EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CJ0579

Domstolens dom (första avdelningen) av den 22 juni 2023.
Förfarande anhängiggjort av J.M.
Begäran om förhandsavgörande från Itä-Suomen hallinto-oikeus.
Begäran om förhandsavgörande – Behandling av personuppgifter – Förordning (EU) 2016/679 – Artiklarna 4 och 15 – Omfattningen av rätten att få tillgång till sådana uppgifter som avses i artikel 15 – Uppgifter som finns i de loggfiler som genereras av ett databehandlingssystem (log data) – Artikel 4 – Begreppet personuppgifter – Begreppet mottagare – Tillämpning i tiden.
Mål C-579/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2023:501

 DOMSTOLENS DOM (första avdelningen)

den 22 juni 2023 ( *1 )

”Begäran om förhandsavgörande – Behandling av personuppgifter – Förordning (EU) 2016/679 – Artiklarna 4 och 15 – Omfattningen av rätten att få tillgång till sådana uppgifter som avses i artikel 15 – Uppgifter som finns i de loggfiler som genereras av ett databehandlingssystem (log data) – Artikel 4 – Begreppet personuppgifter – Begreppet mottagare – Tillämpning i tiden”

I mål C‑579/21,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Östra Finlands förvaltningsdomstol (Finland) genom beslut av den 21 september 2021, som inkom till domstolen den 22 september 2021, i ett förfarande som anhängiggjorts av

J.M.

ytterligare deltagare i rättegången:

Apulaistietosuojavaltuutettu,

Pankki S,

meddelar

DOMSTOLEN (första avdelningen),

sammansatt av avdelningsordföranden A. Arabadjiev samt domarna P. G Xuereb, T. von Danwitz, A. Kumin och I. Ziemele (referent),

generaladvokat: M. Campos Sánchez-Bordona,

justitiesekreterare: handläggaren C. Strömholm,

efter det skriftliga förfarandet och förhandlingen den 12 oktober 2022,

med beaktande av de yttranden som avgetts av:

J.M., som för sin egen talan,

Apulaistietosuojavaltuutettu, genom A. Talus, dataombudsman,

Pankki S, genom T. Kalliokoski och J. Lång, advokater, och E.-L. Hokkonen, juris magister,

Finlands regering, genom A. Laine och H. Leppo, båda i egenskap av ombud,

Tjeckiens regering, genom A. Edelmannová, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,

Österrikes regering, genom A. Posch, i egenskap av ombud,

Europeiska kommissionen, genom A. Bouchagiar, H. Kranenborg och I. Söderlund, samtliga i egenskap av ombud,

och efter att den 15 december 2022 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1

Begäran om förhandsavgörande avser tolkningen av artikel 15.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

2

Begäran har framställts i ett förfarande som anhängiggjorts av J.M. Målet med yrkande om ogiltigförklaring av ett beslut från Apulaistietosuojavaltuutettu (biträdande dataombudsmannen, Finland) i vilket denne avslog J.M.s begäran att Pankki S., en bank med säte i Finland, skulle föreläggas att lämna ut vissa upplysningar till J.M. angående läsning av dennes personuppgifter.

Tillämpliga bestämmelser

3

I skälen 4, 10, 11, 26, 39, 58, 60, 63 och 74 i dataskyddsförordningen anges följande:

”(4)

Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; …

(10)

För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom [Europeiska] unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. …

(11)

Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs …

(26)

… För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring [särskiljande], som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. …

(39)

Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. …

(58)

Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in, vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

(60)

Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. …

(63)

Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. … Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt för vilka ändamål personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. … Denna rätt bör inte inverka menligt på andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. …

(74)

Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.”

4

Artikel 1 i dataskyddsförordningen har rubriken ”Syfte”. I punkt 2 i den artikeln föreskrivs följande:

”Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.”

5

I artikel 4 i denna förordning föreskrivs följande:

”I denna förordning avses med

1)

personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person …, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

2)

behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

7)

personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; …

9)

mottagare: en fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ till vilket personuppgifterna lämnas ut, vare sig det är en tredje part eller ej. …

21)

tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 51,

…”

6

Artikel 5 i förordningen, avseende ”principer för behandling av personuppgifter”, har följande lydelse:

”1.   Vid behandling av personuppgifter ska följande gälla:

a)

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

f)

De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

7

I artikel 12 i dataskyddsförordningen, med rubriken ”Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter”, föreskrivs följande:

”1.   Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, … Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. …

5.   … Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

b)

vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

…”

8

I artikel 15 i dataskyddsförordningen med rubriken ”Den registrerades rätt till tillgång” fastställs följande:

”1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a)

Ändamålen med behandlingen.

b)

De kategorier av personuppgifter som behandlingen gäller.

c)

De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d)

Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

e)

Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f)

Rätten att inge klagomål till en tillsynsmyndighet.

g)

Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.

h)

Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.   Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. …

4.   Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.”

9

I artiklarna 16 och 17 i förordningen fastställs den registrerades rätt att få felaktiga personuppgifter rättade (rätt till rättelse) respektive rätt till radering under vissa omständigheter (rätt till radering eller ”rätten att bli bortglömd”).

10

I artikel 18 i dataskyddsförordningen, med rubriken ”Rätt till begränsning av behandling”, föreskrivs följande i punkt 1:

”Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:

a)

Den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är riktiga.

b)

Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.

c)

Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d)

Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.”

11

Artikel 21 i dataskyddsförordningen har rubriken ”Rätt att göra invändningar”. I punkt 1 i denna artikel föreskrivs följande:

”Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.”

12

I artikel 24.1 i förordningen anges följande:

”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. …”

13

Artikel 29 i förordningen, med rubriken ”Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende”, har följande lydelse:

”Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.”

14

I artikel 30 i förordningen, med rubriken ”Register över behandling”, föreskrivs följande:

”1.   Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. …

4.   På begäran ska den personuppgiftsansvarige … samt, i tillämpliga fall, [dennes] företrädare göra registret tillgängligt för tillsynsmyndigheten.

…”

15

I artikel 58 i förordningen, med rubriken ”Befogenheter”, föreskrivs följande i punkt 1:

”Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter

a)

Beordra den personuppgiftsansvarige eller personuppgiftsbiträdet, och i tillämpliga fall den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare, att lämna all information som myndigheten behöver för att kunna fullgöra sina uppgifter.

…”

16

I artikel 77 i förordningen, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”, föreskrivs följande:

”1.   Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

2.   Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.”

17

I artikel 79 i förordningen, med rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, föreskrivs följande i punkt 1:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

18

I artikel 82 i förordningen, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande i punkt 1:

”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.”

19

Dataskyddsförordningen trädde den i kraft den 25 maj 2018 i enlighet med artikel 99.2 i förordningen.

Målet vid den nationella domstolen och tolkningsfrågorna

20

Under år 2014 fick J.M., som då var både anställd och kund hos Pankki S, kännedom om att bankens anställda vid flera tillfällen hade genomfört läsningar av hans egna kunduppgifter under perioden mellan den 1 november och den 31 december 2013.

21

J.M., som under tiden hade blivit uppsagd från sin anställning vid Pankki S, tvivlade på att dessa läsningar var tillåtna. Han begärde den 29 maj 2018 att Pankki S. skulle lämna ut identiteten på de personer som hade genomfört läsningar av hans kunduppgifter, de exakta datumen för läsningarna samt ändamålen med behandlingen av dessa uppgifter.

22

I sitt svar av den 30 augusti 2018 vägrade Pankki S, i egenskap av personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen, att lämna ut identiteten på de anställda som hade genomfört läsningarna. Pankki S motiverade sitt beslut med att denna information utgjorde dessa anställdas personuppgifter.

23

I detta svar lämnade Pankki S emellertid närmare upplysningar om de läsningsåtgärder som, på instruktion från Pankki S, hade utförts av bankens avdelning för internrevision. Pankki S förklarade att en av bankens kunder, vilken J.M. var kundrådgivare till, var borgenär till en person som hade samma efternamn som J.M. Banken hade därför önskat klargöra huruvida J.M. och gäldenären i fråga var en och samma person och huruvida det eventuellt kunde föreligga en olämplig intressekonflikt. Pankki S tillade att det, för att klargöra situationen hade varit nödvändigt att behandla uppgifter om J.M. Var och en av bankens anställda som hade behandlat dessa uppgifter avgav yttranden till avdelningen för internrevision om skälen till att dessa uppgifter hade behandlats. Vidare angav banken att dessa läsningar hade gjort det möjligt att utesluta alla misstankar om intressekonflikter med avseende på J.M.

24

J.M. vände sig till Dataombudsmannens byrå (Finland), vilken är tillsynsmyndighet i den mening som avses i artikel 4 led 21 i dataskyddsförordningen, och yrkade att Pankki S skulle föreläggas att lämna ut den begärda informationen till honom.

25

Genom beslut av den 4 augusti 2020 avslog den biträdande dataombudsmannen J.M.:s begäran. Den biträdande dataombudsmannen förklarade att en sådan begäran syftade till att ge J.M. tillgång till loggfiler avseende de anställda som behandlat hans uppgifter och att enligt dataombudsmannens beslutspraxis utgör sådana loggfiler personuppgifter, men inte avseende den registrerade utan avseende de anställda som behandlat denna persons uppgifter.

26

J.M. överklagade detta beslut till den hänskjutande domstolen.

27

Den hänskjutande domstolen har erinrat om att det i artikel 15 i dataskyddsförordningen föreskrivs att den registrerade har rätt att av den personuppgiftsansvarige få tillgång till de personuppgifter som rör honom eller henne som behandlats samt information om bland annat ändamålen med behandlingen och mottagarna av uppgifterna. Den hänskjutande domstolen vill få klarhet i huruvida utlämnande av loggfiler som genererats i samband med behandlingen och som innehåller sådan information, bland annat identiteten på de anställda hos den personuppgiftsansvarige, omfattas av artikel 15 i dataskyddsförordningen, eftersom dessa filer kan visa sig vara nödvändiga för att den registrerade ska kunna bedöma huruvida behandlingen av vederbörandes uppgifter är laglig.

28

Mot denna bakgrund beslutade Östra Finlands förvaltningsdomstol (Finland) att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:

”1)

Ska den rätt till tillgång som tillkommer den registrerade enligt artikel 15.1 i [dataskyddsförordningen], med hänsyn till [begreppet] personuppgifter i den mening som avses i artikel 4 led 1 i förordningen, tolkas så, att information som insamlats av den personuppgiftsansvarige, av vilken framgår vem som har behandlat den registrerades personuppgifter samt tidpunkten och ändamålet för behandlingen, inte utgör information som den registrerade har rätt att få tillgång till, bland annat på grund av att det rör sig om uppgifter om den personuppgiftsansvariges anställda?

2)

Om fråga 1 besvaras jakande och den registrerade med stöd av artikel 15.1 i den allmänna dataskyddsförordningen inte har någon rätt att få tillgång till den information som anges i fråga 1 på grund av att den inte utgör personuppgifter om den registrerade enligt artikel 4.1 i den allmänna dataskyddsförordningen, ska följande för den informationen, som den registrerade i enlighet med artikel 15.1 [a-h] har rätt att få tillgång till, i förevarande fall beaktas:

a)

Hur ska ändamålet med behandlingen, i den mening som avses i artikel 15.1 a, tolkas mot bakgrund av omfattningen av den registrerades rätt till tillgång? Kan ändamålet för behandlingen närmare bestämt ligga till grund för rätten att få tillgång till användarnas logguppgifter som den personuppgiftsansvarige har samlat in, såsom information om personuppgifter om de personer som har behandlat uppgifterna samt tidpunkten och ändamålet för behandlingen av personuppgifterna?

b)

Kan personer som har behandlat J.M.:s kunduppgifter, i ett sådant sammanhang och enligt särskilda villkor, i enlighet med artikel 15.1 c i [dataskyddsförordningen] betraktas som sådana mottagare av personuppgifter som mottagare av personuppgifter som den registrerade har rätt att få tillgång till?

3)

Har det någon betydelse för målet att det rör sig om en bank som utövar reglerad verksamhet eller att J.M. var både anställd och kund hos banken?

4)

Är det relevant för prövningen av ovanstående frågor att J.M.:s uppgifter behandlades innan [dataskyddsförordningen] trädde i kraft?”

Prövning av tolkningsfrågorna

Den fjärde frågan

29

Den hänskjutande domstolen har ställt den fjärde frågan, som ska prövas först, för att få klarhet i huruvida artikel 15 i dataskyddsförordningen, jämförd med artikel 99.2 i samma förordning, är tillämplig på en sådan begäran om tillgång till den information som avses i den förstnämnda bestämmelsen när den behandling som denna begäran avser har utförts före det datum då förordningen började tillämpas, men begäran lämnades in efter detta datum.

30

För att besvara denna fråga ska det påpekas att enligt artikel 99.2 i dataskyddsförordningen är denna förordning tillämplig från och med den 25 maj 2018.

31

I förevarande fall framgår det av beslutet om hänskjutande att den behandling av personuppgifter som är aktuell i det nationella målet ägde rum mellan den 1 november och den 31 december år 2013, det vill säga före det datum då dataskyddsförordningen trädde i kraft. Det framgår emellertid även av detta beslut att J.M. ingav sin begäran om upplysningar till Pankki S efter detta datum, närmare bestämt den 29 maj 2018.

32

Handläggningsregler anses i allmänhet vara tillämpliga från och med det datum då de träder i kraft, i motsats till materiella bestämmelser som vanligtvis inte anses avse rättsförhållanden som har uppkommit och blivit slutligt etablerade innan bestämmelserna har trätt i kraft, såvida det inte av bestämmelsernas lydelse, syfte eller systematik klart framgår att de ska tillerkännas sådan verkan (dom av den 15 juni 2021, Facebook Ireland m.fl., C‑645/19, EU:C:2021:483, punkt 100 och där angiven rättspraxis).

33

I förevarande fall framgår det av beslutet om hänskjutande att den i det nationella målet aktuella begäran från J.M. om att få tillgång till information avse artikel 15.1 i dataskyddsförordningen. I denna bestämmelse föreskrivs att den registrerade har rätt att få tillgång till personuppgifter som rör honom eller henne och till den information som avses i denna bestämmelse.

34

Domstolen konstaterar att denna bestämmelse inte avser villkoren för att behandlingen av den registrerades personuppgifter ska vara tillåten. I artikel 15.1 i dataskyddsförordningen preciseras nämligen endast omfattningen av denna persons rätt att få tillgång till de uppgifter och vilken information som den avser.

35

Av detta följer, såsom generaladvokaten har påpekat i punkt 33 i sitt förslag till avgörande, att artikel 15.1 i dataskyddsförordningen ger de registrerade en processuell rättighet som består i att få information om behandlingen av deras personuppgifter. I egenskap av processuell regel är denna bestämmelse tillämplig på sådana begäranden om tillgång som inges från och med det datum då denna förordning började tillämpas, såsom J.M.:s begäran.

36

Mot denna bakgrund ska den fjärde frågan besvaras enligt följande: Artikel 15 i dataskyddsförordningen, jämförd med artikel 99.2 i samma förordning, ska tolkas så, att den är tillämplig på en sådan begäran om tillgång till den information som avses i den förstnämnda bestämmelsen när den behandling som denna begäran avser har utförts före det datum då förordningen började tillämpas, men begäran lämnades in efter detta datum.

Den första och den andra tolkningsfrågan

37

Den hänskjutande domstolen har ställt den första och den andra frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 15.1 i dataskyddsförordningen ska tolkas så, att information om läsningar av en persons personuppgifter, vilken avser datum och ändamål med behandlingen samt identiteten på de fysiska personer som har vidtagit åtgärderna, utgör information som denna person har rätt att erhålla från den personuppgiftsansvarige enligt denna bestämmelse.

38

Domstolen erinrar inledningsvis om att enligt fast rättspraxis ska vid tolkningen av en unionsbestämmelse inte bara dess lydelse beaktas, utan också det sammanhang i vilket den förekommer och det mål som eftersträvas med den rättsakt som bestämmelsen ingår i (dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter), C‑154/21, EU:C:2023:3, punkt 29).

39

Vad gäller lydelsen i artikel 15.1 i dataskyddsförordningen, anges i denna bestämmelse att den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och information om, bland annat, ändamålen med behandlingen och mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut eller ska lämnas ut.

40

Det ska i detta hänseende understrykas att de begrepp som förekommer i artikel 15.1 i dataskyddsförordningen definieras i artikel 4 i denna förordning.

41

För det första anges i artikel 4 led 1 i dataskyddsförordningen att personuppgifter utgör ”varje upplysning som avser en identifierad eller identifierbar fysisk person”. Där preciseras vidare att ”en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

42

Användningen, i denna bestämmelse, av uttrycket ”varje upplysning” i definitionen av begreppet personuppgifter avspeglar unionslagstiftarens avsikt att ge detta begrepp en vid innebörd, vilken potentiellt innefattar alla typer av upplysningar, såväl objektiva som subjektiva, i form av åsikter eller bedömningar, under förutsättning att uppgifterna ”avser” den berörda personen (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 23).

43

Härvidlag har domstolen slagit fast att en upplysning avser en identifierad eller identifierbar fysisk person när den på grund av sitt innehåll, syfte eller verkan är knuten till en identifierbar person (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 24).

44

Med avseende på en persons ”identifierbarhet” preciseras det i skäl 26 i dataskyddsförordningen att hänsyn ska tas till ”alla hjälpmedel, som t.ex. utgallring [särskiljande], som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen”.

45

Således omfattar den vida definitionen av begreppet personuppgifter inte endast de uppgifter som samlats in och lagrats av den personuppgiftsansvarige, utan även varje upplysning som genereras i samband med en behandling av personuppgifter och som rör en identifierad eller identifierbar person (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 26).

46

För det andra, vad gäller begreppet behandling, såsom det definieras i artikel 4 led 2 i dataskyddsförordningen, kan det konstateras att unionslagstiftaren, med användningen av uttrycket ”en åtgärd”, har avsett att ge detta begrepp en vid innebörd genom att använda sig av en icke uttömmande uppräkning av åtgärder som vidtas beträffande personuppgifter eller uppsättningar av personuppgifter, vilka bland annat omfattar insamling, registrering, lagring eller läsning av personuppgifter (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 27).

47

För det tredje preciseras det i artikel 4.9 i dataskyddsförordningen att ”mottagare” avser ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte”.

48

Domstolen har i detta avseende slagit fast att den registrerade har rätt att från den personuppgiftsansvarige erhålla information om de konkreta mottagare till vilka personuppgifter som rör honom eller henne har lämnats ut eller kommer att lämnas ut (dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter), C‑154/21, EU:C:2023:3, punkt 46).

49

Det följer således av en bokstavstolkning av artikel 15.1 i dataskyddsförordningen och av de begrepp som den bestämmelsen innehåller att den registrerades rätt till tillgång enligt denna bestämmelse kännetecknas av den stora omfattningen av den information som den personuppgiftsansvarige ska tillhandahålla den registrerade.

50

Vad därefter gäller det sammanhang i vilket artikel 15.1 i dataskyddsförordningen ingår, ska det erinras om att det i skäl 63 i förordningen anges att alla registrerade bör ha rätt att få kännedom om och få underrättelse om framför allt för vilka ändamål personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, och vilka som mottar personuppgifterna.

51

Vidare anges i skäl 60 i dataskyddsförordningen att principen om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Det betonas i detta sammanhang att den personuppgiftsansvarige bör lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Den hänskjutande domstolen har för övrigt hänvisat till öppenhetsprincipen, vilken nämns i skäl 58 i dataskyddsförordningen och uttryckligen slås fast i artikel 12.1 i denna förordning. Enligt denna princip ska all information som riktar sig till den registrerade vara kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk.

52

Härvidlag anges i artikel 12.1 i dataskyddsförordningen att den personuppgiftsansvarige ska tillhandahålla informationen skriftligt eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form, såvida inte den registrerade begär att informationen ska tillhandahållas muntligt. Denna bestämmelse, som ger uttryck för öppenhetsprincipen, syftar till att garantera att den registrerade fullt ut ska kunna förstå den information som lämnas till honom eller henne (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 38 samt där angiven rättspraxis).

53

Det följer av den kontextuella analysen ovan att artikel 15.1 c i dataskyddsförordningen är en av de bestämmelser som syftar till att säkerställa insyn i hur personuppgifterna behandlas med avseende på den registrerade.

54

Denna tolkning av omfattningen av den rätt till tillgång som föreskrivs i artikel 15.1 i dataskyddsförordningen vinner slutligen stöd av de mål som eftersträvas med denna förordning.

55

Syftet med förordningen är nämligen, såsom anges i skälen 10 och 11 i förordningen, att säkerställa en enhetlig och hög skyddsnivå för fysiska personer inom unionen samt att förstärka och precisera de registrerades rättigheter.

56

Dessutom framgår det av skäl 63 i dataskyddsförordningen att rätten att få tillgång till sina egna personuppgifter och annan information som avses i artikel 15.1 i förordningen framför allt syftar till att göra det möjligt för denna person att vara medveten om att denna behandling sker och kunna kontrollera att den är laglig. Av detta följer, enligt samma skäl och såsom anges i punkt 50 ovan, att alla registrerade bör ha rätt att få kännedom om och få underrättelse om framför allt för vilket ändamål personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna och logiken bakom behandlingen av uppgifterna.

57

Vidare ska det erinras om att domstolen redan har slagit fast att den rätt till tillgång som föreskrivs i artikel 15 i dataskyddsförordningen måste göra det möjligt för den registrerade att försäkra sig om att de personuppgifter som rör honom eller henne är korrekta och att de behandlas på ett lagenligt sätt (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 34).

58

I synnerhet är denna rätt till tillgång nödvändig för att möjliggöra för den registrerade att, i förekommande fall, kunna utöva sin rätt till rättelse, sin rätt till radering (”rätten att bli bortglömd”) och sin rätt till begränsning av behandling, vilka tillerkänns den registrerade i artiklarna 16, 17 respektive 18 i dataskyddsförordningen, liksom sin i artikel 21 i dataskyddsförordningen föreskrivna rätt att göra invändningar mot behandlingen av hans eller hennes personuppgifter, och sin rätt att föra talan till följd av skada, i enlighet med artiklarna 79 och 82 i dataskyddsförordningen (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 35 och där angiven rättspraxis).

59

Artikel 15.1 i dataskyddsförordningen är således en av de bestämmelser som syftar till att säkerställa insyn i hur personuppgifterna behandlas med avseende på den registrerade (dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter), C‑154/21, EU:C:2023:3, punkt 42). I avsaknad av sådan insyn skulle den registrerade inte kunna bedöma huruvida behandlingen av hans eller hennes uppgifter är laglig eller utöva de rättigheter som föreskrivs i bland annat artiklarna 16–18, 21, 79 och 82 i förordningen.

60

I förevarande fall framgår det av beslutet om hänskjutande att J.M. begärde att Pankki S skulle lämna ut information om de läsningar som hans personuppgifter varit föremål för mellan den 1 november 2013 och den 31 december 2013. Dessa upplysningar avsåg datumen för läsningarna, deras ändamål och identiteten på de personer som hade genomfört nämnda läsningar. Den hänskjutande domstolen har angett att överföringen av de loggfiler som genererats i samband med nämnda åtgärder skulle göra det möjligt att tillmötesgå J.M.:s begäran.

61

I förevarande fall har det inte bestritts att de läsningar som J.M.:s personuppgifter har varit föremål för utgör ”behandling” i den mening som avses i artikel 4 led 2 i dataskyddsförordningen, vilket innebär att han enligt artikel 15.1 i förordningen inte bara har rätt att få tillgång till dessa personuppgifter, utan även en rätt att få tillgång till information som har samband med dessa åtgärder, såsom anges i denna sistnämnda bestämmelse.

62

När det gäller sådana uppgifter såsom dem som J.M. har begärt kan utlämnandet av datumen för läsningen göra det möjligt för den registrerade att få en bekräftelse på att hans eller hennes personuppgifter faktiskt har behandlats vid en viss tidpunkt. Eftersom de villkor för laglig behandling som föreskrivs i artiklarna 5 och 6 i dataskyddsförordningen måste vara uppfyllda vid tidpunkten för själva behandlingen, utgör dessutom datumet för behandlingen en omständighet som gör det möjligt att kontrollera huruvida behandlingen är laglig. Information om ändamålen med behandlingen omfattas vidare uttryckligen av artikel 15.1 a i dataskyddsförordningen. Slutligen föreskrivs i artikel 15.1 c i förordningen att den personuppgiftsansvarige ska informera den registrerade om de mottagare till vilka hans eller hennes uppgifter har lämnats.

63

Vad närmare bestämt gäller utlämnande av all denna information genom tillhandahållande av loggfiler avseende den behandling som är aktuell i det nationella målet, ska det påpekas att det i artikel 15.3 första meningen i dataskyddsförordningen anges att den personuppgiftsansvarige ”ska förse den registrerade med en kopia av de personuppgifter som är under behandling”.

64

Domstolen har i detta avseende redan slagit fast att begreppet kopia, som används på detta sätt, innebär en exakt återgivning eller avskrift av ett original, En rent allmän beskrivning av de personuppgifter som behandlas eller en hänvisning till kategorier av personuppgifter motsvarar således inte denna definition. Det framgår dessutom av ordalydelsen i artikel 15.3 första meningen i dataskyddsförordningen att skyldigheten att lämna ut uppgifter är knuten till de personuppgifter som är föremål för den aktuella behandlingen (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 21).

65

Den kopia som den personuppgiftsansvarige ska tillhandahålla måste innehålla alla de personuppgifter som är under behandling och uppvisa alla de egenskaper som gör det möjligt för den registrerade att på ett effektivt sätt utöva sina rättigheter enligt denna förordning, och kopian ska följaktligen återge dessa uppgifter fullständigt och exakt (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkterna 32 och 39).

66

För att säkerställa att den information som tillhandahålls är lätt att förstå, såsom krävs enligt artikel 12.1 i dataskyddsförordningen, jämförd med skäl 58 i samma förordning, kan det nämligen visa sig vara nödvändigt att återge utdrag ur handlingar eller till och med hela handlingar eller utdrag ur databaser, vilka bland annat innehåller de personuppgifter som behandlas, om det är nödvändigt att de behandlade uppgifterna sätts in i sitt sammanhang för att säkerställa att de är begripliga. I synnerhet när personuppgifter genereras från andra uppgifter eller när sådana uppgifter följer av tomma fält, det vill säga när avsaknaden av en uppgift avslöjar information om den registrerade, är det nödvändigt att beakta i vilket sammanhang uppgifterna behandlas för att den registrerade ska kunna få en tillgång till dessa uppgifter som uppfyller kravet på öppenhet och en begriplig presentation av dem (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkterna 41 och 42).

67

Såsom generaladvokaten har påpekat i punkterna 88–90 i sitt förslag till avgörande motsvarar i förevarande fall loggfilerna, som innehåller den information som J.M. begärt, register över behandling i den mening som avses i artikel 30 i dataskyddsförordningen. Filerna ska anses omfattas av de åtgärder som nämns i skäl 74 i förordningen och som vidtas av den personuppgiftsansvarige för att visa att behandlingen är förenlig med förordningen. I artikel 30.4 i förordningen anges särskilt att dessa register ska göras tillgängliga för tillsynsmyndigheten på myndighetens begäran.

68

I den mån dessa register över behandling inte innehåller några uppgifter om en identifierad eller identifierbar fysisk person i den mening som avses i den rättspraxis som det erinrats om i punkterna 42 och 43 ovan, gör dessa register endast det möjligt för den personuppgiftsansvarige att uppfylla sina skyldigheter gentemot den tillsynsmyndighet som begär att få tillgång till registren.

69

Vad särskilt gäller den personuppgiftsansvariges loggfiler kan det vara nödvändigt att lämna ut en kopia av informationen i dessa filer för att uppfylla skyldigheten att ge den registrerade tillgång till all information som avses i artikel 15.1 i dataskyddsförordningen samt för att säkerställa en rättvis och öppen behandling, så att den registrerade fullt ut kan göra gällande sina rättigheter enligt förordningen.

70

För det första visar nämligen sådana filer att uppgifterna har behandlats, vilket är information som den registrerade ska få tillgång till enligt artikel 15.1 i dataskyddsförordningen. Vidare ger filerna information om hur ofta och i vilken omfattning läsningar har skett, vilket gör det möjligt för den registrerade att försäkra sig om att behandlingen verkligen motiveras av de ändamål som den personuppgiftsansvarige har angett.

71

För det andra innehåller dessa filer uppgifter om vilka personer som har genomfört läsningsåtgärderna.

72

I förevarande fall framgår det av beslutet om hänskjutande att de personer som genomfört de läsningsåtgärder som är aktuella i det nationella målet är anställda vid Pankki S och har agerat under dess överinseende samt i enlighet med dess instruktioner.

73

Förvisso följer det av artikel 15.1 c dataskyddsförordningen att den registrerade har rätt att av den personuppgiftsansvarige erhålla information om de mottagare eller mottagarkategorier till vilka personuppgifterna har lämnats eller ska lämnas ut. Den personuppgiftsansvariges anställda kan emellertid inte anses vara ”mottagare” i den mening som avses i artikel 15.1 c i dataskyddsförordningen, såsom det erinrats om i punkterna 47 och 48 ovan, när de behandlar personuppgifter under den personuppgiftsansvariges överinseende och i enlighet med dennes instruktioner, vilket generaladvokaten har påpekat i punkt 63 i sitt förslag till avgörande.

74

Det ska i detta hänseende understrykas att enligt artikel 29 i dataskyddsförordningen får en person som utför arbete under den personuppgiftsansvariges överinseende, och som får tillgång till personuppgifter, endast behandla dessa uppgifter på instruktion av den personuppgiftsansvarige.

75

Uppgifterna i loggfilerna om de personer som har läst den registrerades personuppgifter skulle emellertid kunna utgöra sådana uppgifter som avses i artikel 4 led 1 i dataskyddsförordningen, vilka det erinrats om i punkt 41 ovan, som kan göra det möjligt för vederbörande att kontrollera att behandlingen av dennes personuppgifter är laglig och, bland annat, att försäkra sig om att behandlingen faktiskt har utförts under den personuppgiftsansvariges överinseende och i enlighet med dennes instruktioner.

76

För det första framgår det emellertid av beslutet om hänskjutande att uppgifter som finns i sådana loggfiler som de nu aktuella i det nationella målet gör det möjligt att identifiera de anställda som har utfört behandlingen och att de innehåller personuppgifter om dessa anställda, i den mening som avses i artikel 4.1 i dataskyddsförordningen.

77

Det ska härvidlag erinras om att när det gäller rätten till tillgång enligt artikel 15 i dataskyddsförordningen anges i skäl 63 i förordningen att ”[d]enna rätt [inte] bör … inverka menligt på andras rättigheter eller friheter”.

78

Enligt skäl 4 i dataskyddsförordningen är nämligen rätten till skydd av personuppgifter inte en absolut rättighet eftersom den måste bedömas utifrån dess funktion i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 172).

79

Även om det antogs att det är nödvändigt att lämna ut uppgifter om identiteten på den personuppgiftsansvariges anställda till den person som berörs av behandlingen för att säkerställa att behandlingen av dennes personuppgifter är laglig, kan detta emellertid undergräva dessa anställdas rättigheter och friheter.

80

I händelse av konflikt mellan, å ena sidan, utövandet av en rätt till tillgång som säkerställer den ändamålsenliga verkan av de rättigheter som dataskyddsförordningen ger den registrerade och, å andra sidan, andras rättigheter och friheter, ska under dessa omständigheter de aktuella rättigheterna och friheterna vägas mot varandra. I möjligaste mån ska de tillvägagångssätt väljas som inte inverkar menligt på andras rättigheter och friheter med beaktande av att resultatet av dessa överväganden, såsom framgår av skäl 63 i dataskyddsförordningen, inte bör ”bli att den registrerade förvägras all information” (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 44).

81

För det andra ska det emellertid noteras att det framgår av beslutet om hänskjutande att J.M. inte har motiverat sin begäran att få tillgång till information om identiteten på de av Pankki S anställda som har läst hans personuppgifter med att dessa faktiskt inte har agerat under den personuppgiftsansvariges överinseende och i enlighet med dennes instruktioner. Istället tycks J.M. tvivla på sanningshalten i den information om ändamålet med dessa läsningar som Pankki S. lämnat till honom.

82

Om den registrerade under sådana omständigheter anser att den information som den personuppgiftsansvarige har lämnat inte är tillräcklig för att undanröja eventuella tvivel på att behandlingen av hans eller hennes personuppgifter varit laglig, har vederbörande rätt att med stöd av artikel 77.1 i dataskyddsförordningen lämna in ett klagomål till tillsynsmyndigheten. Denna myndighet har enligt artikel 58.1 a i samma förordning befogenhet att begära att den personuppgiftsansvarige lämnar all information som myndigheten behöver för att undersöka den registrerades klagomål.

83

Av det ovan anförda följer att artikel 15.1 dataskyddsförordningen ska tolkas så, att information om läsningar av en persons personuppgifter, vilken avser datum och ändamål med behandlingen, utgör information som denna person har rätt att erhålla från den personuppgiftsansvarige enligt denna bestämmelse. Denna bestämmelse innebär däremot inte någon sådan rätt när det gäller information om identiteten på de anställda hos nämnde personuppgiftsansvarige vilka har genomfört dessa läsningar under den personuppgiftsansvariges ledning och i enlighet med dennes instruktioner, såvida inte denna information är nödvändig för att den registrerade ska kunna utöva sina rättigheter enligt förordningen på ett effektivt sätt och i så fall under förutsättning att de anställdas rättigheter och friheter beaktas.

Den tredje frågan

84

Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida den omständigheten dels att den personuppgiftsansvarige bedriver bankverksamhet, vilket är en reglerad verksamhet, dels att den person vars personuppgifter har behandlats i egenskap av den personuppgiftsansvariges kund även var anställd hos den personuppgiftsansvarige, är relevant för att fastställa omfattningen av den rätt till tillgång som vederbörande har enligt artikel 15.1 i dataskyddsförordningen.

85

När det gäller tillämpningsområdet för den rätt till tillgång som föreskrivs i artikel 15.1 i dataskyddsförordningen, ska det inledningsvis understrykas att det inte i någon bestämmelse i förordningen görs någon åtskillnad beroende på arten av den verksamhet som bedrivs av den personuppgiftsansvarige eller vilken ställning den person har vars personuppgifter behandlas.

86

Vad gäller den reglerade karaktären av Pankki S verksamhet, tillåter artikel 23 i dataskyddsförordningen förvisso medlemsstaterna att införa lagstiftningsåtgärder som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs bland annat i artikel 15 i förordningen.

87

Det framgår emellertid inte av beslutet om hänskjutande att Pankki S verksamhet omfattas av en sådan lagstiftning.

88

Vad gäller den omständigheten att J.M. både var kund och anställd hos Pankki S, kan med hänsyn till såväl dataskyddsförordningens syften som till omfattningen av den registrerades rätt till tillgång, såsom det erinrats om i punkterna 49 och 55–59 ovan, det sammanhang i vilket den registrerade begär tillgång till den information som avses i artikel 15.1 i dataskyddsförordningen inte på något sätt påverka omfattningen av denna rätt.

89

Följaktligen ska artikel 15.1 i dataskyddsförordningen tolkas så, att den omständigheten att den personuppgiftsansvarige bedriver bankverksamhet, vilket är en reglerad verksamhet, och att den person vars personuppgifter har behandlats i egenskap av kund hos den personuppgiftsansvariges även var anställd hos den personuppgiftsansvarige, i princip saknar relevans för att fastställa omfattningen av den rätt som vederbörande tillerkänns enligt denna bestämmelse.

Rättegångskostnader

90

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

 

Mot denna bakgrund beslutar domstolen (första avdelningen) följande:

 

1)

Artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (Allmän dataskyddsförordning), jämförd med artikel 99.2 i förordningen,

ska tolkas så,

att den är tillämplig på en sådan begäran om tillgång till den information som avses i den förstnämnda bestämmelsen när den behandling som denna begäran avser har utförts före det datum då förordningen började tillämpas, men begäran lämnades in efter detta datum.

 

2)

Artikel 15.1 i förordning 2016/679

ska tolkas så,

att information om läsningar av en persons personuppgifter, vilken avser datum och ändamål med behandlingen, utgör information som denna person har rätt att erhålla från den personuppgiftsansvarige enligt denna bestämmelse. Denna bestämmelse innebär däremot inte någon sådan rätt när det gäller information om identiteten på de anställda hos nämnde personuppgiftsansvarige vilka har genomfört dessa läsningar under den personuppgiftsansvariges ledning och i enlighet med dennes instruktioner, såvida inte denna information är nödvändig för att den registrerade ska kunna utöva sina rättigheter enligt förordningen på ett effektivt sätt och i så fall under förutsättning att de anställdas rättigheter och friheter beaktas.

 

3)

Artikel 15.1 i förordning 2016/679

ska tolkas så,

att den omständigheten att den personuppgiftsansvarige bedriver bankverksamhet, vilket är en reglerad verksamhet, och att den person vars personuppgifter har behandlats i egenskap av den personuppgiftsansvariges kund även var anställd hos den personuppgiftsansvarige, i princip saknar relevans för att fastställa omfattningen av den rätt som vederbörande tillerkänns enligt denna bestämmelse.

 

Underskrifter


( *1 ) Rättegångsspråk: finska.

Top