1.

Pracownik i jednocześnie klient instytucji finansowej zwrócił się do niej o poinformowanie go o tożsamości osób, które przeglądały jego dane osobowe w ramach analizy prowadzonej wewnątrz tej instytucji. Wobec odmowy udzielenia mu tej informacji przez instytucję wspomniany pracownik skorzystał z odpowiednich środków prawnych i wniósł skargę do Itä‑Suomen hallinto‑oikeus (sądu administracyjnego dla Finlandii Wschodniej, Finlandia).

2.

Sąd ten zwrócił się do Trybunału z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w przedmiocie wykładni rozporządzenia (UE) 2016/679 ( 2 ). Udzielając odpowiedzi na ten wniosek, Trybunał będzie musiał wypowiedzieć się na temat prawa osoby, której dane dotyczą, do uzyskania dostępu do niektórych informacji związanych z przetwarzaniem jej danych osobowych.

3.

W motywie 11 stwierdza się:

„Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich”.

4.

Artykuł 4 („Definicje”) stanowi:

„Na użytek niniejszego rozporządzenia:

[…]

5.

Artykuł 15 („Prawo dostępu przysługujące osobie, której dane dotyczą”) w ust. 1 stanowi:

„Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

6.

Artykuł 24 („Obowiązki administratora”) w ust. 1 przewiduje:

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

7.

Artykuł 25 („Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych”) w ust. 2 stanowi:

„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych”.

8.

W myśl art. 29 („Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego”):

„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.

9.

Artykuł 30 („Rejestrowanie czynności przetwarzania”) stanowi:

„1.   Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

[…]

2.   Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

3.   Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną.

4.   Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.

5.   Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych […] lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych […]”.

10.

Artykuł 58 („Uprawnienia”) w ust. 1 stanowi:

„Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:

[…]”.

11.

Zgodnie z § 30 Tietosuojalaki przepisy dotyczące przetwarzania danych osobowych pracowników, testów i kontroli przeprowadzanych w stosunku do pracowników oraz wymogów, które należy spełnić w tym względzie, jak również dotyczące monitoringu w miejscu pracy oraz pobierania i otwierania poczty elektronicznej pracownika są zawarte w Laki yksityisyyden suojasta työelämässä (759/2004) ( 4 ).

12.

Zgodnie z § 34 ust. 1 osobie, której dane dotyczą, nie przysługuje prawo dostępu do zebranych o niej danych w rozumieniu art. 15 RODO w zakresie, w jakim:

13.

Zgodnie z § 34 ust. 2 w przypadku gdy tylko część danych, o których mowa w ust. 1, nie jest objęta prawem przewidzianym w art. 15 RODO, osoba, której dane dotyczą, jest uprawniona do uzyskania dostępu do wszystkich innych danych, które jej dotyczą.

14.

W myśl § 34 ust. 3 powody ograniczenia muszą być podane do wiadomości osoby, której dane dotyczą, o ile nie zagraża to celowi ograniczenia.

15.

Zgodnie z § 34 ust. 4 należy udostępnić dane, o których mowa w art. 15 ust. 1 RODO, inspektorowi ochrony danych na wniosek osoby, której dane dotyczą, w przypadku gdy osoba ta nie ma prawa dostępu do zebranych na jej temat danych.

16.

Zgodnie z § 4 akapit drugi w rozdziale drugim pracodawca ma obowiązek uprzedniego poinformowania pracownika o pozyskiwaniu danych, które służą do oceny wiarygodności pracownika. Jeśli pracodawca sprawdza zdolność kredytową pracownika, musi ponadto poinformować go, z jakiego rejestru pochodzi informacja o zdolności kredytowej. Jeżeli dane o pracowniku zostały uzyskane od osoby innej niż sam pracownik, pracodawca musi poinformować pracownika o uzyskanych danych, zanim zostaną one wykorzystane przy podejmowaniu decyzji dotyczących pracownika. Rozdział III RODO reguluje obowiązki administratora w zakresie przekazywania danych osobie, której dane dotyczą, oraz przysługujące osobie, której dane dotyczą, prawo dostępu do tych danych.

17.

W 2014 r. J.M. dowiedział się, że przeglądano jego dane osobowe jako klienta instytucji finansowej Suur‑Savon Osuuspankki (zwanej dalej „Pankki”) w okresie od dnia 1 listopada do dnia 31 grudnia 2013 r. W okresie tym J.M. oprócz tego, że był klientem, był pracownikiem Pankki.

18.

W dniu 29 maja 2018 r. J.M., podejrzewając, że powody przeglądania nie były w pełni zgodne z prawem, zwrócił się do Pankki o udzielenie mu informacji na temat tożsamości pracowników, którzy uzyskali dostęp do jego danych we wspomnianym wyżej okresie, oraz o poinformowanie go o celach przetwarzania.

19.

W międzyczasie Pankki rozwiązała umowę o pracę z J.M., który uzasadnił swoje żądanie udzielenia informacji w szczególności chęcią wyjaśnienia przyczyn rozwiązania jego umowy o pracę.

20.

W dniu 30 sierpnia 2018 r. Pankki, jako administrator, odmówiła udzielenia J.M. informacji o nazwiskach pracowników, którzy przetwarzali jego dane osobowe. Instytucja ta argumentowała, że przewidziane w art. 15 RODO prawo nie dotyczy ewidencji lub wewnętrznych protokołów, z których wynika, którzy pracownicy i kiedy mieli dostęp do systemu informatycznego zawierającego dane klientów. Ponadto żądane informacje dotyczyły danych osobowych tych pracowników, a nie danych osobowych J.M.

21.

W celu uniknięcia nieporozumień Pankki udzieliła J.M. następujących dalszych wyjaśnień:

22.

J.M. zwrócił się do krajowego organu nadzorczego (biura inspektora ochrony danych, Finlandia) o nakazanie Pankki udzielenia żądanych informacji.

23.

W dniu 4 sierpnia 2020 r. zastępca inspektora ochrony danych oddalił wniosek J.M.

24.

J.M. wniósł skargę do Itä‑Suomen hallinto‑oikeus (sądu administracyjnego dla Finlandii Wschodniej), utrzymując, że na podstawie RODO ma prawo do uzyskania informacji o tożsamości i stanowiskach osób, które przeglądały jego dane w instytucji finansowej.

25.

W tym kontekście sąd ten skierował do Trybunału następujące pytania prejudycjalne:

26.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym został złożony w Trybunale w dniu 22 września 2021 r.

27.

Uwagi na piśmie zostały przedstawione przez J.M., Pankki, rządy austriacki, czeski i finlandzki oraz przez Komisję Europejską.

28.

W rozprawie, która odbyła się w dniu 12 października 2022 r., wzięli udział J.M., biuro inspektora ochrony danych, Pankki, rząd finlandzki oraz Komisja.

29.

W zakresie, w jakim sąd odsyłający zwraca się o dokonanie wykładni szeregu przepisów RODO, należy wyjaśnić przede wszystkim, czy rozporządzenie to ma zastosowanie ratione temporis do postępowania głównego. Czwarte pytanie prejudycjalne dotyczy tej wątpliwości.

30.

Zgodnie z art. 99 ust. 1 RODO rozporządzenie to weszło w życie w dniu 24 maja 2016 r. Początek jego stosowania został jednak przesunięty na dzień 25 maja 2018 r. ( 6 ).

31.

Dane osobowe J.M. były analizowane w okresie od dnia 1 listopada do dnia 31 grudnia 2013 r., to znaczy przed wejściem w życie i rozpoczęciem stosowania RODO.

32.

Jednakże datą istotną w niniejszej sprawie jest dzień 29 maja 2018 r., to znaczy dzień, w którym J.M., powołując się na art. 15 ust. 1 RODO (mający zastosowanie od dnia 25 maja 2018 r.), wystąpił o udzielenie spornych informacji.

33.

Jak wskazał rząd austriacki, art. 15 ust. 1 RODO przyznaje osobom, których dane dotyczą, prawo o charakterze proceduralnym (prawo dostępu) do uzyskania informacji o przetwarzaniu ich danych osobowych ( 7 ). Jako przepis o takim charakterze stosuje się go od chwili jego wejścia w życie ( 8 ). J.M. mógł zatem powołać się na ów przepis, gdy zażądał informacji od Pankki.

34.

Niewątpliwie zgodność z prawem przetwarzania danych zgromadzonych przed wejściem w życie RODO musi być oceniana w świetle obowiązujących wówczas przepisów materialnych, a mianowicie dyrektywy 95/46/WE ( 9 ), zaś w świetle RODO – w zakresie, w jakim rozporządzenie to ma zastosowanie wstecz ( 10 ).

35.

Ponieważ jest bezsporne, że żądane informacje były w posiadaniu administratora w chwili, gdy J.M. zwrócił się o uzyskanie do nich dostępu (co jest prawem gwarantowanym na mocy art. 15 ust. 1 RODO), zastosowanie miało to ostatnie rozporządzenie ( 11 ).

36.

To, czy sporne dane były przetwarzane przed wejściem w życie RODO, nie ma zatem znaczenia dla uzyskania dostępu do informacji żądanych przez osobę, której dane dotyczą, lub odmowy jego udzielenia na podstawie art. 15 ust. 1 RODO.

37.

Pytania prejudycjalne pierwsze i drugie można rozpatrywać łącznie. Kwestia, do której się one odnoszą, dotyczy w istocie tego, czy dane osobowe J.M., które były gromadzone i przetwarzane przez Pankki, odpowiadają informacjom, które osoba, której dane dotyczą, ma prawo uzyskać na podstawie art. 15 ust. 1 RODO.

38.

Pragnę przypomnieć, że informacje, o które zwrócił się J.M., dotyczyły tożsamości pracowników, którzy przeglądali jego dane jako klienta w 2013 r., a także chwili, w której miało miejsce przetwarzanie, oraz celu przetwarzania.

39.

Na rozprawie potwierdzono, że J.M. ograniczył swoje żądanie do poznania tożsamości tych pracowników. W sporze bezsporne jest w szczególności, że przetwarzanie jego danych przez instytucję bankową odbywało się w oparciu o podstawę zgodną z prawem ( 12 ).

40.

A więc:

41.

Debata dotyczy zatem jedynie informacji dotyczących tożsamości pracowników Pankki, którzy przetwarzali dane osobowe J.M.

42.

W rzeczywistości informacje te dotyczą szczegółów operacji przetwarzania, a nie, jako takich, danych osobowych osoby, której dane dotyczą, w rozumieniu art. 4 pkt 1 RODO ( 14 ).

43.

Jest oczywiste, że osobą, której dane były przeglądane, był J.M. ( 15 ). Po uzyskaniu przez J.M. od Pankki potwierdzenia, że jego dane były przetwarzane ( 16 ), informacjami, do uzyskania których jest on uprawniony zgodnie z art. 15 ust. 1 RODO, są te wymienione w lit. a)–h) tego przepisu ( 17 ). Poprzez ich udostępnienie ułatwia się wykonywanie praw przysługujących osobie, której dane dotyczą ( 18 ), w ramach mechanizmów gwarantujących zgodność przetwarzania danych z prawem.

44.

Z art. 15 ust. 1 RODO wynika, że informacje, do których przepis ten się odnosi, dotyczą okoliczności związanych z przetwarzaniem danych.

45.

Artykuł 15 ust. 1 RODO przyznaje bowiem osobie, której dane dotyczą, prawo do uzyskania od administratora:

46.

W przepisie tym rozróżniono z jednej strony „dane osobowe”, a z drugiej strony „informacje”, o których mowa w poszczególnych literach ustępu 1.

47.

Informacje, które należy przekazać osobie, której dane dotyczą, zgodnie z art. 15 ust. 1 lit. a)–h) RODO, nie mogą być zatem mylone z danymi osobowymi tej osoby w rozumieniu art. 4 pkt 1 RODO.

48.

Są zatem nie danymi, lecz informacjami, te dotyczące:

49.

We wszystkich tych przypadkach informacje dotyczą albo określonych praw osoby, której dane dotyczą, albo w szczególności elementów związanych z dokonywanym przetwarzaniem, takich jak jego cel (co jest równoznaczne z jego przyczyną) i przedmiot (kategorie przetwarzanych danych).

50.

Informacje o odbiorcach, którym dane osobowe osoby, której dane dotyczą, zostały lub zostaną ujawnione [art. 15 ust. 1 lit. c) RODO], stwarzają kolejne problemy pojęciowe, do których odniosę się poniżej.

51.

Artykuł 15 ust. 1 RODO ustanawia zasadniczo prawo do informacji o samym fakcie przetwarzania i jego okolicznościach. Oprócz tych informacji znajdują się tam również informacje o prawach przysługujących osobie, której dane dotyczą, w odniesieniu do przetwarzanych danych, takich jak prawo do wniesienia skargi do organu nadzorczego.

52.

Samo zaistnienie przetwarzania i jego okoliczności nie stanowią moim zdaniem „danych osobowych” w rozumieniu art. 4 pkt 1 RODO.

53.

Niewątpliwie, jak wskazał sąd odsyłający, decyzje mające wpływ na osobę, której dane dotyczą, mogą wynikać z przetwarzania ( 21 ). Jednakże wynik ten nie będzie zależał od tego, która osoba fizyczna lub które osoby fizyczne konkretnie analizowały te dane w imieniu i na odpowiedzialność Pankki, co stanowi informację będącą przedmiotem sporu w postępowaniu głównym.

54.

J.M. byłby zatem uprawniony do uzyskania od Pankki jako administratora danych informacji o posiadanych przez Pankki danych osobowych uzyskanych od samego J.M. (art. 13 RODO) lub w inny sposób (art. 14 RODO). Byłby on również uprawniony – obecnie na mocy art. 15 RODO – do uzyskania informacji o istnieniu i okolicznościach każdego przetwarzania, którego przedmiotem były te dane, jednak nie dlatego, że owo przetwarzanie stanowi samo w sobie „dane osobowe”, lecz na mocy wyraźnego upoważnienia zawartego w art. 15 RODO ( 22 ).

55.

Uprzedzając to, co wyjaśnię szerzej w dalszej części: istotna dla niniejszej sprawy jest okoliczność, że tożsamość pracowników, którzy przeglądali dane J.M., nie stanowi „danych osobowych” J.M.

56.

Odrębną kwestią jest to, że protokoły lub rejestry, do których odniosę się poniżej, mogą zawierać bezpośrednio lub pośrednio dane osobowe osoby, której dane dotyczą, inne niż informacja o tym, którzy pracownicy uzyskali do nich dostęp. To, czy tak jest, będzie w dużej mierze zależało od treści odpowiednich protokołów lub rejestrów. Pragnę jednak powtórzyć, że, zważywszy, iż postępowanie główne jest ograniczone do tożsamości pracowników Pankki, nie są to dane osobowe J.M., lecz tych pracowników jako takich.

57.

Sąd odsyłający zmierza do ustalenia, czy J.M. miałby prawo, w świetle art. 15 ust. 1 lit. a) i c) RODO, do uzyskania od Pankki informacji o pracownikach, którzy przetwarzali jego dane osobowe, nawet jeśli informacje te nie stanowią danych osobowych J.M.

58.

Zgodnie z lit. a) osoba, której dane dotyczą, ma prawo uzyskać od administratora potwierdzenie celów przetwarzania. Jednakże w przepisie tym (który w niniejszej sprawie był przestrzegany, gdyż Pankki poinformowała J.M. o celu przetwarzania) nie określono kryteriów pozwalających na ustalenie, kim są odbiorcy danych osobowych osoby, której dane dotyczą.

59.

Przeciwnie, pytanie to ma sens właśnie wtedy, gdy wymaga dokonania wykładni art. 15 ust. 1 lit. c) RODO. Pragnę przypomnieć, że zgodnie z tym przepisem osoba, której dane dotyczą, ma prawo do uzyskania informacji o „odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione […]”.

60.

Z kolei art. 4 pkt 9 RODO definiuje „odbiorcę” jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią”.

61.

Ten ostatni człon („niezależnie od tego, czy jest stroną trzecią”) może być przyczyną niejasności co do zakresu podmiotowego tego przepisu, na co zwrócono uwagę podczas rozprawy. Przyjęcie powierzchownej i moim zdaniem błędnej interpretacji mogłoby przemawiać za tym, że „odbiorcą” jest nie tylko każda osoba trzecia, której Pankki ujawniła dane osobowe J.M., lecz również każdy z pracowników, którzy konkretnie przeglądają te dane w imieniu i na rzecz osoby prawnej, jaką jest Pankki.

62.

W art. 4 pkt 10 RODO zdefiniowano „stronę trzecią” jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe” ( 23 ).

63.

W świetle tych założeń uważam, że pojęcie odbiorcy nie obejmuje pracowników osoby prawnej, którzy, korzystając z systemu informatycznego tej ostatniej, przeglądają dane osobowe klienta w imieniu jej organów zarządzających. W przypadku gdy pracownicy ci działają z bezpośredniego upoważnienia administratora, nie nabywają z tego tylko powodu charakteru „odbiorców” danych ( 24 ).

64.

Może się jednak zdarzyć, że pracownik nie przestrzega procedur ustanowionych przez administratora i uzyskuje z własnej inicjatywy dostęp do danych klientów lub innych pracowników w sposób niezgodny z prawem. W takim przypadku nielojalny pracownik nie działałby w imieniu i na rzecz administratora.

65.

W tym zakresie nielojalnego pracownika można by określić jako „odbiorcę”, któremu „ujawniono” (w przenośni) dane osobowe osoby, której dane dotyczą ( 25 ), czy to poprzez jego własne działanie, a zatem niezgodnie z prawem, czy też nawet jako (autonomicznemu) administratorowi ( 26 ).

66.

Z zawartego w postanowieniu odsyłającym opisu okoliczności faktycznych oraz z argumentów przedstawionych na rozprawie przez Pankki wynika, że instytucja ta upoważniła na własną odpowiedzialność swoich pracowników do przeglądania danych osobowych J.M. Pracownicy ci wykonywali zatem polecenia administratora i działali w jego imieniu. W związku z tym nie można ich uznać za odbiorców w rozumieniu art. 15 ust. 1 lit. c) RODO ( 27 ).

67.

Nie zmienia to faktu, że identyfikacja tych pracowników i chwili, w której którykolwiek z nich uzyskał dostęp do danych osobowych klienta (to znaczy treść tych informacji w zbiorach danych lub rejestrach, do których niezwłocznie się odniosę), musi być udostępniona organom nadzorczym w celu sprawdzenia prawidłowości ich działań.

68.

Potwierdza to art. 29 RODO, który odnosi się do osób działających „z upoważnienia administratora lub podmiotu przetwarzającego i mając[ych] dostęp do danych osobowych”. Osoby te mogą przetwarzać wspomniane dane jedynie zgodnie z poleceniami swojego pracodawcy, który jest rzeczywistym administratorem (lub podmiotem przetwarzającym).

69.

Celem art. 15 ust. 1 RODO jest ułatwienie osobie, której dane dotyczą, skutecznego wykonywania (obrony) praw przysługujących jej w odniesieniu do jej danych osobowych. W związku z tym należy wskazać jej, kto jest administratorem i, w stosownym przypadku, jakim odbiorcom owe dane zostały ujawnione. Dysponując taką informacją, osoba, której dane dotyczą, może zwrócić się, oprócz administratora, do odbiorców, którzy uzyskali dostęp do jej danych.

70.

Z pewnością osoba, której dane dotyczą, może mieć wątpliwości co do prawidłowości udziału niektórych osób w zarządzaniu przetwarzaniem jej danych w imieniu i pod kierownictwem administratora lub podmiotu przetwarzającego.

71.

W tym kontekście, jak zauważa rząd czeski i jak wskazała Komisja na rozprawie, osoba, której dane dotyczą, może zwrócić się do inspektora ochrony danych (art. 38 ust. 4 RODO) lub do organu nadzorczego w celu złożenia skargi [art. 15 ust. 1 lit. f) i art. 77 RODO]. Nie uznaje się natomiast, że osobie, której dane dotyczą, przysługuje prawo do uzyskania danych osobowych (tożsamości) bezpośrednio pracownika, który, jako podlegający kierownictwu administratora lub podmiotu przetwarzającego, działa co do zasady zgodnie z poleceniami tego ostatniego.

72.

Na rozprawie miała miejsca debata w przedmiocie tego, czy możliwość zwrócenia się do inspektora ochrony danych lub do organu nadzorczego stanowi wystarczającą gwarancję z punktu widzenia obrony praw osoby, której dane były przetwarzane.

73.

Rozstrzygając tę debatę, można przyjąć stanowisko maksymalistyczne, zgodnie z którym każda osoba, której dane dotyczą, miałaby prawo poznać tożsamość pracowników administratora, którzy uzyskali dostęp do jej danych, nawet jeśli miałoby to miejsce w imieniu i pod kierownictwem tego administratora.

74.

Uważam, że RODO nie przemawia za przyjęciem takiego twierdzenia, nie uchybiając przy tym możliwości przyjęcia takiej regulacji przez państwo członkowskie w jego ustawodawstwie krajowym w odniesieniu do jednego lub kilku konkretnych sektorów ( 28 ).

75.

Moim zdaniem byłoby nieostrożne, gdyby Trybunał, odgrywając rolę quasi‑ustawodawczą, dokonał poprawki RODO w celu wprowadzenia nowego obowiązku udzielenia informacji, pokrywającego się z obowiązkami wynikającymi z art. 15 ust. 1 RODO. Sytuacja ta miałaby miejsce, gdyby administrator był zobowiązany, bez wprowadzania jakiegokolwiek rozróżnienia, do poinformowania osoby, której dane dotyczą, o tożsamości nie tylko odbiorcy, któremu dane zostały ujawnione, lecz każdego pracownika lub osoby z wewnętrznego kręgu przedsiębiorstwa, która miała do nich dostęp zgodnie z prawem ( 29 ).

76.

Jak wskazała Pankki na rozprawie, tożsamość konkretnych pracowników, którzy zajmowali się przetwarzaniem danych klientów, stanowi informację szczególnie chronioną z punktu widzenia bezpieczeństwa, przynajmniej w niektórych sektorach gospodarki.

77.

Pracownicy ci mogliby być narażeni na próby wywierania nacisku i wpływu przez osoby, które jako klienci instytucji bankowej mogą mieć interes w zindywidualizowaniu swego rozmówcy, którym byłaby już nie tyle sama instytucja finansowa, co jeden lub kilku jej pracowników, będących najsłabszym ogniwem łańcucha biznesowego. Mogłoby to mieć miejsce na przykład w przypadku, gdy monitorowanie transakcji poprzez przeglądanie danych klienta odbywa się w celu wykonania obowiązków, którym podlegają banki, w zakresie zapobiegania i zwalczania przestępczości w dziedzinie finansów.

78.

Niewątpliwie klient może mieć wątpliwości co do uczciwości lub bezstronności osoby fizycznej, która uczestniczyła w imieniu administratora w przetwarzaniu jego danych. Gdyby wątpliwości te były racjonalne, mogłyby uzasadniać jego interes w poznaniu tożsamości pracownika w celu skorzystania z przysługującego temu klientowi prawa do podjęcia działań wobec tego pracownika.

79.

Ze względu na wrażliwy charakter takich informacji interes w poznaniu tożsamości pracownika jest sprzeczny z nie mniej bezspornym interesem podmiotów przetwarzających polegającym na zachowaniu poufności tożsamości swych pracowników oraz prawem tych ostatnich do ochrony ich własnych danych. Moim zdaniem wyważenie tych interesów osiąga się dzięki pośrednictwu organu nadzorczego jako arbitra między tymi dwoma przeciwstawnymi interesami.

80.

W przypadku takim jak rozpatrywany w niniejszej sprawie to zatem organ nadzorczy będzie musiał ocenić bezstronnie, czy wątpliwości co do działań pracowników instytucji bankowej są na tyle zasadne i spójne, że uzasadniają rezygnację z zachowania poufności w kwestii ich tożsamości.

81.

Można by poprzestać tutaj, po stwierdzeniu, że pracownicy instytucji działający w jej imieniu i zgodnie z jej poleceniami nie są odbiorcami w ścisłym znaczeniu, o których mowa w art. 15 ust. 1 lit. c) RODO, na udzieleniu odpowiedzi na pytania prejudycjalne pierwsze i drugie.

82.

Należy jednak uzupełnić odpowiedź o analizę potencjalnego prawa osoby, której dane dotyczą, do poznania tożsamości pracowników, w przypadku gdy informacja ta jest zawarta w zbiorach danych lub rejestrach operacji danej instytucji. Chociaż, jak już wskazałem, niekoniecznie wszystkie te zbiory danych lub rejestry będą miały identyczną treść, jednak przyjmuje się ogólnie, że odzwierciedlają one, kto (spośród pracowników administratora), w jaki sposób i kiedy przeglądał dane klientów.

83.

Takie rejestry umożliwiają administratorowi wywiązanie się z obowiązku przestrzegania zasad ustanowionych w art. 5 ust. 1 RODO oraz wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymogami tego rozporządzenia i aby móc to wykazać (art. 24 ust. 1 i art. 25 ust. 2 RODO).

84.

W szczególnym obszarze objętym dyrektywą (UE) 2016/680 ( 30 ), na którą Komisja powołuje się jako przykład ( 31 ) szczególnego systemu ochrony danych w dziedzinie przestępstw:

85.

Natomiast zgodnie z art. 14 dyrektywy 2016/680 informacje dotyczące w szczególności tożsamości pracownika, który przetwarzał dane osobowe, nie stanowią informacji, do których dana osoba ma prawo dostępu.

86.

Podobnie art. 30 RODO ustanawia coś, co nazywa „rejestrem czynności przetwarzania”, którego treść pokrywa się – z mniejszym stopniem szczegółowości w odniesieniu do definicji operacji – z treścią art. 25 dyrektywy 2016/680 ( 33 ). I podobnie jak w przypadku tego ostatniego, zarejestrowane informacje o tożsamości pracownika również nie należą do informacji dostępnych dla osoby, której dane dotyczą, na podstawie art. 15 RODO.

87.

Powodem tej asymetrii między rejestrowanymi informacjami z jednej strony a prawem dostępu do nich z drugiej jest różnica celów, jakim służą przepisy regulujące, odpowiednio, rejestry czynności przetwarzania i dostępność ich treści.

88.

Pragnę powtórzyć, że celem rejestrów, o których mowa w art. 30 RODO, jest zapewnienie zgodności przetwarzania z prawem oraz zagwarantowanie integralności i bezpieczeństwa danych. Odpowiedzialność za to spoczywa w sposób ogólny na organie nadzorczym, któremu administrator i podmiot przetwarzający muszą udostępnić rejestry operacji (art. 30 ust. 4 RODO).

89.

W RODO prawo do złożenia skargi do organów nadzorczych [art. 15 ust. 1 lit. f)], na których spoczywa obowiązek zapewnienia jego właściwego stosowania, ma na celu ochronę praw osób fizycznych w odniesieniu do przetwarzania ich danych. Stanowi o tym art. 51 ust. 1 RODO i wynika to z wykazu zadań powierzonych im na mocy art. 57 samego rozporządzenia.

90.

Ogólne zadanie polegające na monitorowaniu stosowania RODO i ochronie praw osób fizycznych uzasadnia uprawnienia organu nadzorczego. Uprawnienia te obejmują ustalenie okoliczności, w jakich miało miejsce przetwarzanie danych przez podmiot przetwarzający lub administratora. Jedna z owych okoliczności ma właśnie znaczenie w niniejszej sprawie: tożsamość osób, które przeglądają dane osobowe klientów w imieniu administratora lub podmiotu przetwarzającego.

91.

W żadnym miejscu RODO nie ustanawia jednak wymogu, aby te odniesienia do tożsamości pracowników zawarte w wewnętrznych rejestrach podmiotów, na podstawie których podmioty mogą ustalić (i, w stosownym przypadku, przekazać organowi nadzorczemu), kto i kiedy badał dane osobowe klienta, muszą być udostępnione klientowi.

92.

Z drugiej strony osoba, której dotyczy dana czynność przetwarzania, musi otrzymać informacje niezbędne do ustalenia istotnych okoliczności w celu oceny zgodności przetwarzania z prawem i zakwestionowania go w stosownym przypadku przed organem nadzorczym lub w ostateczności przed sądem.

93.

Powyższego nie wyklucza okoliczność polegająca na tym, że jeśli takie rejestry operacji rzeczywiście zawierają dane osobowe osoby, której dane dotyczą (to znaczy inne niż jedynie tożsamość pracowników), osoba ta ma oczywiście prawo uzyskać od administratora potwierdzenie, że jej dane osobowe są przetwarzane. Do tych celów nie ma znaczenia, czy te dane osobowe znajdują się w rejestrze operacji, czy w jakimkolwiek innym zbiorze danych lub wewnętrznej bazie danych instytucji.

94.

Sąd odsyłający zmierza do ustalenia, czy „ma znaczenie dla postępowania to, że chodzi tu o bank prowadzący działalność regulowaną, względnie to, że J.M. jednocześnie pracował w tym banku i był jego klientem”.

95.

Moim zdaniem bez wpływu na powyższe rozważania pozostaje okoliczność, że administrator danych prowadzi działalność regulowaną. Fakt, że administratorem jest bank podlegający szczególnym uregulowaniom właściwym tego rodzaju instytucjom ( 34 ), może jednak mieć wpływ na zgodność z prawem (podstawę prawną) przetwarzania, w przypadku gdy przetwarzanie wynika z wykonywania obowiązków prawnych, którym podlega bank ( 35 ).

96.

Co do zasady nie ma także znaczenia okoliczność, że osoba, której dane były przeglądane, była jednocześnie pracownikiem i klientem tego banku. W art. 15 ust. 1 RODO nie wprowadzono rozróżnienia w zależności od działalności zawodowej osoby, której dane dotyczą, pokrywającej się z jej statusem klienta instytucji finansowej ( 36 ).

97.

Niewątpliwie, jak zauważyła Komisja, art. 23 RODO zezwala państwom członkowskim na ograniczenie w drodze ustawodawstwa zakresu obowiązków i praw ustanowionych między innymi w art. 15 tego rozporządzenia za pomocą przepisów sektorowych dla określonej kategorii osób, których dane dotyczą. Sąd odsyłający nie wspomina jednak o żadnym takim ograniczeniu krajowym.

98.

W świetle powyższego proponuję, aby Trybunał odpowiedział Itä‑Suomen hallinto‑oikeus (sądowi administracyjnemu dla Finlandii Wschodniej, Finlandia) w następujący sposób:

Artykuł 15 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w związku z art. 4 pkt 1 tego rozporządzenia

należy interpretować w ten sposób, że:

ma on zastosowanie, gdy żądanie osoby, której dane dotyczą, o udzielenie dostępu do informacji, skierowane do administratora danych tej osoby, zostało złożone po dniu 25 maja 2018 r.;

nie przyznaje on osobie, której dane dotyczą, prawa do zapoznania się, spośród informacji, którymi dysponuje administrator (gdy ma to zastosowanie – za pomocą rejestrów lub zbiorów danych dotyczących operacji przetwarzania), tożsamości pracownika lub pracowników, którzy z upoważnienia administratora i zgodnie z jego poleceniami przeglądali dane osobowe tej osoby.