tal-GDPR) jew lill-awtorità superviżorja sabiex iressaq ilment (Artikolu 15(1)(f) u Artikolu 77 tal-GDPR). Dak li ma huwiex irrikonoxxut lilu huwa d-dritt li jiġbor direttament data personali (l-identità) tal-impjegat li, bħala subordinat għall-kontrollur jew għall-proċessur, jaġixxi bħala prinċipju skont l-istruzzjonijiet tiegħu.

72.

Waqt is-seduta, ġie diskuss jekk il-possibbiltà li jiġi indirizzat l-Uffiċjal tal-Protezzjoni tad-Data jew l-awtorità superviżorja kinitx tikkostitwixxi garanzija suffiċjenti, mill-perspettiva tad-difiża tad-drittijiet tal-persuna li d-data tagħha kienet is-suġġett ta’ pproċessar.

73.

Sabiex jiġi solvut dan id-dibattitu, tista’ tiġi adottata pożizzjoni massimalista, b’tali mod li kull suġġett tad-data jkollu d-dritt li jkun jaf l-identità tal-impjegati tal-kontrollur li kellhom aċċess għad-data tiegħu, anki jekk fuq ordni jew taħt il-mandat ta’ dan il-kontrollur.

74.

Jiena nemmen li l-GDPR ma jagħtix sostenn sabiex jiġi difiż dan l-argument, bla ħsara għall-possibbiltà li Stat Membru jadottah fil-leġiżlazzjoni interna tiegħu, għal settur speċifiku wieħed jew iktar ( 28 ).

75.

Ma jkunx prudenti, fil-fehma tiegħi, li l-Qorti tal-Ġustizzja, li tassumi funzjonijiet kważi leġiżlattivi, temenda l-GDPR sabiex tintroduċi obbligu ġdid ta’ informazzjoni, superimpost fuq dawk tal-Artikolu 15(1) tiegħu. Dan ikun il-każ kieku l-kontrollur tad-data kien meħtieġ, b’mod indiskriminat, jipprovdi lis-suġġett tad-data bl-identità mhux biss tad-destinatarju li lilu tkun ġiet żvelata d-data, iżda ta’ kwalunkwe impjegat, jew persuna taċ-ċirku intern tal-kumpanija, li kellhom aċċess leġittimu għaliha ( 29 ).

76.

Kif irrimarkat Pankki waqt is-seduta, l-identità tal-impjegati individwali li jkunu amministraw l-ipproċessar tad-data ta’ klijent tikkostitwixxi informazzjoni partikolarment sensittiva mill-perspettiva tas-sigurtà tagħhom, tal-inqas f’ċerti setturi ekonomiċi.

77.

Dawn l-impjegati jistgħu jkunu esposti għal tentattivi ta’ pressjoni u ta’ influwenza minn naħa ta’ dawk li, bħala klijenti tal-istituzzjoni bankarja, jista’ jkollhom interess li jippersonalizzaw l-interlokutur tagħhom, li ma jkunx iktar l-istituzzjoni finanzjarja nnifisha, iżda wieħed jew iktar mill-impjegati tagħha, bħala ħolqa iktar dgħajfa fil-katina tan-negozju. Dan jista’ jkun il-każ, pereżempju, meta l-monitoraġġ tal-operazzjonijiet, permezz tal-konsultazzjoni tad-data klijentali, jitwettaq sabiex jiġu ssodisfatti l-obbligi li huma suġġetti għalihom il-banek fil-qasam tal-prevenzjoni u l-ġlieda kontra l-kriminalità fil-qasam finanzjarju.

78.

Ċertament, il-klijent jista’ jiddubita mill-integrità jew mill-imparzjalità tal-persuna fiżika li tkun intervjeniet f’isem il-kontrollur tad-data tiegħu. Tali dubju jista’, jekk ikun raġonevoli, jiġġustifika l-interess tiegħu li jsir jaf l-identità tal-impjegat, bil-għan li jieħu azzjoni kontrih sabiex jeżerċita d-dritt tiegħu.

79.

Fid-dawl tas-sensittività ta’ din l-informazzjoni, l-interess li tkun magħrufa l-identità tal-impjegat huwa kunfliġġenti mal-interess mhux inqas indiskutibbli tal-kontrolluri li jippreservaw id-diskrezzjoni fir-rigward tal-identità tal-impjegati tagħhom u mad-dritt ta’ dawn tal-aħħar għall-protezzjoni tad-data tagħhom stess. Il-punt ta’ bilanċ huwa, fil-fehma tiegħi, milħuq permezz tal-intermedjazzjoni tal-awtorità superviżorja, bħala arbitru bejn dawn iż-żewġ interessi opposti.

80.

F’każ bħal dan inkwistjoni, hija għalhekk l-awtorità superviżorja li, mill-pożizzjoni ta’ imparzjalità tagħha, għandha tevalwa jekk id-dubji dwar l-azzjonijiet tal-impjegati fis-servizz tal-istituzzjoni bankarja humiex fondati u konsistenti sabiex jiġi ġġustifikat l-iżvelar tal-identità tagħhom.

81.

Ir-risposta għall-ewwel u għat-tieni domanda preliminari tista’ tieqaf hawn, wara li jiġi kkonstatat li l-impjegati tal-istituzzjoni li jaġixxu f’isimha u fuq l-istruzzjonijiet tagħha ma humiex, fil-veru sens tal-kelma, id-destinatarji msemmija fl-Artikolu 15(1)(c) tal-GDPR.

82.

Madankollu, huwa opportun li r-risposta tiġi kkompletata permezz tal-analiżi tal-allegat dritt tas-suġġett tad-data li jkun jaf l-identità tal-impjegati, meta dawn ikunu inklużi fil-fajls jew fir-reġistri tal-operazzjonijiet ta’ istituzzjoni. Anki jekk, kif diġà irrilevajt, mhux dawn il-fajls jew reġistri kollha neċessarjament ikollhom kontenut identiku, huwa ġeneralment aċċettat li dawn jirriflettu min (fost l-impjegati tal-kontrollur) ikun ikkonsulta d-data klijentali, u kif u meta.

83.

Dawn it-tip ta’ reġistri jippermettu lill-kontrollur jikkonforma ruħu mal-obbligu tiegħu li jissodisfa l-prinċipji stabbiliti fl-Artikolu 5(1) tal-GDPR u li japplika l-miżuri tekniċi u organizzattivi xierqa sabiex jiżgura u jistabbilixxi l-konformità tal-ipproċessar mar-regoli ta’ dan ir-regolament (Artikoli 24(1) u 25(2) tal-GDPR).

84.

Fil-kamp ta’ applikazzjoni speċifiku tad-Direttiva (UE) 2016/680 ( 30 ), invokata mill-Kummissjoni bħala eżempju ( 31 ) ta’ sistema partikolari ta’ protezzjoni tad-data fil-qasam tar-reati kriminali:

85.

Madankollu, skont l-Artikolu 14 tad-Direttiva 2016/680, l-informazzjoni dwar, b’mod partikolari, l-identità tal-impjegat li jkun ipproċessa d-data personali ma hijiex inkluża fost dik li għaliha s-suġġett tad-data għandu dritt ta’ aċċess.

86.

Bl-istess mod, l-Artikolu 30 tal-GDPR jipprevedi l-eżistenza ta’ dak li dan isejjaħ “reġistru tal-attivitajiet ta’ pproċessar”, li l-kontenut tiegħu jikkorrispondi – bi grad inqas ta’ speċifikazzjoni fir-rigward tad-definizzjoni tal-operazzjonijiet – għal dak tal-Artikolu 25 tad-Direttiva 2016/680 ( 33 ). U, bħal din tal-aħħar, l-informazzjoni rreġistrata dwar l-identità tal-impjegat lanqas ma tinsab fost dik aċċessibbli għas-suġġett tad-data skont l-Artikolu 15 tal-GDPR.

87.

Ir-raġuni għal dan in-nuqqas ta’ simetrija bejn l-informazzjoni rreġistrata, minn naħa, u d-dritt ta’ aċċess għaliha, min-naħa l-oħra, tinsab fid-differenza tal-iskopijiet li jservu d-dispożizzjonijiet li jirregolaw rispettivament ir-reġistri tal-attivitajiet ta’ pproċessar u l-aċċessibbiltà tal-kontenut tagħhom.

88.

Nerġa’ nirrepeti li, ir-reġistri msemmija fl-Artikolu 30 tal-GDPR, huma intiżi li tiġi żgurata l-legalità tal-ipproċessar u li tiġi ggarantita l-integrità u s-sigurtà tad-data. Ir-responsabbiltà għal dan taqa’, b’mod ġenerali, fuq l-awtorità superviżorja, li l-kontrollur u l-proċessur għandhom iqiegħdu għad-dispożizzjoni tagħha r-reġistri tal-operazzjonijiet (Artikolu 30(4) tal-GDPR).

89.

Fil-GDPR, id-dritt li wieħed iressaq ilment quddiem l-awtoritajiet superviżorji (Artikolu 15(1)(f)), li għandhom l-obbligu li jiżguraw l-applikazzjoni xierqa tiegħu, huwa intiż li jipproteġi d-drittijiet tal-persuni fiżiċi fir-rigward tal-ipproċessar tad-data tagħhom. Dan huwa previst mill-Artikolu 51(1) tal-GDPR u jirriżulta mil-lista ta’ funzjonijiet mogħtija lilhom mill-Artikolu 57 tal-istess regolament.

90.

Il-funzjoni ġenerali ta’ superviżjoni tal-applikazzjoni tal-GDPR u ta’ protezzjoni tad-drittijiet tal-persuni fiżiċi tiġġustifika l-prerogattivi tal-awtorità superviżorja. Fosthom, dik li jsiru magħrufa ċ-ċirkustanzi li fihom seħħ l-ipproċessar ta’ data minn proċessur jew kontrollur. Preċiżament, waħda minn dawn iċ-ċirkustanzi hija rilevanti għall-kawża ineżami: l-identità tal-persuni li jikkonsultaw id-data personali tal-klijenti f’isem il-kontrollur jew il-proċessur.

91.

Madankollu, imkien fil-GDPR ma huwa meħtieġ li dawn ir-riferimenti għall-identità tal-impjegati inklużi fir-reġistri interni tal-istituzzjonijiet, li bihom dawn jistgħu jkunu jafu (u, jekk ikun il-każ, iqiegħdu għad-dispożizzjoni tal-awtorità superviżorja) min eżamina, u meta, data personali ta’ klijent, għandhom ikunu disponibbli għal dan tal-aħħar.

92.

Għall-kuntrarju, il-persuna kkonċernata minn proċessar partikolari għandha tingħata l-informazzjoni neċessarja sabiex tkun taf iċ-ċirkustanzi rilevanti, għall-finijiet tal-evalwazzjoni tal-legalità tal-ipproċessar u tal-kontestazzjoni tiegħu, jekk ikun il-każ, quddiem l-awtorità ta’ superviżorja jew, fl-aħħar mill-aħħar, quddiem l-awtorità ġudizzjarja.

93.

Xorta jibqa’ l-fatt li, jekk f’dawn ir-reġistri ta’ operazzjonijiet, ikun hemm effettivament data personali tas-suġġett tad-data (jiġifieri minbarra s-sempliċi identità tal-impjegati), dan ikollu loġikament id-dritt li jikseb mill-kontrollur il-konferma li d-data personali tiegħu tkun qiegħda tiġi pproċessata. Għal dan il-għan, huwa irrilevanti jekk din tal-aħħar tkunx tinsab f’reġistru tal-operazzjonijiet jew fi kwalunkwe fajl ieħor jew database oħra interna tal-istituzzjoni.

94.

Il-qorti tar-rinviju tistaqsi jekk “huw[iex] rilevanti għall-proċedura inkwistjoni l-fatt li huwa bank li jwettaq attività regolatorja jew li J. M ħadem ma’ dan il-bank u kien klijent tiegħu fl-istess ħin.”

95.

Fil-fehma tiegħi, dak kollu li ġie rrilevat sa issa ma jinbidilx għaliex il-kontrollur tad-data jeżerċita attività rregolata. Il-fatt li dan il-kontrollur ikun bank suġġett għar-regoli speċifiċi applikabbli għal dawn it-tip ta’ istituzzjonijiet ( 34 ), jista’, madankollu, ikollu effett fuq il-legalità (il-bażi ġuridika) tal-ipproċessar, meta dan ikun jirriżulta mill-osservanza tal-obbligi legali li għalihom huwa suġġett ( 35 ).

96.

Bħala prinċipju, lanqas ma huwa rilevanti li l-persuna li d-data tagħha tkun ġiet ikkonsultata kienet ħaddiema u, fl-istess ħin, klijenta ta’ dan il-bank. L-Artikolu 15(1) tal-GDPR ma jagħmilx distinzjoni skont l-attività professjonali tas-suġġett tad-data, minbarra l-istatus tiegħu ta’ klijent tal-istituzzjoni finanzjarja ( 36 ).

97.

Ċertament, kif enfasizzat il-Kummissjoni, l-Artikolu 23 tal-GDPR jippermetti lill-Istati Membri jillimitaw leġiżlattivament il-portata tal-obbligi u tad-drittijiet previsti, inter alia, fl-Artikolu 15 tiegħu, permezz ta’ dispożizzjonijiet settorjali għal kategorija speċifika ta’ persuni kkonċernati. Madankollu, il-qorti tar-rinviju ma ssemmi ebda limitazzjoni nazzjonali ta’ dan it-tip.

98.

Fid-dawl ta’ dak li ġie rrilevat iktar ’il fuq, nissuġġerixxi li l-Qorti tal-Ġustizzja tirrispondi lill-Itä‑Suomen hallinto‑oikeus (il-Qorti Amministrattiva Provinċjali tal-Finlandja tal-Lvant, il-Finlandja) kif ġej:

“L-Artikolu 15(1) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data), moqri flimkien mal-Artikolu 4(1) tal-istess regolament,

għandu jiġi interpretat fis-sens li:

dan huwa applikabbli meta t-talba għall-aċċess għall-informazzjoni li s-suġġett tad-data jkun ressaq quddiem il-kontrollur tad-data tiegħu kienet tressqet wara l‑25 ta’ Mejju 2018.

huwa ma jagħtix lis-suġġett tad-data d-dritt li jsir jaf, fost l-informazzjoni disponibbli għall-kontrollur (jekk ikun il-każ, permezz ta’ reġistri jew ta’ fajls tal-operazzjonijiet), l-identità tal-impjegat jew l-impjegati li, taħt l-awtorità u fuq l-istruzzjonijiet tiegħu, ikunu kkonsultaw id-data personali tiegħu”.