–

J.M., osobne,

–

Apulaistietosuojavaltuutettu, v zastúpení: A. Talus, tietosuojavaltuutettu,

–

Pankki S, v zastúpení: T. Kalliokoski a J. Lång, asianajajat, ako aj E.‑L. Hokkonen, oikeustieteen maisteri,

–

fínska vláda, v zastúpení: A. Laine a H. Leppo, splnomocnené zástupkyne,

–

česká vláda, v zastúpení: A. Edelmannová, M. Smolek a J. Vláčil, splnomocnení zástupcovia,

–

rakúska vláda, v zastúpení: A. Posch, splnomocnený zástupca,

–

Európska komisia, v zastúpení: A. Bouchagiar, H. Kranenborg a I. Söderlund, splnomocnení zástupcovia,

1

Návrh na začatie prejudiciálneho konania sa týka výkladu článku 15 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).

2

Tento návrh bol podaný v rámci konania začatého na návrh J.M., ktorým sa domáhal zrušenia rozhodnutia Apulaistietosuojavaltuutettu (zástupca osoby zodpovednej za ochranu osobných údajov, Fínsko), ktorým bola zamietnutá jeho žiadosť o to, aby sa spoločnosti Pankki S, bankovej inštitúcii so sídlom vo Fínsku, uložila povinnosť poskytnúť mu určité informácie týkajúce sa oboznamovania sa s jeho osobnými údajmi.

3

Odôvodnenia 4, 10, 11, 26, 39, 58, 60, 63 a 74 GDPR stanovujú:

…

…

…

…

…

…

…

4

Článok 1 nariadenia GDPR, nazvaný „Predmet úpravy a ciele“, v odseku 2 stanovuje:

„Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.“

5

Článok 4 tohto nariadenia stanovuje:

„Na účely tohto nariadenia sa uplatňujú tieto vymedzenia pojmov:

…

…

…

…“

6

Článok 5 tohto nariadenia s názvom „Zásady spracúvania osobných údajov“ znie takto:

„1.   Osobné údaje musia byť:

…

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

7

Článok 12 GDPR, nazvaný „Transparentnosť informácií a oznámení a postupy pre výkon práv dotknutej osoby“, stanovuje:

„1.   Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho,… Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. …

…

5.   … Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:

…

Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

…“

8

Článok 15 tohto nariadenia s názvom „Právo dotknutej osoby na prístup k údajom“ stanovuje:

„1.   Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

…

3.   Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. …

4.   Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a slobody iných.“

9

Články 16 a 17 uvedeného nariadenia zakotvujú právo dotknutej osoby na opravu nesprávnych osobných údajov (právo na opravu), ako aj právo na výmaz za určitých okolností (právo na vymazanie alebo „právo na zabudnutie“).

10

Článok 18 tohto nariadenia, nazvaný „Právo na obmedzenie ich spracúvania“, v odseku 1 stanovuje:

„Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:

11

Článok 21 GDPR, nazvaný „Právo namietať“, v odseku 1 stanovuje:

„Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.“

12

Podľa článku 24 ods. 1 tohto nariadenia:

„S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. …“

13

Článok 29 tohto nariadenia s názvom „Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa“ znie takto:

„Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.“

14

Článok 30 GDPR s názvom „Záznamy o spracovateľských činnostiach“ stanovuje:

„1.   Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. …

…

4.   Prevádzkovateľ… a v príslušnom prípade zástupca prevádzkovateľa… na požiadanie sprístupnia záznamy dozornému orgánu.

…“

15

Článok 58 tohto nariadenia s názvom „Právomoci“ v odseku 1 stanovuje:

„Každý dozorný orgán má všetky tieto vyšetrovacie právomoci:

…“

16

Článok 77 uvedeného nariadenia, nazvaný „Právo podať sťažnosť dozornému orgánu“, stanovuje:

„1.   Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.

2.   Dozorný orgán, ktorému sa sťažnosť podala, informuje sťažovateľa o pokroku a výsledku sťažnosti vrátane možnosti podať súdny prostriedok nápravy podľa článku 78.“

17

Článok 79 GDPR, nazvaný „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“, v odseku 1 stanovuje:

„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“

18

Článok 82 tohto nariadenia s názvom „Právo na náhradu škody a zodpovednosť“ v odseku 1 stanovuje:

„Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.“

19

GDPR sa podľa svojho článku 99 ods. 2 začalo uplatňovať 25. mája 2018.

20

V priebehu roka 2014 sa J.M., v tom čase zamestnanec a klient banky Pankki S, dozvedel, že v období od 1. novembra do 31. decembra 2013 sa zamestnanci banky viackrát oboznámili s jeho vlastnými klientskými údajmi.

21

Keďže J.M., ktorý bol medzičasom prepustený zo svojho zamestnania v banke Pankki S, mal pochybnosti o zákonnosti tohto oboznamovania sa s údajmi, 29. mája 2018 požiadal banku Pankki S, aby mu oznámila totožnosť osôb, ktoré sa oboznámili s jeho klientskými údajmi, presné dátumy, kedy k tomu došlo, ako aj účely spracúvania uvedených údajov.

22

Vo svojej odpovedi z 30. augusta 2018 Pankki S ako prevádzkovateľka v zmysle článku 4 bodu 7 GDPR odmietla poskytnúť informáciu o totožnosti zamestnancov, ktorí vykonali operácie, ktorých predmetom bolo oboznámenie sa s údajmi, z toho dôvodu, že tieto informácie predstavovali osobné údaje týchto zamestnancov.

23

V tej istej odpovedi však Pankki S poskytla spresnenia týkajúce sa prípadov oboznámenia sa s údajmi, ktoré podľa jej pokynov vykonalo jej oddelenie vnútorného auditu. Vysvetlila teda, že klient banky, ktorého bankovým poradcom bol J.M., bol veriteľom osoby, ktorá mala také priezvisko ako J.M., takže si chcela overiť, či žalobca vo veci samej a dotknutý dlžník boli jednou a tou istou osobou a či mohol existovať prípadný vzťah neprípustného stretu záujmov. Pankki S dodala, že objasnenie tejto otázky si vyžadovalo spracovanie údajov o J.M. a že každý zamestnanec banky, ktorý spracúval tieto údaje, podal na oddelenie vnútorného auditu vyhlásenie týkajúce sa dôvodov tohto spracovania údajov. Banka okrem toho vyhlásila, že tieto oboznámenia umožnili vylúčiť akékoľvek podozrenie zo stretu záujmov, pokiaľ ide o J.M.

24

J.M. sa obrátil na Tietosuojavaltuutetun toimisto (Úrad osoby zodpovednej za ochranu osobných údajov, Fínsko), dozorný orgán v zmysle článku 4 bodu 21 GDPR, aby sa banke Pankki S uložila povinnosť poskytnúť mu požadované informácie.

25

Rozhodnutím zo 4. augusta 2020 zástupca osoby zodpovednej za ochranu osobných údajov žiadosť J.M. zamietol. Vysvetlil, že cieľom takejto žiadosti bolo umožniť mu prístup k denným záznamom zamestnancov, ktorí spracovali jeho údaje, zatiaľ čo v jej praxi takéto záznamy predstavujú osobné údaje, ktoré sa netýkajú dotknutej osoby, ale zamestnancov, ktorí spracúvali údaje tejto osoby.

26

J.M. podal proti tomuto rozhodnutiu žalobu na vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania.

27

Tento súd pripomína, že článok 15 GDPR stanovuje právo dotknutej osoby získať od prevádzkovateľa prístup ku spracúvaným údajom, ktoré sa jej týkajú, ako aj informácie týkajúce sa najmä účelov spracúvania a príjemcov údajov. Pýta sa, či sa na sprístupnenie denných záznamov vytvorených pri spracovateľských operáciách, ktoré obsahujú takéto informácie, najmä totožnosť zamestnancov prevádzkovateľa, vzťahuje článok 15 GDPR, keďže tieto súbory môžu byť pre dotknutú osobu nevyhnutné na posúdenie zákonnosti spracúvania jej údajov.

28

Za týchto podmienok Itä‑Suomen hallinto‑oikeus (Správny súd pre východné Fínsko, Fínsko) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

29

Svojou štvrtou otázkou, ktorú treba preskúmať ako prvú, sa vnútroštátny súd v podstate pýta, či sa článok 15 nariadenia GDPR v spojení s článkom 99 ods. 2 tohto nariadenia uplatňuje na žiadosť o prístup k informáciám uvedeným v prvom z týchto uvedených ustanovení v prípade, keď sa spracovateľské operácie týkajúce sa tejto žiadosti uskutočnili pred dňom, keď nadobudlo účinnosť uvedeného nariadenia, ale žiadosť bola podaná po tomto dni.

30

Na účely odpovede na túto otázku treba uviesť, že podľa článku 99 ods. 2 GDPR sa toto nariadenie uplatňuje od 25. mája 2018.

31

V prejednávanej veci však z návrhu na začatie prejudiciálneho konania vyplýva, že operácie spracúvania osobných údajov, o ktoré ide vo veci samej, sa uskutočnili medzi 1. novembrom 2013 a 31. decembrom 2013, teda pred dňom, keď GDPR nadobudlo účinnosť. Z tohto rozhodnutia však tiež vyplýva, že J.M. podal svoju žiadosť o informácie banke Pankki S po tomto dni, a to 29. mája 2018.

32

V tejto súvislosti treba pripomenúť, že procesné pravidlá sa všeobecne uplatňujú od dátumu, kedy nadobudnú účinnosť, na rozdiel od hmotnoprávnych predpisov, ktoré sa spravidla vykladajú tak, že sa vzťahujú na situácie, ktoré vznikli a definitívne prebehli pred nadobudnutím ich účinnosti len v rozsahu, v akom z ich znenia, cieľa a štruktúry vyplýva, že sa im má takýto účinok priznať (rozsudok z 15. júna 2021, Facebook Ireland a i., C‑645/19, EU:C:2021:483, bod 100, ako aj citovaná judikatúra).

33

V prejednávanej veci z návrhu na začatie prejudiciálneho konania vyplýva, že žiadosť J.M. o poskytnutie informácií, o ktoré ide vo veci samej, súvisí s článkom 15 ods. 1 nariadenia GDPR, ktorý stanovuje právo dotknutej osoby na získanie prístupu k osobným údajom, ktoré sa jej týkajú a ktoré sú predmetom spracúvania, ako aj k informáciám uvedeným v tomto ustanovení.

34

Treba konštatovať, že toto ustanovenie sa netýka podmienok zákonnosti spracovania osobných údajov dotknutej osoby. Článok 15 ods. 1 nariadenia GDPR sa totiž obmedzuje na spresnenie rozsahu práva tejto osoby na prístup k údajom a informáciám, ktorých sa týka.

35

Z toho vyplýva, ako uviedol generálny advokát v bode 33 svojich návrhov, že článok 15 ods. 1 nariadenia GDPR priznáva dotknutým osobám právo procesnej povahy spočívajúce v získaní informácií o spracúvaní ich osobných údajov. Ako procesné pravidlo sa toto ustanovenie uplatňuje na žiadosti o prístup k informáciám podané od nadobudnutia účinnosti tohto nariadenia, ako je žiadosť J.M.

36

Za týchto podmienok treba na štvrtú otázku odpovedať tak, že článok 15 nariadenia GDPR v spojení s článkom 99 ods. 2 tohto nariadenia sa má vykladať v tom zmysle, že sa uplatňuje na žiadosť o prístup k informáciám uvedeným v tomto ustanovení v prípade, keď sa spracovateľské operácie týkajúce sa tejto žiadosti uskutočnili pred dňom, keď nadobudlo účinnosť uvedené nariadenie, ale žiadosť bola podaná po tomto dni.

37

Svojou prvou a druhou otázkou, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa má článok 15 ods. 1 nariadenia GDPR vykladať v tom zmysle, že informácie týkajúce sa operácií vykonaných pri oboznamovaní sa s osobnými údajmi osoby, ktoré sa týkajú dátumov a účelov týchto operácií, ako aj totožnosti fyzických osôb, ktoré tieto operácie vykonali, predstavujú informácie, ktoré má táto osoba právo získať od prevádzkovateľa podľa tohto ustanovenia.

38

Na úvod treba pripomenúť, že podľa ustálenej judikatúry platí, že výklad ustanovenia práva Únie si vyžaduje zohľadnenie nielen jeho znenia, ale aj kontextu, do ktorého patrí, a cieľov a účelu aktu, ktorého je súčasťou [rozsudok z 12. januára 2023, Österreichische Post (Informácie o príjemcoch osobných údajov),C‑154/21, EU:C:2023:3, bod 29].

39

Pokiaľ ide v prvom rade o znenie článku 15 ods. 1 GDPR, toto ustanovenie stanovuje, že dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak to tak je, má právo získať prístup k uvedeným osobným údajom, ako aj informácie týkajúce sa najmä účelov spracúvania a príjemcov alebo kategórií príjemcov, ktorým boli alebo budú tieto osobné údaje poskytnuté.

40

V tejto súvislosti treba zdôrazniť, že pojmy, ktoré sú uvedené v článku 15 ods. 1 GDPR, sú definované v článku 4 tohto nariadenia.

41

V prvom rade článok 4 bod 1 GDPR uvádza, že osobným údajom je „akákoľvek informáci[a], týkajúc[a] sa identifikovanej alebo identifikovateľnej fyzickej osoby“ a spresňuje, že „identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby“.

42

Použitie výrazu „akékoľvek informácie“ v definícii pojmu „osobné údaje“ uvedeného v tomto ustanovení odráža cieľ normotvorcu Únie priznať tomuto pojmu široký význam, ktorý potenciálne zahŕňa všetky druhy informácií, tak objektívne, ako aj subjektívne vo forme názoru alebo hodnotení pod podmienkou, že sa „týkajú“ dotknutej osoby (pozri analogicky rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 23).

43

V tejto súvislosti sa rozhodlo, že informácia sa týka identifikovanej alebo identifikovateľnej fyzickej osoby, ak z dôvodu svojho obsahu, účelu alebo účinku súvisí s identifikovateľnou osobou (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 24).

44

Pokiaľ ide o „identifikovateľnú“ povahu osoby, odôvodnenie 26 GDPR spresňuje, že treba brať do úvahy „všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby“.

45

Z toho vyplýva, že široká definícia pojmu „osobné údaje“ sa nevzťahuje len na údaje, ktoré prevádzkovateľ uchováva a spracúva, ale zahŕňa aj všetky informácie vyplývajúce zo spracovania osobných údajov, ktoré sa týkajú identifikovanej alebo identifikovateľnej osoby (pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 26).

46

V druhom rade, pokiaľ ide o pojem „spracúvanie“, ako je definovaný v článku 4 bode 2 nariadenia GDPR, treba konštatovať, že použitím výrazu „akákoľvek operácia“ mal normotvorca Únie v úmysle priznať tomuto pojmu široký rozsah tým, že použil demonštratívny výpočet operácií vykonávaných s osobnými údajmi alebo súbormi osobných údajov, ktoré zahŕňajú okrem iného zhromažďovanie, zaznamenávanie, uchovávanie alebo oboznamovanie sa s nimi (pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 27).

47

V treťom rade článok 4 bod 9 GDPR spresňuje, že „príjemcom“ je „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou“.

48

V tejto súvislosti Súdny dvor rozhodol, že dotknutá osoba má právo získať od prevádzkovateľa informácie o konkrétnych príjemcoch, ktorým boli alebo budú poskytnuté osobné údaje, ktoré sa jej týkajú [rozsudok z 12. januára 2023, Österreichische Post (Informácie o príjemcoch osobných údajov), C‑154/21, EU:C:2023:3, bod 46].

49

Z gramatickej analýzy článku 15 ods. 1 nariadenia GDPR a pojmov, ktoré obsahuje, teda vyplýva, že právo na prístup, ktoré toto ustanovenie priznáva dotknutej osobe, sa vyznačuje širokým rozsahom informácií, ktoré prevádzkovateľ musí poskytnúť tejto osobe.

50

Pokiaľ ide ďalej o kontext, do ktorého patrí článok 15 ods. 1 nariadenia GDPR, treba v prvom rade pripomenúť, že odôvodnenie 63 tohto nariadenia stanovuje, že každá dotknutá osoba by mala mať právo poznať a oboznámiť sa najmä s účelmi spracúvania osobných údajov, dobou spracúvania týchto osobných údajov, pokiaľ je to možné, a s totožnosťou príjemcov týchto osobných údajov.

51

V druhom rade, v odôvodnení 60 GDPR sa uvádza, že zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch, pričom treba zdôrazniť, že prevádzkovateľ by mal poskytnúť všetky ďalšie informácie potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia osobitné okolnosti a kontext, v ktorom sa osobné údaje spracúvajú. Okrem toho v súlade so zásadou transparentnosti uvedenou vnútroštátnym súdom, na ktorú odkazuje odôvodnenie 58 GDPR a ktorá je výslovne zakotvená v článku 12 ods. 1 tohto nariadenia, musia byť všetky informácie určené dotknutej osobe stručné, ľahko dostupné a zrozumiteľné a formulované jasne a jednoducho.

52

V tejto súvislosti článok 12 ods. 1 GDPR spresňuje, že informácie musí prevádzkovateľ poskytnúť písomne alebo iným spôsobom vrátane, ak je to vhodné, elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiada o ich poskytnutie ústne. Cieľom tohto ustanovenia, ktoré je vyjadrením zásady transparentnosti, je zaručiť, aby dotknutá osoba mohla plne porozumieť informáciám, ktoré sú jej zaslané (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 38 a citovaná judikatúra).

53

Z predchádzajúcej kontextuálnej analýzy vyplýva, že článok 15 ods. 1 GDPR predstavuje jedno z ustanovení, ktoré majú zabezpečiť transparentnosť spôsobu spracúvania osobných údajov vo vzťahu k dotknutej osobe.

54

Napokon tento výklad rozsahu práva na prístup stanoveného v článku 15 ods. 1 nariadenia GDPR potvrdzujú ciele, ktoré toto nariadenie sleduje.

55

Po prvé je totiž jeho cieľom, ako sa uvádza v jeho odôvodneniach 10 a 11, zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb v rámci Únie, ako aj posilniť a spresniť práva dotknutých osôb.

56

Okrem toho, ako vyplýva z odôvodnenia 63 GDPR, právo osoby na prístup k vlastným osobným údajom a iným informáciám uvedeným v článku 15 ods. 1 tohto nariadenia má v prvom rade za cieľ umožniť tejto osobe oboznámiť sa so spracúvaním a overiť jeho zákonnosť. Podľa toho istého odôvodnenia a ako je uvedené v bode 50 tohto rozsudku, z toho vyplýva, že každá dotknutá osoba by mala mať právo poznať a informovať sa najmä o účeloch spracúvania osobných údajov, o dobe spracúvania, ak je to možné, o totožnosti príjemcov týchto údajov, ako aj o logike ich spracúvania.

57

V tejto súvislosti treba po druhé pripomenúť, že Súdny dvor už rozhodol, že právo na prístup stanovené v článku 15 GDPR musí dotknutej osobe umožniť uistiť sa, že osobné údaje, ktoré sa jej týkajú, sú správne a že sa spracúvajú zákonným spôsobom (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 34).

58

Konkrétne je toto právo na prístup nevyhnutné na to, aby dotknutá osoba mohla prípadne vykonať svoje právo na opravu, svoje právo na vymazanie („právo na zabudnutie“) a svoje právo na obmedzenie spracúvania, ktoré jej priznávajú články 16, 17 a 18 GDPR, ako aj svoje právo namietať proti spracúvaniu svojich osobných údajov stanovené v článku 21 GDPR a svoje právo na prostriedok nápravy v prípade spôsobenej ujmy stanovené v článkoch 79 a 82 GDPR [rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 35, ako aj citovaná judikatúra].

59

Článok 15 ods. 1 písm. c) nariadenia GDPR je teda jedným z ustanovení, ktorých cieľom je zabezpečiť transparentnosť spôsobov spracúvania osobných údajov vo vzťahu k dotknutej osobe [rozsudok z 12. januára 2023, Österreichische Post (Informácie o príjemcoch osobných údajov),C‑154/21, EU:C:2023:3, bod 42], transparentnosť, bez ktorej by táto osoba nebola schopná posúdiť zákonnosť spracúvania jej údajov a vykonávať právomoci stanovené najmä v článkoch 16 až 18, 21, 79 a 82 tohto nariadenia.

60

V prejednávanej veci z návrhu na začatie prejudiciálneho konania vyplýva, že J.M. požiadal banku Pankki S, aby mu poskytla informácie týkajúce sa operácií spočívajúcich v oboznámení sa s údajmi, ktorých predmetom boli jeho osobné údaje, v období od 1. novembra 2013 do 31. decembra 2013, pričom išlo o informácie týkajúce sa dátumov týchto operácií, ich účelu a totožnosti osôb, ktoré ich vykonali. Vnútroštátny súd uvádza, že zaslanie denných záznamov vytvorených pri uvedených operáciách by umožnilo odpovedať na žiadosť J.M.

61

V prejednávanej veci je nesporné, že operácie, ktorých predmetom bolo oboznámenie sa s osobným údajmi žalobcu vo veci samej, predstavujú „spracúvanie“ v zmysle článku 4 bodu 2 nariadenia GDPR, takže žalobcovi podľa článku 15 ods. 1 tohto nariadenia zakladajú nielen právo na prístup k týmto osobným údajom, ale aj právo na to, aby mu boli oznámené informácie súvisiace s týmito operáciami, ako sú uvedené v tomto poslednom uvedenom ustanovení.

62

Pokiaľ ide o také informácie, aké požadoval J.M., oznámenie dátumov operácií, ktorých predmetom bolo oboznámenie sa s údajmi, predovšetkým umožňuje dotknutej osobe získať potvrdenie, že v danom okamihu skutočne boli jej osobné údaje spracúvané. Okrem toho, keďže podmienky zákonnosti stanovené v článkoch 5 a 6 GDPR musia byť splnené v čase samotného spracúvania, dátum tohto spracúvania predstavuje skutočnosť, ktorá umožňuje overiť jeho zákonnosť. Ďalej treba uviesť, že informácie o účeloch spracúvania údajov sú výslovne uvedené v článku 15 ods. 1 písm. a) tohto nariadenia. Napokon článok 15 ods. 1 písm. c) uvedeného nariadenia stanovuje, že prevádzkovateľ informuje dotknutú osobu o príjemcoch, ktorým boli jej údaje poskytnuté.

63

Pokiaľ ide konkrétnejšie o poskytnutie všetkých týchto informácií prostredníctvom poskytnutia denných záznamov týkajúcich sa spracovateľských operácií, o ktoré ide vo veci samej, treba uviesť, že článok 15 ods. 3 prvá veta GDPR stanovuje, že prevádzkovateľ „poskytuje kópiu osobných údajov, ktoré sa spracúvajú“.

64

V tejto súvislosti Súdny dvor už rozhodol, že takto použitý pojem „kópia“ označuje vernú reprodukciu alebo prepis originálu, takže čisto všeobecný opis údajov, ktoré sú predmetom spracúvania, alebo odkaz na kategórie osobných údajov nezodpovedá tejto definícii. Okrem toho zo znenia článku 15 ods. 3 prvej vety tohto nariadenia vyplýva, že povinnosť oznámenia sa vzťahuje na osobné údaje, ktoré sú predmetom dotknutého spracúvania (pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 21).

65

Kópia, ktorú musí prevádzkovateľ poskytnúť, musí obsahovať všetky osobné údaje, ktoré sa spracúvajú, mať všetky vlastnosti, ktoré dotknutej osobe umožnia účinne uplatniť jej práva podľa uvedeného nariadenia, a preto musí tieto údaje v plnom rozsahu a verne reprodukovať (pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, body 32 a 39).

66

S cieľom zabezpečiť, aby takto poskytnuté informácie boli ľahko pochopiteľné, ako to vyžaduje článok 12 ods. 1 GDPR v spojení s jeho odôvodnením 58, sa totiž môže ukázať ako nevyhnutné poskytnúť výňatky z dokumentov alebo dokonca celé dokumenty alebo výňatky z databáz, ktoré obsahujú spracúvané osobné údaje, v prípade, že na zabezpečenie zrozumiteľnosti osobných údajov je potrebné poznať kontext, v ktorom sa spracúvajú. Konkrétne, ak sú osobné údaje generované z iných údajov alebo ak takéto údaje vyplývajú z voľných polí, teda z neexistencie údajov o dotknutej osobe, kontext, v ktorom sa tieto údaje spracúvajú, je nevyhnutným prvkom na to, aby sa dotknutej osobe umožnil transparentný prístup a zrozumiteľný prehľad týchto údajov (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, body 41 a 42).

67

Ako uviedol generálny advokát v bodoch 88 až 90 svojich návrhov, v prejednávanej veci denné záznamy, ktoré obsahujú informácie požadované J.M., zodpovedajú záznamom o spracovateľských činnostiach v zmysle článku 30 nariadenia GDPR. Treba sa domnievať, že patria medzi opatrenia uvedené v odôvodnení 74 tohto nariadenia, ktoré prevádzkovateľ vykonáva s cieľom preukázať súlad spracovateľských činností s uvedeným nariadením. V článku 30 ods. 4 toho istého nariadenia sa okrem iného uvádza, že sa na požiadanie sprístupnia dozornému orgánu.

68

Pokiaľ tieto záznamy o činnostiach neobsahujú informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby v zmysle judikatúry pripomenutej v bodoch 42 a 43 tohto rozsudku, umožňujú len prevádzkovateľovi splniť si svoje povinnosti voči dozornému orgánu, ktorý žiada o ich poskytnutie.

69

Pokiaľ ide konkrétne o denné záznamy prevádzkovateľa, poskytnutie kópie informácií nachádzajúcich sa v týchto súboroch sa môže ukázať ako nevyhnutné na splnenie povinnosti poskytnúť dotknutej osobe prístup ku všetkým informáciám uvedeným v článku 15 ods. 1 GDPR a zabezpečiť spravodlivého a transparentné spracúvanie, čo jej umožní v plnom rozsahu uplatniť práva, ktoré jej vyplývajú z tohto nariadenia.

70

Po prvé takéto súbory totiž odhaľujú existenciu spracúvania údajov, teda informáciu, ku ktorej musí mať dotknutá osoba prístup podľa článku 15 ods. 1 GDPR. Okrem toho informujú o frekvencii a intenzite oboznamovania sa s údajmi, čím dotknutej osobe umožnia uistiť sa, že vykonané spracovanie je skutočne odôvodnené účelmi, ktoré uviedol prevádzkovateľ.

71

Po druhé tieto súbory obsahujú informácie o totožnosti osôb, ktoré sa s údajmi oboznámili.

72

V prejednávanej veci z rozhodnutia vnútroštátneho súdu vyplýva, že osoby, ktoré uskutočnili tieto operácie, ktorých predmetom bolo oboznámenie sa s údajmi, o ktoré ide vo veci samej, sú zamestnancami banky Pankki S, ktorí konali pod jej vedením a v súlade s jej pokynmi.

73

Hoci je pravda, že z článku 15 ods. 1 písm. c) nariadenia GDPR vyplýva, že dotknutá osoba má právo získať od prevádzkovateľa informácie týkajúce sa príjemcov alebo kategórií príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, zamestnancov prevádzkovateľa nemožno považovať za „príjemcov“ v zmysle článku 15 ods. 1 písm. c) nariadenia GDPR, ako boli pripomenuté v bodoch 47 a 48 tohto rozsudku, ak spracúvajú osobné údaje pod vedením uvedeného prevádzkovateľa a v súlade s jeho pokynmi, ako uviedol generálny advokát v bode 63 svojich návrhov.

74

V tejto súvislosti treba zdôrazniť, že podľa článku 29 GDPR každá osoba konajúca na pokyn prevádzkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov uvedeného prevádzkovateľa.

75

Informácie obsiahnuté v denných záznamových týkajúcich sa osôb, ktoré sa oboznámili s osobnými údajmi dotknutej osoby, by mohli predstavovať informácie uvedené v článku 4 ods. 1 GDPR, ako boli pripomenuté v bode 41 tohto rozsudku, ktoré by dotknutej osobe umožnili overiť zákonnosť spracúvania jej údajov, a najmä sa uistiť, že spracovateľské operácie boli skutočne vykonané na základe poverenia prevádzkovateľa a v súlade s jeho pokynmi.

76

Po prvé však z návrhu na začatie prejudiciálneho konania vyplýva, že tieto informácie uvedené v denných záznamoch, o aké ide vo veci samej umožňujú identifikovať zamestnancov, ktorí vykonali spracovateľské operácie a obsahujú osobné údaje týchto zamestnancov v zmysle článku 4 bodu 1 GDPR.

77

V tejto súvislosti treba pripomenúť, že pokiaľ ide o právo na prístup stanovené v článku 15 GDPR, odôvodnenie 63 tohto nariadenia spresňuje, že „toto právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb“.

78

Podľa odôvodnenia 4 GDPR totiž právo na ochranu osobných údajov nie je absolútnym právom a musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami (pozri v tomto zmysle rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 172).

79

Aj za predpokladu, že by poskytnutie informácií týkajúcich sa totožnosti zamestnancov prevádzkovateľa osobe dotknutej spracovaním bolo pre túto osobu potrebné na účely uistenia sa o zákonnosti spracúvania jej osobných údajov by stále mohlo ísť o zásah do práv a slobôd týchto zamestnancov.

80

Za týchto podmienok v prípade konfliktu medzi výkonom práva na prístup, zaručujúceho potrebný účinok práv, ktoré GDPR priznáva dotknutej osobe na jednej strane a právami alebo slobodami iných na druhej strane treba dotknuté práva a slobody vyvážiť. Pokiaľ je to možné, mali by sa zvoliť také podmienky, ktoré nezasahujú do práv alebo slobôd iných, pričom treba zohľadniť skutočnosť, že výsledkom zohľadnenia takých úvah „by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe“, ako vyplýva z odôvodnenia 63 GDPR (pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 44).

81

Po druhé však treba poznamenať, že z návrhu na začatie prejudiciálneho konania vyplýva, že J.M. nežiada o poskytnutie informácií týkajúcich sa totožnosti zamestnancov banky Pankki S, ktorí sa oboznámili s jeho osobnými údajmi z dôvodu, že v skutočnosti nekonali pod dohľadom a v súlade s pokynmi prevádzkovateľa, ale zdá sa, že pochybuje o pravdivosti informácií týkajúcich sa účelu tohto oboznamovania sa s údajmi, ktoré mu poskytla Pankki S.

82

Za takýchto okolností, ak by sa dotknutá osoba domnievala, že informácie poskytnuté prevádzkovateľom nie sú dostatočné na rozptýlenie akýchkoľvek pochybností, ktoré má o zákonnosti spracúvania jej osobných údajov, podľa článku 77 ods. 1 má právo podať sťažnosť dozornému orgánu, ktorý má podľa článku 58 ods. 1 písm. a) tohto nariadenia právomoc požiadať prevádzkovateľa, aby mu poskytol všetky informácie, ktoré potrebuje na preskúmanie sťažnosti dotknutej osoby.

83

Z vyššie uvedených úvah vyplýva, že článok 15 ods. 1 nariadenia GDPR sa má vykladať v tom zmysle, že informácie o operáciách, ktorých predmetom je oboznámenie sa s osobnými údajmi osoby, ktoré sa týkajú dátumov a účelov týchto operácií, predstavujú informácie, ktoré má táto osoba právo získať od prevádzkovateľa podľa tohto ustanovenia. Uvedené ustanovenie naopak takéto právo nezakotvuje, pokiaľ ide o informácie týkajúce sa totožnosti zamestnancov uvedeného prevádzkovateľa, ktorí vykonali tieto operácie pod jeho dohľadom a v súlade s jeho pokynmi, okrem prípadu, keď sú tieto informácie nevyhnutné na to, aby sa dotknutej osobe umožnilo účinne uplatniť práva, ktoré jej priznáva toto nariadenie, a pod podmienkou, že sa zohľadnia práva a slobody týchto zamestnancov.

84

Svojou treťou otázkou sa vnútroštátny súd v podstate pýta, či je na účely vymedzenia rozsahu práva na prístup, ktoré dotknutej osobe priznáva článok 15 ods. 1 GDPR, relevantná jednak skutočnosť, že prevádzkovateľ vykonáva bankovú činnosť v rámci regulovanej činnosti, a jednak to, že osoba, ktorej osobné údaje boli spracúvané ako údaje klienta prevádzkovateľa, bola tiež zamestnaná u tohto prevádzkovateľa.

85

Na úvod treba zdôrazniť, že pokiaľ ide o pôsobnosť práva na prístup stanoveného v článku 15 ods. 1 nariadenia GDPR, žiadne ustanovenie tohto nariadenia nerozlišuje podľa povahy činnosti prevádzkovateľa alebo postavenia osoby, ktorej osobné údaje sa spracúvajú.

86

Pokiaľ ide na jednej strane o regulovanú povahu činnosti banky Pankki S, je pravda, že článok 23 nariadenia GDPR umožňuje členským štátom prostredníctvom legislatívneho opatrenia obmedziť rozsah povinností a práv stanovených okrem iného v článku 15 tohto nariadenia.

87

Z návrhu na začatie prejudiciálneho konania však nevyplýva, že činnosť banky Pankki S je predmetom takejto právnej úpravy.

88

Pokiaľ ide na druhej strane o okolnosť, že J.M. bol zároveň zákazníkom a zamestnancom banky Pankki S, treba uviesť, že vzhľadom na ciele GDPR, ale aj rozsah práva na prístup, ktoré požíva dotknutá osoba, ako sú pripomenuté v bodoch 49 a 55 až 59 tohto rozsudku, kontext, v ktorom táto osoba žiada o prístup k informáciám uvedeným v článku 15 ods. 1 nariadenia GDPR, nemôže mať nijaký vplyv na rozsah tohto práva.

89

V dôsledku toho sa článok 15 ods. 1 GDPR má vykladať v tom zmysle, že okolnosť, že prevádzkovateľ vykonáva bankovú činnosť v rámci regulovanej činnosti a že osoba, ktorej osobné údaje boli spracúvané v jej postavení klienta prevádzkovateľa, bola tiež u tohto prevádzkovateľa zamestnaná, v zásade nemá vplyv na rozsah práva, ktoré má táto osoba podľa tohto ustanovenia.

90

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (prvá komora) rozhodol takto: