1.

Oseba, zaposlena pri finančni instituciji, ki je obenem njena stranka, je od te institucije zahtevala, naj ji razkrije identiteto oseb, ki so v okviru notranje preiskave vpogledale v njene osebne podatke. Ker je institucija njeno prošnjo za te informacije zavrnila, je uporabila razpoložljive možnosti za izpodbijanje te odločitve, kar je nazadnje privedlo do tega, da o zadevi odloča Itä-Suomen hallinto-oikeus (upravno sodišče za vzhodno Finsko, Finska).

2.

To sodišče je pri Sodišču vložilo predlog za sprejetje predhodne odločbe o razlagi Uredbe (EU) 2016/679. ( 2 ) Sodišče se bo moralo v okviru odgovora nanj opredeliti o pravici posameznika, na katerega se nanašajo osebni podatki, do dostopa do nekaterih informacij, povezanih z obdelavo njegovih osebnih podatkov.

3.

V uvodni izjavi 11 je navedeno:

„Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enakovredne sankcije za kršitve v državah članicah.“

4.

Člen 4 („Opredelitev pojmov“) določa:

„V tej uredbi:

5.

V odstavku 1 člena 15 („Pravica dostopa posameznika, na katerega se nanašajo osebni podatki“) je določeno:

„Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

6.

V odstavku 1 člena 24 („Odgovornost upravljavca“) je določeno:

„Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.“

7.

V odstavku 2 člena 25 („Vgrajeno in privzeto varstvo podatkov“) je določeno:

„Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.“

8.

Člen 29 („Obdelava pod vodstvom upravljavca ali obdelovalca“) določa:

„Obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice.“

9.

Člen 30 („Evidenca dejavnosti obdelave“) določa:

„1.   Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

[…]

2.   Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje:

3.   Evidence iz odstavkov 1 in 2 so v pisni, vključno v elektronski obliki.

4.   Upravljavec, obdelovalec ali predstavnik upravljavca ali obdelovalca, kadar ta obstaja, nadzornemu organu na zahtevo omogočijo dostop do evidenc.

5.   Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov […] ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški […].“

10.

V odstavku 1 člena 58 („Pooblastila“) je določeno:

„Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:

[…]“

11.

V skladu s členom 30 so pravila za obdelavo osebnih podatkov zaposlenih, za preizkuse in nadzore, ki se izvajajo pri zaposlenih, in za zahteve, ki jih je treba pri tem upoštevati, ter za tehnični nadzor na delovnem mestu in za nalaganje in odpiranje elektronskih sporočil zaposlenega vključena v Laki yksityisyyden suojasta työelämässä (759/2004). ( 4 )

12.

V skladu s členom 34(1) posameznik, na katerega se nanašajo osebni podatki, nima pravice dostopa do podatkov, zbranih o njem, v smislu člena 15 SUVP, kadar:

13.

V skladu s členom 34(2) ima posameznik, na katerega se nanašajo osebni podatki, če v skladu z odstavkom 1 le nekateri podatki ne spadajo na področje uporabe pravice iz člena 15 SUVP, pravico dostopa do vseh drugih podatkov, ki se nanašajo nanj.

14.

V skladu s členom 34(3) je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o razlogih za omejitev, če s tem ni ogrožen njen namen.

15.

V skladu s členom 34(4) je treba podatke iz člena 15(1) SUVP na zahtevo posameznika, na katerega se nanašajo osebni podatki, kadar posameznik, na katerega se nanašajo osebni podatki, nima pravice dostopa do podatkov, zbranih o njem, zagotoviti nadzorniku za varstvo podatkov.

16.

V skladu s členom 4(2) iz oddelka 2 tega zakona je delodajalec zavezan delavca vnaprej obvestiti o pridobitvi podatkov, ki so namenjeni ugotavljanju njegove zanesljivosti. Kadar delodajalec preverja kreditno sposobnost delavca, mora delavca poleg tega seznaniti s tem, iz katerega registra se pridobivajo informacije v zvezi s kreditom. Kadar so bili podatki o delavcu zbrani pri drugi osebi in ne pri delavcu, mora delodajalec delavca seznaniti s prejetimi podatki, preden se uporabijo pri odločitvah, ki se nanašajo na delavca. Obveznosti zagotovitve podatkov posamezniku, na katerega se nanašajo osebni podatki, ki veljajo za upravljavca, in pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do podatkov so določene v poglavju III SUVP.

17.

Oseba J. M. je leta 2014 izvedela, da so bili podatki, ki so bili o njej zbrani kot o stranki finančne institucije Suur-Savon Osuuspankki (v nadaljevanju: Pankki), v obdobju od 1. novembra do 31. decembra pregledani. Oseba J. M. je bila v navedenem obdobju stranka družbe Pankki in obenem pri njej zaposlena.

18.

Oseba J. M. je 29. maja 2018, ker je posumila, da razlogi za vpogled v njene podatke niso bili povsem zakoniti, družbo Pankki zaprosila, naj ji posreduje informacije o identiteti zaposlenih, ki so v omenjenem obdobju dostopali do njenih podatkov, in o namenih obdelave teh podatkov.

19.

Družba Pankki je medtem odpovedala delovno razmerje osebi J. M., ki je zahtevo utemeljila zlasti s tem, da želi razjasniti razloge za odpoved.

20.

Družba Pankki je kot upravljavka 30. avgusta 2018 zavrnila zahtevo osebe J. M. za razkritje imen zaposlenih, ki so obdelovali njene osebne podatke. Navedla je, da pravica iz člena 15 SUVP ne velja za podatke iz internih dnevnikov ali evidenc, v katerih je zabeleženo, kateri zaposleni so v katerem trenutku imeli dostop do informacijskega sistema, v katerem so zajeti podatki strank. Poleg tega naj bi se zahtevane informacije nanašale na osebne podatke teh zaposlenih, in ne osebe J. M.

21.

Družba Pankki je v izogib nesporazumom osebi J. M. podala ta dodatna pojasnila:

22.

Oseba J. M. je zadevo predložila nacionalnemu nadzornemu organu (urad nadzornika za varstvo podatkov, Finska) in zahtevala, naj se družbi Pankki naloži, naj ji predloži zahtevane informacije.

23.

Namestnik nadzornika za varstvo podatkov je 4. avgusta 2020 zahtevo osebe J. M. zavrnil.

24.

Oseba J. M. je pri Itä-Suomen hallinto-oikeus (upravno sodišče za vzhodno Finsko) vložila tožbo in trdila, da ima na podlagi SUVP pravico dostopa do informacij o identiteti in položajih oseb, ki so pregledale njene podatke pri finančni instituciji.

25.

Predložitveno sodišče je v teh okoliščinah postavilo ta vprašanja za predhodno odločanje:

26.

Predlog za sprejetje predhodne odločbe je sodno tajništvo Sodišča prejelo 22. septembra 2021.

27.

Pisna stališča so predložile oseba J. M., avstrijska, češka in finska vlada ter Evropska komisija.

28.

Obravnave 12. oktobra 2022 so se udeležile oseba J. M., urad nadzornika za varstvo podatkov, družba Pankki, finska vlada in Komisija.

29.

Ker predložitveno sodišče prosi za razlago več določb SUVP, je treba najprej razjasniti, ali se ta uredba ratione temporis uporablja za spor v glavni stvari. Ta dvom je predmet četrtega vprašanja za predhodno odločanje.

30.

V skladu s členom 99(1) SUVP je ta začela veljati 24. maja 2016. Vendar je bil začetek njene uporabe odložen na 25. maj 2018. ( 6 )

31.

Osebni podatki osebe J. M. so bili pregledani med 1. novembrom in 31. decembrom 2013, torej preden je začela veljati in se je začela uporabljati SUVP.

32.

Vendar je datum, ki je v obravnavani zadevi upošteven, 29. maj 2018, torej dan, ko je oseba J. M. na podlagi člena 15(1) SUVP (ki se uporablja od 25. maja 2018) zahtevala sporne informacije.

33.

Kot je poudarila avstrijska vlada, imajo na podlagi člena 15(1) SUVP posamezniki, na katere se nanašajo osebni podatki, procesno pravico (pravico dostopa), da pridobijo informacije o obdelavi svojih osebnih podatkov. ( 7 ) To pravilo se kot takšno uporablja od svojega začetka veljavnosti. ( 8 ) Oseba J. M. se je zato nanj lahko sklicevala, ko je zahtevala informacije od družbe Pankki.

34.

Zakonitost obdelave podatkov, zbranih pred začetkom veljavnosti SUVP, je treba presojati glede na takrat veljavno materialno zakonodajo, torej Direktivo 95/46/ES ( 9 ) in – kar zadeva elemente, ki se uporabijo retroaktivno – SUVP ( 10 ).

35.

Ker ni sporno, da je upravljavec zahtevane informacije imel na voljo, ko je oseba J. M. zahtevala dostop do njih (kar je pravica, zagotovljena s členom 15(1) SUVP), se uporablja zadnjenavedena uredba. ( 11 )

36.

To, da so bili zadevni podatki obdelani pred začetkom veljavnosti SUVP, zato ni relevantno za omogočitev ali zavrnitev dostopa do informacij, ki jih je posameznik, na katerega se nanašajo osebni podatki, zahteval na podlagi člena 15(1) SUVP.

37.

Prvo in drugo vprašanje za predhodno odločanje je mogoče preučiti skupaj. Vprašanje, ki se z njima v bistvu postavlja, je, ali osebni podatki osebe J. M., ki jih je zbrala in obdelala družba Pankki, ustrezajo informacijam, do katerih je posameznik, na katerega se nanašajo osebni podatki, upravičen v skladu s členom 15(1) SUVP.

38.

Naj spomnim, da se informacije, ki jih je zahtevala oseba J. M., nanašajo na identiteto zaposlenih, ki so leta 2013 pregledali podatke o njej kot o stranki, ter na trenutek in namen obdelave teh podatkov.

39.

Na obravnavi je bilo potrjeno, da je oseba J. M. svoj zahtevek omejila na razkritje identitete teh zaposlenih. V sporu se posebej ne dvomi o tem, da je banka njene podatke obdelala na zakoniti podlagi. ( 12 )

40.

Torej:

41.

Razprava se torej nanaša le na informacije o identiteti zaposlenih v družbi Pankki, ki so ravnali z osebnimi podatki osebe J. M.

42.

Te informacije se pravzaprav nanašajo le na neko podrobnost dejanj obdelave, in ne na same osebne podatke posameznika, na katerega se nanašajo osebni podatki, v smislu člena 4, točka 1, SUVP. ( 14 )

43.

Jasno je, da je bila oseba, katere podatki so bili pregledani, oseba J. M. ( 15 ) Ko je od družbe Pankki prejela potrditev, da so bili njeni podatki obdelani, ( 16 ) so bile informacije, do katerih je bila upravičena na podlagi člena 15(1) SUVP, tiste iz točk od (a) do (h) te določbe. ( 17 ) Z zagotovitvijo teh informacij se olajša uveljavljanje pravic, ki jih ima ( 18 ) posameznik, na katerega se nanašajo osebni podatki, v okviru mehanizmov, s katerimi je zagotovljena zakonitost obdelave podatkov.

44.

Iz člena 15(1) SUVP izhaja, da se informacije, ki so v njem omenjene, nanašajo na okoliščine obdelave podatkov.

45.

S členom 15(1) SUVP je namreč posamezniku, na katerega se nanašajo osebni podatki, priznana pravica, da od upravljavca dobi:

46.

V navedeni določbi se razlikuje med „osebnimi podatki“ na eni strani in „informacijami“ iz točk odstavka 1 tega člena na drugi strani.

47.

Informacije, ki jih je treba posamezniku, na katerega se nanašajo osebni podatki, zagotoviti v skladu s členom 15(1), od (a) do (h), SUVP, se zato ne smejo zamenjavati z njegovimi osebnimi podatki v smislu člena 4, točka 1, SUVP.

48.

Spodaj našteto torej niso podatki, temveč informacije o:

49.

V vseh teh primerih se informacije nanašajo bodisi na nekatere pravice posameznika, na katerega se nanašajo osebni podatki, bodisi na konkretne elemente v zvezi z izvedeno obdelavo, kakršna sta njen namen (torej pravzaprav vzrok) in njen predmet (vrste obdelanih podatkov).

50.

V zvezi z informacijami o uporabnikih, ki so jim bili ali jim bodo razkriti osebni podatki posameznika, na katerega se nanašajo osebni podatki (člen 15(1)(c) SUVP), se pojavi več konceptualnih težav, ki jih bom obravnaval spodaj.

51.

Člen 15(1) SUVP določa – če povzamem – pravico do informacij o samem dejanju obdelave in o njegovih okoliščinah. Poleg teh informacij je treba zagotoviti tudi informacije o pravicah, ki jih ima posameznik, na katerega se nanašajo osebni podatki, v zvezi s podatki, ki so bili predmet obdelave, kakršna je pravica do vložitve pritožbe pri nadzornem organu.

52.

Sam obstoj obdelave in njene okoliščine po mojem mnenju ne pomenijo „osebnih podatkov“ v smislu člena 4, točka 1, SUVP.

53.

Res je, kot je poudarilo predložitveno sodišče, da je posledica obdelave lahko sprejetje odločitev, ki vplivajo na posameznika, na katerega se nanašajo osebni podatki. ( 21 ) Vendar ta posledica ne bo odvisna od tega, katera fizična oseba ali osebe so za račun in na odgovornost družbe Pankki pregledale podatke, ki so predmet spora v postopku v glavni stvari.

54.

Tako bi oseba J. M. imela pravico, da jo družba Pankki kot upravljavec obvesti o osebnih podatkih, ki jih ima na voljo in ki jih je pridobila bodisi od same osebe J. M. (člen 13 SUVP) bodisi kako drugače (člen 14 SUVP). Prav tako bi imela pravico – v tem primeru na podlagi člena 15 SUVP – do pridobitve informacij o obstoju in okoliščinah vsake obdelave, katere predmet so bili ti podatki, vendar ne zato, ker bi pri tem šlo za „osebne podatke“, temveč na podlagi izrecne zahteve iz člena 15 SUVP. ( 22 )

55.

Naj že tu navedem ugotovitev, ki jo bom spodaj obravnaval obširneje, in sicer, da je za obravnavano zadevo relevantno to, da pri identiteti zaposlenih, ki so pregledali podatke osebe J. M., ne gre za njen „osebni podatek“.

56.

Nekaj drugega je, ali so iz dnevnikov ali evidenc, o katerih bom govoril spodaj, neposredno ali posredno razvidni osebni podatki posameznika, na katerega se nanašajo osebni podatki, pri katerih ne gre za navedbo, kateri zaposleni so do njih dostopali. Odgovor na to vprašanje je v veliki meri odvisen od vsebine zadevnih dnevnikov ali registrov. Vendar informacija o identiteti zaposlenih v družbi Pankki, katere razkritje je izključni predmet spora v glavni stvari, ni – ponavljam – osebni podatek osebe J. M., temveč teh zaposlenih.

57.

Predložitveno sodišče želi izvedeti, ali bi imela oseba J. M. tudi v primeru, če pri informacijah o zaposlenih, ki so obdelovali njene osebne podatke, ne bi šlo za njene osebne podatke, glede na člen 15(1)(a) in (c) SUVP pravico do tega, da ji jih družba Pankki predloži.

58.

V skladu s točko (a) navedenega člena ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, kateri so nameni obdelave. Niso pa iz te točke (ki je bila v obravnavani zadevi spoštovana, saj je družba Pankki osebo J. M. obvestila o namenu obdelave) razvidna merila za določitev, kdo so uporabniki osebnih podatkov te osebe.

59.

Vendar je vprašanje povsem smiselno v delu, v katerem se z njim zahteva razlaga člena 15(1)(c) SUVP. Naj spomnim, da ima v skladu s to določbo posameznik, na katerega se nanašajo osebni podatki, pravico pridobiti informacije o „uporabnik[ih] ali kategorij[ah] uporabnik[ov], ki so jim bili ali jim bodo razkriti osebni podatki […]“.

60.

V skladu s členom 4, točka 9, SUVP „uporabnik“ pomeni „fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne“.

61.

Zaradi zadnjega stavka („ne glede na to, ali je tretja oseba ali ne“) bi lahko prišlo – kot je bilo ugotovljeno na obravnavi – do nesporazumov glede področja uporabe ratione personae določbe. Površna razlaga, ki bi bila po mojem mnenju napačna, bi lahko govorila v prid stališču, da „uporabnik“ ni le vsaka tretja oseba, ki ji je družba Pankki razkrila osebne podatke J. M., temveč tudi vsak zaposleni, ki konkretno pregleda te podatke v imenu in v okviru pravne osebe, kakršna je družba Pankki.

62.

V skladu s členom 4, točka 10, SUVP „tretja oseba“ pomeni „fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca“. ( 23 )

63.

Glede na ta izhodišča menim, da s pojmom uporabnika niso zajeti zaposleni pri pravni osebi, ki z uporabo njenega računalniškega sistema po navodilu njenih organov upravljanja pregledujejo osebne podatke neke stranke. Če ti zaposleni ravnajo pod neposrednim vodstvom upravljavca, zgolj na podlagi tega dejstva ne pridobijo statusa „uporabnikov“ podatkov. ( 24 )

64.

Lahko pa pride do primera, v katerem zaposleni ne upošteva postopkov, ki jih je določil upravljavec, in na lastno pobudo nezakonito dostopa do podatkov strank ali drugih zaposlenih. V takem primeru nelojalni zaposleni ne bi deloval za račun in v imenu upravljavca.

65.

V takem okviru bi se nelojalni delavec lahko štel za „uporabnika“, ki so mu bili – čeprav tako, da je sam posegel po njih, in zato nezakonito – „razkriti“ (v prenesenem pomenu) osebni podatki posameznika, na katerega se nanašajo osebni podatki, ( 25 ) ali celo za (samostojnega) upravljavca. ( 26 )

66.

Iz opisa dejanskega stanja v predložitvenem sklepu in iz trditev družbe Pankki na obravnavi izhaja, da je ta družba svoje zaposlene na lastno odgovornost pooblastila za vpogled v osebne podatke osebe J. M. Ti zaposleni so torej upoštevali navodila upravljavca in ravnali za njegov račun. Zato jih ni mogoče opredeliti kot uporabnike v smislu člena 15(1)(c) SUVP. ( 27 )

67.

Nekaj drugega pa je, da je treba informacije o identiteti teh zaposlenih in trenutkih, v katerih je kateri koli od njih dostopal do osebnih podatkov stranke (torej do vsebine teh navedb v dnevnikih ali evidencah, ki jih bom obravnaval spodaj), dati na voljo nadzornim organom, da preverijo ustreznost njihovih ravnanj.

68.

To je potrjeno tudi s členom 29 SUVP, v katerem je govora o osebah, ki „ukrepa[jo] pod vodstvom upravljavca ali obdelovalca in ima[jo] dostop do osebnih podatkov“. Te osebe lahko te podatke obdelujejo le po navodilih svojega delodajalca, ki je dejanski upravljavec (ali obdelovalec).

69.

Namen člena 15(1) SUVP je posamezniku, na katerega se nanašajo osebni podatki, omogočiti učinkovito uveljavljanje (obrambo) pravic, do katerih je upravičen v zvezi s svojimi osebnimi podatki. Zato mu je treba sporočiti, kdo je upravljavec in, po potrebi, katerim uporabnikom so bili ti podatki razkriti. Posameznik, na katerega se nanašajo osebni podatki, se lahko na podlagi teh informacij obrne na upravljavca ter na uporabnike, ki so jim bili razkriti njegovi podatki.

70.

Posameznik, na katerega se nanašajo osebni podatki, ima seveda lahko dvome o pravilnosti ravnanja nekaterih oseb, ki pri obdelavi njegovih podatkov delujejo za račun in na podlagi pooblastila upravljavca ali obdelovalca.

71.

V tem položaju se lahko, kot je poudarila češka vlada in je na obravnavi navedla Komisija, obrne na pooblaščeno osebo za varstvo podatkov (člen 38(4) SUVP) ali na nadzorni organ, pri katerem lahko vloži pritožbo (člena 15(1)(f) in 77 SUVP). Ni pa mu priznana pravica do tega, da neposredno zahteva razkritje osebnega podatka (identitete) zaposlenega, ki kot podrejeni upravljavca ali obdelovalca načeloma deluje po njunih navodilih.

72.

Na obravnavi se je razpravljalo o tem, ali to, da se lahko posameznik, na katerega se nanašajo osebni podatki, obrne na pooblaščeno osebo za varstvo podatkov ali nadzorni organ, z vidika varstva pravic osebe, katere podatki so bili predmet obdelave, pomeni zadostno jamstvo.

73.

Pri reševanju tega vprašanja je mogoče privzeti skrajen pristop, v skladu s katerim bi bil vsak posameznik, na katerega se nanašajo osebni podatki, upravičen spoznati identiteto zaposlenih pri upravljavcu, ki so dostopali do njegovih podatkov, čeprav so pri tem ravnali po naročilu in po navodilih tega upravljavca.

74.

Menim, da v SUVP ni podlage za utemeljitev tega pristopa, kar pa ni ovira za to, da ga lahko država članica v svoji nacionalni zakonodaji določi za enega ali več opredeljenih sektorjev. ( 28 )

75.

Menim, da ne bi bilo preudarno, če bi Sodišče privzelo kvazizakonodajno funkcijo ter SUVP popravilo tako, da bi k informacijam, ki se morajo sporočiti na podlagi člena 15(1), dodalo novo. Za to bi šlo v primeru, če bi moral upravljavec posamezniku, na katerega se nanašajo osebni podatki, v vsakem primeru sporočiti identiteto ne le uporabnika, ki so mu bili razkriti podatki, temveč tudi vsakega zaposlenega oziroma osebe, ki deluje v okviru podjetja, ki je imela zakonit dostop do podatkov. ( 29 )

76.

Kot je na obravnavi poudarila družba Pankki, je identiteta posameznih zaposlenih, ki so bili udeleženi pri obdelavi podatkov neke stranke, z vidika njihove varnosti – vsaj v nekaterih gospodarskih sektorjih – posebej občutljiv podatek.

77.

Ti zaposleni so lahko izpostavljeni poskusom pritiskanja in vplivanja s strani tistih, ki bi kot stranke banke lahko imeli interes za personalizacijo svojega sogovornika, ki ne bi bila več toliko sama finančna institucija, temveč en ali več njenih zaposlenih kot najšibkejši člen v verigi strukture podjetja. Do tega lahko denimo pride v primeru, ko se sledenje transakcij prek vpogleda v podatke o stranki opravi zaradi izpolnjevanja obveznosti, ki jih imajo banke v zvezi s preprečevanjem kaznivih dejanj na finančnem področju in bojem proti njim.

78.

Res je, da lahko stranka podvomi o poštenosti ali nepristranskosti fizične osebe, ki je pri obdelavi njenih podatkov delovala za račun upravljavca. S tem dvomom, če bi bil utemeljen, bi lahko upravičila svoj interes za razkritje identitete zaposlenega, da bi uveljavila svojo pravico do ukrepanja proti njemu.

79.

Glede na občutljivost teh informacij stojita interesu po razkritju identitete zaposlenega nasproti nič manj nesporen interes upravljavcev, da ohranijo diskretnost glede identitete svojih zaposlenih, in pravica teh zaposlenih do varstva njihovih lastnih podatkov. Po mojem mnenju se ravnovesje doseže s posredovanjem nadzornega organa kot razsodnika med tema nasprotujočima si interesoma.

80.

V primeru, kakršen je obravnavani, mora torej nadzorni organ kot nepristranski subjekt presoditi, ali so dvomi o ravnanju zaposlenih v bančni instituciji dovolj utemeljeni in dosledni, da je zaradi njih upravičeno žrtvovanje zaupnosti glede njihove identitete.

81.

Navedeno bi lahko zadostovalo za odgovor na prvo in drugo vprašanje, saj je bilo ugotovljeno, da zaposleni v instituciji, ki delujejo za njen račun in po njenih navodilih, kot taki niso uporabniki iz člena 15(1)(c) SUVP.

82.

Vendar je primerno odgovor dopolniti z analizo domnevne pravice posameznika, na katerega se nanašajo osebni podatki, do razkritja identitete zaposlenih, kadar je ta razvidna iz dnevnikov ali evidenc transakcij neke institucije. Čeprav, kot sem že navedel, ni nujno, da imajo vsi taki dnevniki ali evidence enako vsebino, je splošno sprejeto, da je iz njih razvidno, kdo (od zaposlenih pri upravljavcu), kako in kdaj je pregledal podatke o stranki.

83.

Tovrstne evidence upravljavcu omogočajo izpolnjevanje obveznosti spoštovanja načel iz člena 5(1) SUVP ter uporabe ustreznih tehničnih in organizacijskih ukrepov za to, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu z zahtevami te uredbe (člena 24(1) in 25(2) SUVP).

84.

Na specifičnem področju Direktive (EU) 2016/680 ( 30 ), ki jo je Komisija navedla kot primer ( 31 ) posebne ureditve varstva podatkov na področju kaznivih dejanj:

85.

V skladu s členom 14 Direktive 2016/680 pa informacije, ki se nanašajo konkretno na identiteto zaposlenega, ki je obdeloval osebne podatke, niso navedene med tistimi, do katerih ima posameznik, na katerega se nanašajo osebni podatki, pravico dostopa.

86.

Podobno je v členu 30 SUVP določeno, da se mora voditi tako imenovana „evidenca dejavnosti obdelave“, katere vsebina se ujema – ob manjši stopnji natančnosti pri opredelitvi dejanj – z vsebino evidence iz člena 25 Direktive 2016/680. ( 33 ) In tako kot v primeru zadnjenavedene direktive tudi v SUVP informacije o identiteti zaposlenega niso med temi, ki so posamezniku, na katerega se nanašajo osebni podatki, dostopne na podlagi člena 15 SUVP.

87.

Razlog za to asimetrijo med evidentiranimi informacijami na eni strani in pravico dostopa do njih na drugi strani izhaja iz različnih namenov določb, s katerimi so urejene evidence dejavnosti obdelave in možnost dostopa do njihove vsebine.

88.

Namen evidenc iz člena 30 SUVP je, ponavljam, zagotoviti zakonitost obdelave ter celovitost in varnost podatkov. Za to je praviloma odgovoren nadzorni organ, ki mu morata upravljavec in obdelovalec omogočiti dostop do evidenc transakcij (člen 30(4) SUVP).

89.

V okviru SUVP je namen pravice do vložitve pritožbe pri nadzornih organih (člen 15(1)(f)), ki morajo zagotavljati pravilno uporabo te uredbe, varstvo pravic posameznikov v zvezi z obdelavo njihovih podatkov. To je potrjeno s členom 51(1) SUVP in izhaja iz seznama nalog, ki jih imajo na podlagi člena 57 SUVP.

90.

Pristojnosti nadzornega organa so utemeljene z njegovo splošno funkcijo nadzora uporabe SUVP in varstva pravic fizičnih oseb. Ena od teh pristojnosti je ugotavljanje okoliščin, v katerih sta obdelovalec ali upravljavec izvedla obdelave podatkov. V obravnavani zadevi pa je upoštevna prav ena od teh okoliščin, in sicer identiteta oseb, ki so v imenu upravljavca ali obdelovalca pregledale osebne podatke strank.

91.

Vendar se v SUVP nikjer ne zahteva, da morajo biti te omembe identitete zaposlenih, zabeležene v internih evidencah institucij, na podlagi katerih lahko te ugotovijo (in po potrebi sporočijo nadzornemu organu), kdo in kdaj je pregledal osebne podatke neke stranke, dostopne stranki.

92.

Nasprotno, osebi, na katero se konkretna obdelava nanaša, je treba posredovati informacije, potrebne za seznanitev z okoliščinami, ki so upoštevne za to, da presodi zakonitosti obdelave in jo po potrebi graja pred nadzornim organom ali – v skrajnem primeru – pred sodiščem.

93.

Z navedenim ni v nasprotju to, da ima posameznik, na katerega se nanašajo osebni podatki, v primeru, če so v teh evidencah transakcij dejansko zajeti njegovi osebni podatki (torej podatki, pri katerih ne gre za samo identiteto zaposlenih), seveda pravico, da od upravljavca pridobi potrditev, da se njegovi osebni podatki obdelujejo. Za to ni pomembno, ali so ti podatki v evidenci transakcij ali v katerem koli drugem dnevniku ali interni podatkovni zbirki institucije.

94.

Predložitveno sodišče želi izvedeti, ali „je za obravnavani postopek pomembno, da gre za banko, ki opravlja regulirano dejavnost, ali da je bila oseba J. M. hkrati uslužbenka in stranka banke“.

95.

Menim, da na zgornje ugotovitve ne vpliva to, da upravljavec opravlja regulirano dejavnost. Je pa to, da je upravljavec banka, za katero velja posebna ureditev, ki se uporablja le za tovrstne institucije ( 34 ), lahko upoštevno za ugotavljanje zakonitosti (pravne podlage) obdelave, če ta izhaja iz izpolnjevanja pravnih obveznosti, ki veljajo zanjo. ( 35 )

96.

Načeloma prav tako ni upoštevno, da je bila oseba, katere podatki so bili pregledani, delavka in obenem stranka te banke. V členu 15(1) SUVP ni uvedeno razlikovanje, pri katerem bi se poklicna dejavnost posameznika upoštevala poleg njegovega statusa stranke finančne institucije. ( 36 )

97.

Države članice sicer lahko, kot je poudarila Komisija, na podlagi člena 23 SUVP obseg obveznosti in pravic iz – med drugim – člena 15 SUVP za določeno kategorijo zadevnih oseb zakonodajno omejijo s področnimi določbami. Vendar predložitveno sodišče ni omenilo nobene tovrstne nacionalne omejitve.

98.

Glede na navedeno Sodišču predlagam, naj Itä-Suomen hallinto-oikeus (upravno sodišče za vzhodno Finsko, Finska) odgovori tako:

Člen 15(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) v povezavi s členom 4, točka 1, te uredbe

je treba razlagati tako, da

se uporablja, če je bila zahteva za dostop do informacij, ki jo je posameznik, na katerega se nanašajo osebni podatki, naslovil na upravljavca, vložena po 25. maju 2018;

v skladu z njim posameznik, na katerega se nanašajo osebni podatki, nima pravice, da se mu izmed informacij, ki jih ima na voljo upravljavec (če je to upoštevno, prek dnevnikov in evidenc transakcij), razkrije ta o identiteti zaposlenega ali zaposlenih, ki so pod vodstvom upravljavca in ob upoštevanju njegovih navodil pregledali njegove osebne podatke.