HOTĂRÂREA CURȚII (Camera întâi)

22 iunie 2023 ( *1 )

„Trimitere preliminară – Prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolele 4 și 15 – Întinderea dreptului de acces la informațiile menționate la articolul 15 – Informații cuprinse în fișierele generate de un sistem de prelucrare (log data) – Articolul 4 – Noțiunea de «date cu caracter personal» – Noțiunea de «destinatari» – Aplicare în timp”

În cauza C‑579/21,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Itä-Suomen hallinto‑oikeus (Tribunalul Administrativ din Finlanda de Est, Finlanda), prin decizia din 21 septembrie 2021, primită de Curte la 22 septembrie 2021, în procedura inițiată de

J.M.

cu participarea:

Apulaistietosuojavaltuutettu,

Pankki S,

CURTEA (Camera întâi),

compusă din domnul A. Arabadjiev, președinte de cameră, domnii P. G. Xuereb, T. von Danwitz, A. Kumin și doamna I. Ziemele (raportoare), judecători,

avocat general: domnul M. Campos Sánchez‑Bordona,

grefier: doamna C. Strömholm, administratoare,

având în vedere procedura scrisă și în urma ședinței din 12 octombrie 2022,

luând în considerare observațiile prezentate:

–	pentru J.M., de el însuși;

–	pentru Apulaistietosuojavaltuutettu, de A. Talus, tietosuojavaltuutettu;

–	pentru Pankki S, de T. Kalliokoski și J. Lång, asianajajat, precum și de E.‑L. Hokkonen, oikeustieteen maisteri;

–	pentru guvernul finlandez, de A. Laine și H. Leppo, în calitate de agenți;

–	pentru guvernul ceh, de A. Edelmannová, M. Smolek și J. Vláčil, în calitate de agenți;

–	pentru guvernul austriac, de A. Posch, în calitate de agent;

–	pentru Comisia Europeană, de A. Bouchagiar, H. Kranenborg și I. Söderlund, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 15 decembrie 2022,

pronunță prezenta

Hotărâre

Cererea de decizie preliminară privește interpretarea articolului 15 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1) (denumit în continuare „RGPD”).

Această cerere a fost formulată în cadrul unei proceduri inițiate de J.M., vizând anularea deciziei emise de Apulaistietosuojavaltuutettu (Responsabilul adjunct cu protecția datelor, Finlanda) prin care i s‑a respins cererea de obligare a Pankki S, instituție bancară stabilită în Finlanda, să îi comunice anumite informații referitoare la operațiuni de consultare a datelor sale cu caracter personal.

Cadrul juridic

Considerentele (4), (10), (11), (26), (39), (58), (60), (63) și (74) ale RGPD au următorul cuprins:

„(4)	Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; […]

[…]

(10)

Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii [Europene], nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. […]

(11)	Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită […] consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, […]

[…]

(26)

[…] Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective.

[…]

(39)

Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Ar trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la modul în care să își exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor respective. […]

[…]

(58)

Principiul transparenței prevede că orice informații care se adresează publicului sau persoanei vizate să fie concise, ușor accesibile și ușor de înțeles și să se utilizeze un limbaj simplu și clar, precum și vizualizare acolo unde este cazul. Aceste informații ar putea fi furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site. Acest lucru este important în special în situații în care datorită multitudinii actorilor și a complexității, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizată să știe și să înțeleagă dacă datele cu caracter personal care o privesc sunt colectate, de către cine și în ce scop, cum este cazul publicității online. Întrucât copiii necesită o protecție specifică, orice informații și orice comunicare, în cazul în care prelucrarea vizează un copil, ar trebui să fie exprimate într‑un limbaj simplu și clar, astfel încât copilul să îl poată înțelege cu ușurință.

[…]

(60)

Conform principiilor prelucrării echitabile și transparente, persoana vizată este informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal. […]

[…]

(63)

O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. […] Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica în special scopurile în care sunt prelucrate datele, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal și, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. […] Acest drept nu ar trebui să aducă atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. […]

[…]

(74)

Ar trebui să se stabilească responsabilitatea și răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate și eficace și să fie în măsură să demonstreze conformitatea activităților de prelucrare cu prezentul regulament, inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor fizice.”

4	Articolul 1 din RGPD, intitulat „Obiect și obiective”, prevede la alineatul (2): „Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.”

Articolul 4 din acest regulament prevede:

„În sensul prezentului regulament:

«date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă […]; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

«prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

7.	«operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; […]

[…]

9.	«destinatar» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. […]

[…]

21.	«autoritate de supraveghere» înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;

[…]”

Articolul 5 din același regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, are următorul cuprins:

„(1) Datele cu caracter personal sunt:

(a)	prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);

[…]

(f)

prelucrate într‑un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare («integritate și confidențialitate»).

(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

Articolul 12 din RGPD, intitulat „Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, prevede:

„(1) Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, […] Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. […]

[…]

(5) […] În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

[…]

(b)	fie să refuze să dea curs cererii.

În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

[…]”

Articolul 15 din RGPD, intitulat „Dreptul de acces al persoanei vizate”, prevede:

„(1) Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

(a)	scopurile prelucrării;

(b)	categoriile de date cu caracter personal vizate;

(c)	destinatarii sau categoriile de destinatari cărora datele cu caracter personal le‑au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;

(d)	acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e)	existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;

(f)	dreptul de a depune o plângere în fața unei autorități de supraveghere;

(g)	în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;

(h)

existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

[…]

(3) Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. […]

(4) Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.”

Articolele 16 și 17 din regulamentul menționat consacră dreptul persoanei vizate de a obține rectificarea datelor cu caracter personal care sunt inexacte (dreptul de rectificare), precum și, respectiv, dreptul, în anumite împrejurări, la ștergerea acestor date (dreptul la ștergerea datelor sau „dreptul de a fi uitat”).

Articolul 18 din același regulament, intitulat „Dreptul la restricționarea prelucrării”, prevede la alineatul (1):

„Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri:

(a)	persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;

(b)	prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;

(c)	operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță sau

(d)	persoana vizată s‑a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.”

Articolul 21 din RGPD, intitulat „Dreptul la opoziție”, prevede la alineatul (1):

„În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.”

Potrivit articolului 24 alineatul (1) din acest regulament:

„Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. […]”

Articolul 29 din acest regulament, intitulat „Desfășurarea activității de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de operator”, are următorul cuprins:

„Persoana împuternicită de operator și orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care dreptul Uniunii sau dreptul intern îl obligă să facă acest lucru.”

Articolul 30 din RGPD, intitulat „Evidențele activităților de prelucrare”, prevede:

„(1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor. […]

[…]

(4) Operatorul […], precum și, după caz, reprezentantul [său] pun evidențele la dispoziția autorității de supraveghere, la cererea acesteia.

[…]”

Articolul 58 din acest regulament, intitulat „Competențe”, prevede la alineatul (1):

„Fiecare autoritate de supraveghere are toate următoarele competențe de investigare:

(a)	de a da dispoziții operatorului și persoanei împuternicite de operator și, după caz, reprezentantului operatorului sau al persoanei împuternicite de operator să furnizeze orice informații pe care autoritatea de supraveghere le solicită în vederea îndeplinirii sarcinilor sale;

[…]”

Articolul 77 din regulamentul menționat, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede:

„(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.

(2) Autoritatea de supraveghere la care s‑a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78.”

Articolul 79 din RGPD, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator”, prevede la alineatul (1):

„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă [a se citi «jurisdicțională efectivă»] în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”

Articolul 82 din acest regulament, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatul (1):

„Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.”

19	În conformitate cu articolul 99 alineatul (2), RGPD a intrat în vigoare la 25 mai 2018.

Litigiul principal și întrebările preliminare

20	În anul 2014, J.M., la acea dată salariat și client al Pankki S, a aflat că propriile sale date de client fuseseră consultate de membri ai personalului băncii, în mai multe rânduri, în perioada cuprinsă între 1 noiembrie și 31 decembrie 2013.

Având îndoieli cu privire la legalitatea acestor consultări, J.M., care între timp fusese concediat din postul său de la Pankki S, a solicitat acesteia, la 29 mai 2018, să îi comunice identitatea persoanelor care au consultat datele sale de client, datele exacte când au fost efectuate consultările, precum și scopurile prelucrării datelor respective.

În răspunsul său din 30 august 2018, Pankki S, în calitatea sa de operator în sensul articolului 4 punctul 7 din RGPD, a refuzat să comunice identitatea salariaților care au efectuat operațiunile de consultare pentru motivul că aceste informații constituiau date cu caracter personal ale acestor salariați.

Totuși, în același răspuns, Pankki S a înțeles să aducă precizări cu privire la operațiunile de consultare efectuate, potrivit instrucțiunilor sale, de serviciul său de audit intern. Astfel, aceasta a explicat că un client al băncii, al cărui consilier pentru clientelă era J.M., era creditor al unei persoane care avea de asemenea numele de familie al lui J.M., astfel încât a dorit să clarifice dacă reclamantul din litigiul principal și debitorul în cauză erau una și aceeași persoană și dacă ar fi putut exista o eventuală relație necorespunzătoare de conflict de interese. Pankki S a adăugat că, pentru a clarifica această situație, se impunea prelucrarea datelor lui J.M. și că fiecare membru al personalului băncii care a prelucrat aceste date a dat o declarație în fața serviciului de audit intern cu privire la motivele prelucrării datelor. În plus, banca a declarat că aceste consultări au permis înlăturarea oricărei suspiciuni de conflict de interese în ceea ce îl privește pe J.M.

24	J.M. a sesizat Tietosuojavaltuutetun toimisto (Biroul responsabilului cu protecția datelor, Finlanda), autoritatea de supraveghere în sensul articolului 4 punctul 21 din RGPD, solicitând obligarea Pankki S să îi transmită informațiile solicitate.

Prin decizia din 4 august 2020, responsabilul adjunct cu protecția datelor i‑a respins cererea lui J.M.. Acesta a explicat că o astfel de cerere avea ca obiect să i se permită accesul la fișierele salariaților care i‑au prelucrat datele, deși, potrivit practicii sale decizionale, astfel de fișiere conțin date cu caracter personal care nu se referă la persoana vizată, ci la salariații care au prelucrat datele acestei persoane.

26	J.M. a introdus o acțiune împotriva acestei decizii la instanța de trimitere.

Această instanță amintește că articolul 15 din RGPD prevede dreptul persoanei vizate de a obține din partea operatorului accesul la datele prelucrate care o privesc, precum și informațiile referitoare în special la scopurile și la destinatarii prelucrării. Ea ridică problema dacă comunicarea fișierelor generate cu ocazia operațiunilor de prelucrare, care conțin astfel de informații, îndeosebi identitatea angajaților operatorului, intră sub incidența articolului 15 din RGPD, din moment ce aceste fișiere s‑ar putea dovedi necesare persoanei vizate pentru a aprecia legalitatea prelucrării datelor sale.

În aceste condiții, Itä-Suomen hallinto‑oikeus (Tribunalul Administrativ din Finlanda de Est, Finlanda), a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)

Dreptul de acces conferit persoanei vizate prin articolul 15 alineatul (1) din [RGPD] coroborat cu [noțiunea de] «date cu caracter personal» prevăzută la articolul 4 alineatul (1) din acest regulament trebuie interpretat în sensul că informațiile colectate de operator, din care reies identitatea persoanelor care au prelucrat datele cu caracter personal ale persoanei vizate, momentul și scopul prelucrării, nu constituie informații în privința cărora persoana vizată are un drept de acces, în special pentru că acestea sunt date care privesc lucrătorii operatorului?

În ipoteza în care răspunsul la prima întrebare este afirmativ, iar persoana vizată nu are, în temeiul articolului 15 alineatul (1) din [RGPD], dreptul de acces la informațiile menționate în această întrebare, întrucât acestea nu constituie «date cu caracter personal» ale persoanei vizate în sensul articolului 4 punctul 1 din [RGPD], este necesar în speță să se ia în considerare de asemenea informațiile la care persoana vizată are un drept de acces în temeiul articolului 15 alineatul (1) literele (a)-(h) din acest regulament:

Cum trebuie interpretat scopul prelucrării în sensul articolului 15 alineatul (1) litera (a) [din RGPD] din perspectiva întinderii dreptului de acces al persoanei vizate, cu alte cuvinte, scopul prelucrării poate justifica un drept de acces la datele de autentificare în sistem ale utilizatorilor, colectate de operator, astfel cum sunt, printre altele, informațiile referitoare la datele cu caracter personal ale persoanelor care prelucrează, momentul și scopul prelucrării datelor cu caracter personal?

b)	În acest context, persoanele care au prelucrat datele de client ale lui J.M. pot fi considerate, pe baza anumitor criterii, destinatari ai datelor cu caracter personal în sensul articolului 15 alineatul (1) litera (c) din \|RGPD], în privința cărora persoana vizată ar avea dreptul de a obține acces?

3)	Faptul că în discuție este o bancă ce desfășoară o activitate reglementată sau că J.M. a lucrat pentru bancă, fiind concomitent clientul acesteia, prezintă relevanță pentru procedură?

4)	Este relevant pentru aprecierea întrebărilor adresate mai sus faptul că datele lui J.M. au fost prelucrate înainte de intrarea în vigoare a [RGPD]?”

Cu privire la întrebările preliminare

Cu privire la a patra întrebare

Prin intermediul celei de a patra întrebări, care trebuie analizată în prealabil, instanța de trimitere solicită în esență să se stabilească dacă, din perspectiva articolului 99 alineatul (2) din RGPD, articolul 15 din acest regulament este aplicabil unei cereri de acces la informațiile vizate de ultima dispoziție atunci când operațiunile de prelucrare avute în vedere de această cerere au fost efectuate înainte de data intrării în vigoare a regulamentului menționat, dar cererea a fost formulată după această dată.

30	Pentru a răspunde la această întrebare, trebuie arătat că, în temeiul articolului 99 alineatul (2) din RGPD, acesta este aplicabil de la 25 mai 2018.

Or, în speță, din decizia de trimitere reiese că operațiunile de prelucrare a datelor cu caracter personal în discuție în litigiul principal au fost efectuate între 1 noiembrie 2013 și 31 decembrie 2013, adică anterior intrării în vigoare a RGPD. Cu toate acestea, tot din această decizie rezultă că J.M. a depus cererea de informații la societatea Pankki S după această dată, și anume la 29 mai 2018.

În această privință, se impune a se aminti că se consideră în general că normele de procedură se aplică de la data intrării lor în vigoare, spre deosebire de normele de drept material care sunt interpretate de regulă în sensul că nu vizează situații apărute în mod definitiv anterior intrării lor în vigoare decât în măsura în care rezultă în mod clar din formularea, din finalitatea sau din economia acestora că trebuie să le fie atribuit un asemenea efect (Hotărârea din 15 iunie 2021, Facebook Ireland și alții, C‑645/19, EU:C:2021:483, punctul 100, precum și jurisprudența citată).

În speță, din decizia de trimitere reiese că cererea lui J.M. de a i se comunica informațiile în discuție în litigiul principal intră sub incidența articolului 15 alineatul (1) din RGPD, care prevede dreptul persoanei vizate de a obține accesul la datele cu caracter personal care o privesc și care fac obiectul unei prelucrări, precum și la informațiile vizate de această dispoziție.

Trebuie constatat că dispoziția menționată nu privește condițiile privind legalitatea prelucrării datelor cu caracter personal ale persoanei vizate. Astfel, articolul 15 alineatul (1) din RGPD se limitează să precizeze întinderea dreptului de acces al acestei persoane la datele și la informațiile care o interesează.

Rezultă de aici, astfel cum a arătat avocatul general la punctul 33 din concluzii, că articolul 15 alineatul (1) din RGPD conferă persoanelor vizate un drept de natură procedurală care constă în obținerea de informații cu privire la prelucrarea datelor lor cu caracter personal. Ca normă de procedură, această dispoziție se aplică cererilor de acces introduse de la data la care a început să fie aplicabil acest regulament, cum este cererea lui J.M.

În aceste condiții, este necesar să se răspundă la a patra întrebare că articolul 15 din RGPD, din perspectiva articolului 99 alineatul (2) din acest regulament, trebuie interpretat în sensul că este aplicabil unei cereri de acces la informațiile vizate de această dispoziție atunci când operațiunile de prelucrare avute în vedere de această cerere au fost efectuate înainte de data la care a început să fie aplicabil regulamentul menționat, dar cererea a fost formulată după această dată.

Cu privire la prima și la a doua întrebare

Prin intermediul primei și al celei de a doua întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (1) din RGPD trebuie interpretat în sensul că informațiile referitoare la operațiuni de consultare a datelor cu caracter personal ale unei persoane, ce privesc datele când au fost efectuate operațiunile și scopurile acestora, precum și la identitatea persoanelor fizice care au efectuat aceste operațiuni constituie informații pe care această persoană are dreptul să le obțină de la operator în temeiul dispoziției menționate.

Cu titlu introductiv, trebuie amintit că, potrivit unei jurisprudențe constante, interpretarea unei dispoziții de drept al Uniunii impune să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea urmărite de actul din care aceasta face parte [Hotărârea din 12 ianuarie 2023, Österreichische Post (Informații referitoare la destinatarii datelor cu caracter personal), C‑154/21, EU:C:2023:3, punctul 29].

În ceea ce privește, mai întâi, modul de redactare a articolului 15 alineatul (1) din RGPD, trebuie amintit că această dispoziție prevede că persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective, precum și informațiile referitoare printre altele la destinatarii sau categoriile de destinatari cărora aceste date cu caracter personal le‑au fost sau urmează să le fie divulgate.

40	În această privință, trebuie subliniat că noțiunile care figurează la articolul 15 alineatul (1) din RGPD sunt definite la articolul 4 din acest regulament.

Astfel, în primul rând, articolul 4 punctul 1 din RGPD indică faptul că reprezintă date cu caracter personal „orice informații privind o persoană fizică identificată sau identificabilă” și precizează că „o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

Utilizarea expresiei „orice informații” în definiția noțiunii de „date cu caracter personal”, care se regăsește în această dispoziție, reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei noțiuni, care înglobează potențial orice tip de informații, atât obiective, cât și subiective, sub formă de opinii sau de aprecieri, cu condiția ca acestea „să privească” persoana vizată (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 23).

În această privință, s‑a statuat că o informație privește o persoană fizică identificată sau identificabilă atunci când, ca urmare a conținutului, a scopului sau a efectului său, informația este legată de o persoană identificabilă (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 24).

În ceea ce privește caracterul „identificabil” al unei persoane, considerentul (26) al RGPD precizează că ar trebui să se ia în considerare „toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective”.

Reiese de aici că definiția largă a noțiunii de „date cu caracter personal” nu acoperă numai datele colectate și păstrate de operator, ci include de asemenea toate informațiile ce rezultă dintr‑o prelucrare a datelor cu caracter personal care privesc o persoană identificată sau identificabilă (a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 26).

În al doilea rând, în ceea ce privește noțiunea de „prelucrare”, astfel cum este definită la articolul 4 punctul 2 din RGPD, este necesar să se constate că, prin utilizarea expresiei „orice operațiune”, legiuitorul Uniunii a intenționat să confere acestei noțiuni un domeniu de aplicare larg prin recurgerea la o enumerare neexhaustivă de operațiuni aplicabile datelor sau seturilor de date cu caracter personal, care acoperă, printre altele, colectarea, înregistrarea, stocarea sau chiar consultarea (a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 27).

47	În al treilea rând, articolul 4 punctul 9 din RGPD precizează că prin „destinatar” se înțelege „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță”.

În această privință, Curtea a statuat că persoana vizată are dreptul de a obține de la operator informații cu privire la destinatarii concreți cărora le‑au fost sau urmează să le fie divulgate datele cu caracter personal care o privesc [Hotărârea din 12 ianuarie 2023, Österreichische Post (Informații referitoare la destinatarii datelor cu caracter personal), C‑154/21, EU:C:2023:3, punctul 46].

Prin urmare, din analiza textuală a articolului 15 alineatul (1) din RGPD și din noțiunile pe care acesta le conține rezultă că dreptul de acces pe care această dispoziție îl recunoaște persoanei vizate se caracterizează prin conținutul larg al informațiilor pe care operatorul de date trebuie să le furnizeze acestei persoane.

În continuare, în ceea ce privește contextul în care se înscrie articolul 15 alineatul (1) din RGPD, trebuie amintit, în primul rând, că potrivit considerentului (63) al acestui regulament, orice persoană vizată ar trebui să aibă dreptul de a cunoaște și de a i se comunica în special scopurile în care sunt prelucrate datele cu caracter personal, dacă este posibil perioada pentru care se prelucrează aceste date cu caracter personal și destinatarii acestor date cu caracter personal.

În al doilea rând, considerentul (60) al RGPD enunță că principiul prelucrării echitabile și transparente impune ca persoana vizată să fie informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, subliniindu‑se că operatorul ar trebui să furnizeze orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal. Pe de altă parte, conform principiului transparenței, menționat de instanța de trimitere, la care face referire considerentul (58) al RGPD și pe care îl consacră în mod expres articolul 12 alineatul (1) din acest regulament, orice informație adresată persoanei vizate trebuie să fie concisă, ușor accesibilă și ușor de înțeles, dar și formulată utilizând un limbaj clar și simplu.

În această privință, articolul 12 alineatul (1) din RGPD precizează că informațiile trebuie furnizate de operator în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic, cu excepția cazului în care persoana vizată solicită să îi fie furnizate verbal. Scopul acestei dispoziții, care este o expresie a principiului transparenței, este de a garanta că persoana vizată este în măsură să înțeleagă pe deplin informațiile care îi sunt transmise (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 38, precum și jurisprudența citată).

53	Din analiza contextuală care precedă rezultă că articolul 15 alineatul (1) din RGPD constituie una dintre dispozițiile care au menirea de a asigura transparența modalităților de prelucrare a datelor cu caracter personal în raport cu persoana vizată.

54	În sfârșit, această interpretare a întinderii dreptului de acces prevăzut la articolul 15 alineatul (1) din RGPD se coroborează cu obiectivele pe care le urmărește acest regulament.

55	Astfel, primo, regulamentul are ca finalitate, după cum se arată în considerentele (10) și (11) ale acestuia, asigurarea unui nivel consecvent și ridicat de protecție a persoanelor fizice în cadrul Uniunii, precum și consolidarea și stabilirea drepturilor persoanelor vizate.

În plus, astfel cum reiese din considerentul (63) al RGPD, dreptul unei persoane de a avea acces la propriile date cu caracter personal și la celelalte informații menționate la articolul 15 alineatul (1) din acest regulament are ca obiectiv, mai întâi, să permită persoanei respective să fie informată cu privire la prelucrare și să verifice legalitatea acesteia. Rezultă, potrivit aceluiași considerent și astfel cum s‑a arătat la punctul 50 din prezenta hotărâre, că orice persoană vizată ar trebui să aibă dreptul de a cunoaște și de a i se comunica în special scopurile în care sunt prelucrate datele cu caracter personal, dacă este posibil perioada pentru care se prelucrează datele, destinatarii acestor date, precum și logica de prelucrare a acestora.

În această privință, trebuie amintit, secundo, că deja Curtea a statuat că dreptul de acces prevăzut la articolul 15 din RGPD trebuie să permită persoanei vizate să se asigure că datele cu caracter personal care o privesc sunt exacte și că sunt prelucrate în mod legal (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 34).

În special, acest drept de acces este necesar pentru a‑i permite persoanei vizate să își exercite, dacă este cazul, dreptul la rectificare, dreptul la ștergerea datelor („dreptul de a fi uitat”) și dreptul la restricționarea prelucrării, care îi sunt recunoscute la articolele 16-18 din RGPD, dreptul de opoziție la prelucrarea datelor sale cu caracter personal prevăzut la articolul 21 din RGDP, precum și dreptul la o cale de atac în cazul în care suferă un prejudiciu, prevăzut la articolele 79 și 82 din RGPD (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 35, precum și jurisprudența citată).

Prin urmare, articolul 15 alineatul (1) din RGPD constituie una dintre dispozițiile destinate să garanteze transparența modalităților de prelucrare a datelor cu caracter personal în raport cu persoana vizată [Hotărârea din 12 ianuarie 2023, Österreichische Post (Informații referitoare la destinatarii datelor cu caracter personal), C‑154/21, EU:C:2023:3, punctul 42], fără de care nu ar fi în măsură să aprecieze legalitatea prelucrării datelor sale și să își exercite prerogativele prevăzute în special la articolele 16-18, 21, 79 și 82 din acest regulament.

În speță, din decizia de trimitere reiese că J.M. a solicitat Pankki S să îi comunice informații referitoare la operațiunile de consultare la care au fost supuse datele sale cu caracter personal în perioada 1 noiembrie 2013-31 decembrie 2013, informații în legătură cu datele când au avut loc aceste consultări, scopurile lor și identitatea persoanelor care au efectuat consultările menționate. Instanța de trimitere arată că transmiterea fișierelor generate cu ocazia operațiunilor menționate ar permite să se răspundă la cererea lui J.M.

În speță, nu se contestă că operațiunile de consultare al căror obiect l‑au făcut datele cu caracter personal ale reclamantului din litigiul principal constituie o „prelucrare” în sensul articolului 4 punctul 2 din RGPD, așa încât ele îi conferă acestuia, în temeiul articolului 15 alineatul (1) din regulamentul menționat, nu numai un drept de acces la aceste date cu caracter personal, ci și un drept de a i se comunica informațiile legate de aceste operațiuni, astfel cum sunt menționate în această ultimă dispoziție.

În ceea ce privește informațiile precum cele solicitate de J.M., comunicarea, mai întâi, a datelor când au avut lor operațiunile de consultare este de natură să permită persoanei vizate să obțină confirmarea că datele sale cu caracter personal au făcut efectiv obiectul unei prelucrări la un anumit moment. În plus, întrucât condițiile de legalitate prevăzute la articolele 5 și 6 din RGPD trebuie îndeplinite chiar la momentul prelucrării, data acesteia constituie un element care permite verificarea legalității sale. În continuare, trebuie arătat că informația referitoare la scopurile prelucrărilor este vizată în mod expres la articolul 15 alineatul (1) litera (a) din acest regulament. În sfârșit, articolul 15 alineatul (1) litera (c) din regulamentul menționat prevede că operatorul informează persoana vizată cu privire la destinatarii cărora le‑au fost comunicate datele sale.

În ceea ce privește, mai precis, comunicarea tuturor acestor informații prin intermediul furnizării fișierelor referitoare la operațiunile de prelucrare în discuție în litigiul principal, este necesar să se arate că articolul 15 alineatul (3) prima teză din RGPD prevede că operatorul „furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării”.

În această privință, Curtea a statuat deja că noțiunea de „copie” astfel utilizată desemnează reproducerea sau transcrierea fidelă a unui original, așa încât o descriere pur generală a datelor care fac obiectul unei prelucrări sau o trimitere la categorii de date cu caracter personal nu ar corespunde acestei definiții. În plus, din termenii articolului 15 alineatul (3) prima teză din acest regulament reiese că obligația de comunicare este legată de datele cu caracter personal care fac obiectul prelucrării în cauză (a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 21).

Copia pe care operatorul este obligat să o furnizeze trebuie să conțină toate datele cu caracter personal care fac obiectul unei prelucrări, să prezinte toate caracteristicile care permit persoanei vizate să își exercite efectiv drepturile în temeiul regulamentului amintit și trebuie, în consecință, să reproducă aceste date integral și fidel (a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctele 32 și 39).

Pentru a garanta că informațiile astfel furnizate sunt ușor de înțeles, după cum impune articolul 12 alineatul (1) din RGPD coroborat cu considerentul (58) al acestui regulament, reproducerea unor extrase din documente sau chiar a unor documente întregi ori, în plus, a unor extrase din baze de date care conțin printre altele datele cu caracter personal care fac obiectul unei prelucrări se poate dovedi indispensabilă în cazul în care contextualizarea datelor prelucrate este necesară pentru a le asigura inteligibilitatea. În special, în cazul în care datele cu caracter personal sunt generate pornind de la alte date sau atunci când astfel de date rezultă din câmpuri libere, și anume lipsa unei indicații care să dezvăluie o informație cu privire la persoana vizată, contextul prelucrării acestor date este un element indispensabil pentru a permite persoanei vizate să dispună de un acces transparent și de o prezentare inteligibilă a acestor date (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctele 41 și 42).

În speță, astfel cum a arătat avocatul general la punctele 88-90 din concluzii, fișierele care conțin informațiile solicitate de J.M. corespund unor evidențe de activitate, în sensul articolului 30 din RGPD. Trebuie să se considere că acestea se înscriu în cadrul măsurilor menționate în considerentul (74) al acestui regulament, puse în aplicare de operator în scopul de a demonstra că activitățile de prelucrare sunt conforme cu regulamentul menționat. Articolul 30 alineatul (4) din același regulament precizează în special că acestea trebuie puse la dispoziția autorității de supraveghere, la cererea acesteia.

În măsura în care aceste evidențe de activitate nu conțin informații referitoare la o persoană fizică identificată sau identificabilă în sensul jurisprudenței amintite la punctele 42 și 43 din prezenta hotărâre, acestea permit operatorului doar să își îndeplinească obligațiile față de autoritatea de supraveghere care ar solicita furnizarea lor.

În ceea ce privește în special fișierele operatorului, comunicarea unei copii a informațiilor care se găsesc în aceste fișiere se poate dovedi necesară pentru a îndeplini obligația de a furniza persoanei vizate accesul la toate informațiile prevăzute la articolul 15 alineatul (1) din RGPD și pentru a asigura o prelucrare echitabilă și transparentă, permițându‑i astfel să își valorifice pe deplin drepturile conferite de acest regulament.

Astfel, în primul rând, asemenea fișiere dezvăluie existența unei prelucrări de date, informație la care persoana vizată trebuie să aibă acces în temeiul articolului 15 alineatul (1) din RGPD. În plus, fișierele oferă informații cu privire la frecvența și la intensitatea operațiunilor de consultare, permițând astfel persoanei vizate să se asigure că prelucrarea efectuată este efectiv motivată de scopurile evocate de operator.

71	În al doilea rând, aceste fișiere conțin informațiile referitoare la identitatea persoanelor care au efectuat operațiunile de consultare.

72	În speță, din decizia de trimitere reiese că persoanele care au efectuat operațiunile de consultare în discuție în litigiul principal sunt salariați ai Pankki S care au acționat sub autoritatea sa și conform instrucțiunilor sale.

Deși din articolul 15 alineatul (1) litera (c) din RGPD rezultă că persoana vizată are dreptul de a obține de la operator informațiile referitoare la destinatarii sau la categoriile de destinatari cărora le‑au fost sau urmează să le fie comunicate datele cu caracter personal, angajații operatorului nu pot fi considerați „destinatari” în sensul articolului 15 alineatul (1) litera (c) din RGPD, așa cum s‑a amintit la punctele 47 și 48 din prezenta hotărâre, atunci când prelucrează date cu caracter personal sub autoritatea operatorului menționat și conform instrucțiunilor sale, după cum a arătat domnul avocat general la punctul 63 din concluzii.

74	În această privință, trebuie subliniat că, potrivit articolului 29 din RGPD, orice persoană care acționează sub autoritatea operatorului, care are acces la date cu caracter personal, nu le prelucrează decât la cererea operatorului menționat.

În aceste condiții, informațiile conținute în fișierele referitoare la persoanele care au efectuat consultări ale datelor cu caracter personal ale persoanei vizate ar putea constitui informații dintre cele vizate la articolul 4 punctul 1 din RGPD, menționate la punctul 41 din prezenta hotărâre, susceptibile să îi permită să verifice legalitatea prelucrării datelor sale și în special să se asigure că operațiunile de prelucrare au fost realizate efectiv sub autoritatea operatorului și conform instrucțiunilor lui.

Cu toate acestea, în primul rând, din decizia de trimitere rezultă că informațiile care figurează în fișiere precum cele în discuție în litigiul principal permit identificarea salariaților care au efectuat operațiunile de prelucrare și conțin date cu caracter personal ale acestor salariați în sensul articolului 4 punctul 1 din RGPD.

77	În această privință, trebuie amintit că, în ceea ce privește dreptul de acces prevăzut la articolul 15 din RGPD, considerentul (63) al acestui regulament precizează că „[a]cest drept nu ar trebui să aducă atingere drepturilor sau libertăților altora”.

Într‑adevăr, potrivit considerentului (4) al RGPD, dreptul la protecția datelor cu caracter personal nu este un drept absolut deoarece trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 172).

Or, presupunând că acea comunicare a informațiilor referitoare la identitatea salariaților operatorului către persoana vizată de prelucrare îi este necesară acesteia din urmă pentru a se asigura de legalitatea prelucrării datelor sale cu caracter personal, ea poate aduce totuși atingere drepturilor și libertăților acestor salariați.

În aceste condiții, în cazul unui conflict între, pe de o parte, exercitarea unui drept de acces care asigură efectul util al drepturilor recunoscute de RGPD persoanei vizate și, pe de altă parte, drepturile sau libertățile altora, este necesar să se facă o evaluare comparativă a drepturilor și libertăților în cauză. În măsura posibilului, trebuie să se aleagă modalitățile care nu aduc atingere drepturilor sau libertăților altora, ținând seama de faptul că aceste considerații nu trebuie „să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate”, după cum rezultă din considerentul (63) al RGPD (a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 44).

Cu toate acestea, în al doilea rând, din decizia de trimitere rezultă că J.M. nu solicită comunicarea informațiilor referitoare la identitatea salariaților Pankki S care au efectuat operațiunile de consultare a datelor sale cu caracter personal, pentru motivul că aceștia nu ar fi acționat efectiv sub autoritatea și conform instrucțiunilor operatorului, ci pare să aibă îndoieli cu privire la veridicitatea informațiilor referitoare la scopul acestor consultări care i‑au fost comunicate de Pankki S.

În asemenea împrejurări, dacă persoana vizată ar fi nevoită să considere că informațiile comunicate de operator sunt insuficiente pentru a‑i permite să înlăture îndoielile pe care le are cu privire la legalitatea prelucrării datelor sale cu caracter personal, ea dispune, în virtutea articolului 77 alineatul (1) din RGPD, de dreptul de a depune o plângere la autoritatea de supraveghere care, potrivit articolului 58 alineatul (1) litera (a) din acest regulament, are competența de a solicita operatorului să îi comunice orice informație de care are nevoie pentru a examina plângerea persoanei vizate.

Din considerațiile care precedă rezultă că articolul 15 alineatul (1) din RGPD trebuie interpretat în sensul că informațiile referitoare la operațiuni de consultare a datelor cu caracter personal ale unei persoane, ce privesc datele când au fost efectuate operațiunile și scopurile acestora, constituie informații pe care această persoană are dreptul să le obțină de la operator în temeiul dispoziției menționate. În schimb, această dispoziție nu consacră un astfel de drept în ceea ce privește informațiile referitoare la identitatea salariaților operatorului, care au efectuat aceste operațiuni sub autoritatea și conform instrucțiunilor acestuia, cu excepția cazului în care aceste informații sunt indispensabile pentru a‑i permite persoanei vizate să își exercite efectiv drepturile și libertățile care îi sunt conferite de acest regulament și cu condiția să se țină seama de drepturile și libertățile acestor salariați.

Cu privire la a treia întrebare

Prin intermediul celei de a treia întrebări, instanța de trimitere solicită în esență să se stabilească dacă împrejurarea, pe de o parte, că operatorul exercită o activitate bancară în cadrul unui domeniu reglementat și, pe de altă parte, că persoana ale cărei date cu caracter personal au fost prelucrate în calitatea sa de client al operatorului a fost și angajată a acestui operator este relevantă pentru definirea întinderii dreptului de acces pe care articolul 15 alineatul (1) din RGPD i‑l recunoaște acesteia.

De la bun început, trebuie subliniat că, în ceea ce privește domeniul de aplicare al dreptului de acces prevăzut la articolul 15 alineatul (1) din RGPD, nicio dispoziție din acest regulament nu face distincție în funcție de natura activităților operatorului sau de calitatea persoanei ale cărei date cu caracter personal fac obiectul unei prelucrări.

86	În ceea ce privește, pe de o parte, caracterul reglementat al activității Pankki S, articolul 23 din RGPD permite, desigur, statelor membre să limiteze, prin intermediul unor măsuri legislative, întinderea obligațiilor și a drepturilor prevăzute printre altele la articolul 15 din acest regulament.

87	Cu toate acestea, din decizia de trimitere nu reiese că activitatea Pankki S ar face obiectul unei astfel de legislații.

În ceea ce privește, pe de altă parte, împrejurarea că J.M. a fost în același timp client și angajat al Pankki S, trebuie arătat că, având în vedere obiectivele RGPD, dar și întinderea dreptului de acces de care beneficiază persoana vizată, astfel cum au fost amintite la punctele 49 și 55-59 din prezenta hotărâre, contextul în care persoana vizată solicită acces la informațiile prevăzute la articolul 15 alineatul (1) din RGPD nu poate avea vreo influență asupra întinderii acestui drept.

În consecință, articolul 15 alineatul (1) din RGPD trebuie interpretat în sensul că împrejurarea că operatorul exercită o activitate bancară în cadrul unui domeniu reglementat și că persoana ale cărei date cu caracter personal au fost prelucrate în calitatea sa de client al operatorului a fost și angajată a acestui operator nu are, în principiu, vreo incidență asupra întinderii dreptului de care beneficiază această persoană în temeiul dispoziției menționate.

Cu privire la cheltuielile de judecată

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera întâi) declară:

Articolul 15 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), din perspectiva articolului 99 alineatul (2) din acest regulament,

trebuie interpretat în sensul că

este aplicabil unei cereri de acces la informațiile vizate de această dispoziție atunci când operațiunile de prelucrare avute în vedere de această cerere au fost efectuate înainte de data la care a început să fie aplicabil regulamentul menționat, dar cererea a fost formulată după această dată.

Articolul 15 alineatul (1) din Regulamentul 2016/679

trebuie interpretat în sensul că

informațiile referitoare la operațiuni de consultare a datelor cu caracter personal ale unei persoane, ce privesc datele când au fost efectuate operațiunile și scopurile acestora, constituie informații pe care această persoană are dreptul să le obțină de la operator în temeiul dispoziției menționate. În schimb, această dispoziție nu consacră un astfel de drept în ceea ce privește informațiile referitoare la identitatea salariaților operatorului, care au efectuat aceste operațiuni sub autoritatea și conform instrucțiunilor acestuia, cu excepția cazului în care aceste informații sunt indispensabile pentru a‑i permite persoanei vizate să își exercite efectiv drepturile și libertățile care îi sunt conferite de acest regulament și cu condiția să se țină seama de drepturile și libertățile acestor salariați.

Articolul 15 alineatul (1) din Regulamentul 2016/679

trebuie interpretate în sensul că

împrejurarea că operatorul exercită o activitate bancară în cadrul unui domeniu reglementat și că persoana ale cărei date cu caracter personal au fost prelucrate în calitatea sa de client al operatorului a fost și angajată a acestui operator nu are, în principiu, vreo incidență asupra întinderii dreptului de care beneficiază această persoană în temeiul dispoziției menționate.

Semnături

( *1 ) Limba de procedură: finlandeza.