Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62021CJ0579

Arrest van het Hof (Eerste kamer) van 22 juni 2023.
Procedure ingeleid door J.M.
Verzoek van de Itä-Suomen hallinto-oikeus om een prejudiciële beslissing.
Prejudiciële verwijzing – Verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikelen 4 en 15 – Omvang van het recht van inzage in de in artikel 15 genoemde informatie – Informatie die is vervat in logbestanden die zijn gegenereerd door een verwerkingssysteem (loggegevens) – Artikel 4 – Begrip ‚persoonsgegevens’ – Begrip ‚ontvangers’ – Toepassing ratione temporis.
Zaak C-579/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2023:501

 ARREST VAN HET HOF (Eerste kamer)

22 juni 2023 ( *1 )

„Prejudiciële verwijzing – Verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikelen 4 en 15 – Omvang van het recht van inzage in de in artikel 15 genoemde informatie – Informatie die is vervat in logbestanden die zijn gegenereerd door een verwerkingssysteem (loggegevens) – Artikel 4 – Begrip ‚persoonsgegevens’ – Begrip ‚ontvangers’ – Toepassing ratione temporis”

In zaak C‑579/21,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de Itä-Suomen hallinto-oikeus (bestuursrechter Oost-Finland) bij beslissing van 21 september 2021, ingekomen bij het Hof op 22 september 2021, in de procedure die is ingeleid door

J.M.

in tegenwoordigheid van:

Apulaistietosuojavaltuutettu,

Pankki S,

wijst

HET HOF (Eerste kamer),

samengesteld als volgt: A. Arabadjiev, kamerpresident, P. G. Xuereb, T. von Danwitz, A. Kumin en I. Ziemele (rapporteur), rechters,

advocaat-generaal: M. Campos Sánchez-Bordona,

griffier: C. Strömholm, administrateur,

gezien de stukken en na de terechtzitting op 12 oktober 2022,

gelet op de opmerkingen van:

J.M., optredend voor zichzelf,

Apulaistietosuojavaltuutettu, vertegenwoordigd door A. Talus, tietosuojavaltuutettu,

Pankki S, vertegenwoordigd door T. Kalliokoski en J. Lång, asianajajat, en vertegenwoordigd door E.‑L. Hokkonen, oikeustieteen maisteri,

de Finse regering, vertegenwoordigd door A. Laine en H. Leppo als gemachtigden,

de Tsjechische regering, vertegenwoordigd door A. Edelmannová, M. Smolek en J. Vláčil als gemachtigden,

de Oostenrijkse regering, vertegenwoordigd door A. Posch als gemachtigde,

de Europese Commissie, vertegenwoordigd door A. Bouchagiar, H. Kranenborg en I. Söderlund als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 15 december 2022,

het navolgende

Arrest

1

Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 15, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificatie in PB 2018, L 127, blz. 2; hierna: „AVG”).

2

Dit verzoek is ingediend in het kader van een door J.M. ingeleide procedure strekkende tot nietigverklaring van het besluit van de Apulaistietosuojavaltuutettu (adjunct-toezichthouder voor gegevensbescherming, Finland) waarbij zijn verzoek om Pankki S, een in Finland gevestigde bankinstelling, te gelasten om hem bepaalde informatie te verstrekken over de raadplegingen van zijn persoonsgegevens, is afgewezen.

Toepasselijke bepalingen

3

In de overwegingen 4, 10, 11, 26, 39, 58, 60, 63 en 74 AVG staat te lezen:

„(4)

De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, […].

[…]

(10)

Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de [Europese] Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. […]

(11)

Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, […].

[…]

(26)

[…] Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. […]

[…]

(39)

Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Meer bepaald dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt, expliciet en gerechtvaardigd te zijn en te zijn vastgesteld wanneer de persoonsgegevens worden verzameld. […]

[…]

(58)

Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of voor de betrokkene beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal en, in voorkomend geval, aanvullend visualisatie worden gebruikt. Die informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties. Aangezien kinderen specifieke bescherming verdienen, dient de informatie en communicatie, wanneer de verwerking specifiek tot een kind is gericht, in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze makkelijk kan begrijpen.

[…]

(60)

Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene de nadere informatie te verstrekken die noodzakelijk is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. […]

[…]

(63)

Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. […] Elke betrokkene dient dan ook het recht te hebben, te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoelang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn. […] Dat recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van het zakengeheim of de intellectuele eigendom en met name aan het auteursrecht dat de software beschermt. […]

[…]

(74)

De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.”

4

Artikel 1 AVG („Onderwerp en doelstellingen”) bepaalt in lid 2:

„Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.”

5

Artikel 4 van deze verordening luidt:

„Voor de toepassing van deze verordening wordt verstaan onder:

1)

‚persoonsgegevens’, alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon […]; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2)

‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

[…]

7)

‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; […]

[…]

9)

‚ontvanger’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. […]

[…]

21)

‚toezichthoudende autoriteit’: een door een lidstaat ingevolgde artikel 51 ingestelde onafhankelijke overheidsinstantie;

[…]”

6

Artikel 5 („Beginselen inzake verwerking van persoonsgegevens”) van die verordening bepaalt:

„1.   Persoonsgegevens moeten:

a)

worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

[…]

f)

door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).

2.   De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

7

In artikel 12 AVG („Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene”) is bepaald:

„1.   De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, […] De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. […]

[…]

5.   […] Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke […]:

[…]

b)

weigeren gevolg te geven aan het verzoek.

Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

[…]”

8

Artikel 15 AVG, met het opschrift „Recht van inzage van de betrokkene”, bepaalt:

„1.   De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:

a)

de verwerkingsdoeleinden;

b)

de betrokken categorieën van persoonsgegevens;

c)

de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;

d)

indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

e)

dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;

f)

dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;

g)

wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;

h)

het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

[…]

3.   De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. […]

4.   Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.”

9

De artikelen 16 en 17 van deze verordening bepalen respectievelijk dat de betrokkene het recht heeft om rectificatie te verkrijgen van onjuiste persoonsgegevens (recht op rectificatie) en dat hij in bepaalde omstandigheden het recht heeft op wissing van deze gegevens (recht op gegevenswissing of het „recht op vergetelheid”).

10

Artikel 18 van die verordening, met als opschrift „Recht op beperking van de verwerking”, bepaalt in lid 1:

„De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:

a)

de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;

b)

de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;

c)

de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

d)

de betrokkene heeft overeenkomstig artikel 21, lid 1, bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.”

11

Artikel 21 AVG („Recht van bezwaar”) bepaalt in lid 1:

„De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e) of f), met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.”

12

Artikel 24, lid 1, van deze verordening luidt:

„Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. […]”

13

Artikel 29 („Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker”) van die verordening luidt:

„De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.”

14

Artikel 30 AVG („Register van de verwerkingsactiviteiten”) bepaalt:

„1.   Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. […]

[…]

4.   Desgevraagd stellen de verwerkingsverantwoordelijke […] en, in voorkomend geval de vertegenwoordiger van de verwerkingsverantwoordelijke […] het register ter beschikking van de toezichthoudende autoriteit.

[…]”

15

Artikel 58 („Bevoegdheden”) van deze verordening bepaalt in lid 1:

„Elk toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:

a)

de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van [de] verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;

[…]”

16

Artikel 77 („Recht om een klacht in te dienen bij een toezichthoudende autoriteit”) van die verordening luidt als volgt:

„1.   Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.

2.   De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van de voortgang en het resultaat van de klacht, alsmede van de mogelijke voorziening in rechte overeenkomstig artikel 78.”

17

Artikel 79 AVG („Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker”) bepaalt in lid 1:

„Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.”

18

Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) van deze verordening bepaalt in lid 1:

„Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.”

19

Volgens artikel 99, lid 2, AVG is die verordening van toepassing met ingang van 25 mei 2018.

Hoofdgeding en prejudiciële vragen

20

In 2014 heeft J.M., destijds werkzaam bij Pankki S en tevens klant bij deze bank, kennis gekregen van het feit dat medewerkers van de bank in de periode tussen 1 november en 31 december 2013 zijn klantgegevens herhaaldelijk hadden geraadpleegd.

21

Daar J.M., die ondertussen was ontslagen bij Pankki S, twijfels had over de rechtmatigheid van deze raadplegingen, heeft hij op 29 mei 2018 de bank verzocht om hem te informeren over de identiteit van de personen die zijn klantgegevens hadden geraadpleegd, de exacte datums van de raadplegingen en de verwerkingsdoeleinden van deze gegevens.

22

In haar antwoord van 30 augustus 2018 heeft Pankki S in haar hoedanigheid van verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG geweigerd de identiteit bekend te maken van de werknemers die de persoonsgegevens hadden geraadpleegd, op grond dat deze informatie persoonsgegevens van deze werknemers vormden.

23

Pankki S heeft in dit antwoord evenwel een nadere toelichting gegeven over de raadplegingen die in opdracht van haar waren verricht door haar interne auditdienst. Zij heeft uitgelegd dat een klant van de bank van wie J.M. klantenadviseur was, schuldeiser was van een persoon die eveneens de familienaam van J.M. droeg, zodat zij wenste te vernemen of verzoeker in het hoofdgeding en de betrokken schuldenaar een en dezelfde persoon waren en of er mogelijkerwijs sprake was van een ongeoorloofd belangenconflict. Pankki S heeft hieraan toegevoegd dat de bank voor het onderzoek van deze situatie de gegevens van J.M. had moeten verwerken en dat iedere medewerker van de bank die gegevens van J.M. had verwerkt jegens de interne auditdienst een verklaring had afgelegd over de redenen voor deze gegevensverwerking. Daarnaast heeft de bank verklaard dat op basis van deze raadplegingen elk vermoeden van belangenconflict met betrekking tot J.M. kon worden uitgesloten.

24

J.M. heeft de zaak voorgelegd aan de Tietosuojavaltuutetun toimisto (nationale toezichthoudende autoriteit voor gegevensbescherming, Finland), de toezichthoudende autoriteit in de zin van artikel 4, punt 21, AVG, opdat Pankki S wordt gelast om hem de gevraagde informatie te verstrekken.

25

Bij besluit van 4 augustus 2020 heeft de adjunct-toezichthouder voor gegevensbescherming het verzoek van J.M. afgewezen. Deze adjunct-toezichthouder heeft uitgelegd dat het verzoek was bedoeld om J.M. toegang te verlenen tot de logbestanden van werknemers die zijn gegevens hadden verwerkt, terwijl deze bestanden op grond van zijn beslissingspraktijk persoonsgegevens vormden die geen betrekking hadden op de betrokkene, maar op de werknemers die de gegevens van deze persoon hadden verwerkt.

26

J.M. heeft tegen dat besluit beroep ingesteld bij de verwijzende rechter.

27

Deze rechter brengt in herinnering dat artikel 15 AVG voorziet in het recht van de betrokkene om van de verwerkingsverantwoordelijke inzage te verkrijgen in de verwerkte gegevens die op hem betrekking hebben en in informatie met betrekking tot met name de doeleinden van de verwerking en de ontvangers van de gegevens. Hij vraagt zich af of het meedelen van logbestanden – die zijn gegenereerd bij de verwerkingsactiviteiten – die dergelijke informatie bevatten, met name de identiteit van de werknemers van de verwerkingsverantwoordelijke, onder artikel 15 AVG valt, aangezien deze bestanden noodzakelijk zouden kunnen blijken voor de betrokkene om te beoordelen of de verwerking van zijn gegevens rechtmatig was.

28

In deze omstandigheden heeft de Itä-Suomen hallinto-oikeus (bestuursrechter Oost-Finland) de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)

Moet het recht van inzage van de betrokkene krachtens artikel 15, lid 1, [AVG] juncto [het begrip] ‚persoonsgegevens’ in de zin van artikel 4, punt 1, van deze verordening aldus worden uitgelegd dat gegevens die door de verwerkingsverantwoordelijke zijn verzameld waaruit blijkt wie de persoonsgegevens van de betrokkene op welk tijdstip en voor welk doel heeft verwerkt, geen gegevens zijn waartoe de betrokkene een recht van toegang heeft, met name omdat het om gegevens gaat die verband houden met de werknemers van de verwerkingsverantwoordelijke?

2)

Indien het antwoord op de eerste vraag bevestigend luidt en de betrokkene op grond van artikel 15, lid 1, [AVG] geen recht van toegang tot de in de eerste vraag genoemde gegevens heeft, omdat zij geen ‚persoonsgegevens’ van de betrokkene in de zin van artikel 4, punt 1, [AVG] zijn, moeten in casu dan nog de gegevens in aanmerking worden genomen waartoe de betrokkene krachtens artikel 15, lid 1, onder [a) tot en met h)] een recht van toegang heeft:

a)

Welke uitlegging moet, in het licht van de omvang van het recht van inzage van de betrokkene, worden gegeven aan het verwerkingsdoel in de zin van artikel 15, lid 1, onder a), [AVG], met andere woorden kan het verwerkingsdoel ten grondslag liggen aan een recht van inzage in de door de verwerkingsverantwoordelijke verzamelde loggegevens van gebruikers, zoals inlichtingen over persoonsgegevens van degenen die de persoonsgegevens van de betrokkene hebben verwerkt en over het tijdstip waarop en het doel waarvoor de persoonsgegevens zijn verwerkt?

b)

Kunnen degenen die bij de bank de klantgegevens van J.M. hebben verwerkt, in dit verband onder bepaalde voorwaarden worden aangemerkt als ontvangers van de persoonsgegevens in de zin van artikel 15, lid 1, onder c), [AVG], over wie de betrokkene informatie zou mogen opvragen?

3)

Is het voor de procedure van belang dat de zaak betrekking heeft op een bank die een gereglementeerde activiteit uitoefent, of dat J.M. tegelijkertijd zowel werkzaam was voor de bank als een klant van haar was?

4)

Is het voor het onderzoek van de voornoemde vragen van belang dat de gegevens van J.M. zijn verwerkt vóór de inwerkingtreding van de [AVG]?”

Beantwoording van de prejudiciële vragen

Vierde vraag

29

Met zijn vierde vraag, die als eerste dient te worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of artikel 15 AVG, gelezen in het licht van artikel 99, lid 2, van deze verordening, van toepassing is op een verzoek om inzage in informatie in de zin van dat artikel 15 wanneer de verwerkingsactiviteiten waarop dit verzoek betrekking heeft, zijn uitgevoerd vóór de datum waarop die verordening van toepassing is geworden, maar het verzoek na die datum is ingediend.

30

Om deze vraag te beantwoorden dient erop te worden gewezen dat de AVG op grond van artikel 99, lid 2, ervan met ingang van 25 mei 2018 van toepassing is.

31

In casu blijkt uit de verwijzingsbeslissing dat de in het hoofdgeding aan de orde zijnde verwerkingen van persoonsgegevens zijn uitgevoerd tussen 1 november 2013 en 31 december 2013, dat wil zeggen vóór de datum waarop de AVG van toepassing werd. Uit deze verwijzingsbeslissing blijkt echter ook dat J.M. zijn verzoek om informatie bij Pankki S heeft ingediend na die datum, te weten op 29 mei 2018.

32

In dit verband zij eraan herinnerd dat procedureregels in het algemeen geacht worden te gelden vanaf de datum waarop zij in werking treden, in tegenstelling tot materiële regels, die doorgaans aldus worden uitgelegd dat zij op situaties die vóór de inwerkingtreding ervan zijn ontstaan en definitief zijn geworden, slechts van toepassing zijn voor zover uit de bewoordingen, de doelstelling of de opzet ervan blijkt dat er een dergelijke werking aan dient te worden toegekend (arrest van 15 juni 2021, Facebook Ireland e.a., C‑645/19, EU:C:2021:483, punt 100 en aldaar aangehaalde rechtspraak).

33

In casu blijkt uit de verwijzingsbeslissing dat het verzoek van J.M. om de in het hoofdgeding aan de orde zijnde informatie te ontvangen verband houdt met artikel 15, lid 1, AVG, dat voorziet in het recht van de betrokkene om inzage te verkrijgen in de hem betreffende persoonsgegevens die worden verwerkt, en in de in deze bepaling genoemde informatie.

34

Vastgesteld moet worden dat deze bepaling geen betrekking heeft op de voorwaarden waaronder de verwerking van de persoonsgegevens van de betrokkene rechtmatig is. Artikel 15, lid 1, AVG preciseert namelijk enkel de omvang van het recht van inzage van deze persoon in de gegevens en in de in dat artikel genoemde informatie.

35

Zoals de advocaat-generaal in punt 33 van zijn conclusie heeft opgemerkt, verleent artikel 15, lid 1, AVG betrokkenen een procedureel recht om informatie over de verwerking van hun persoonsgegevens te verkrijgen. Aangezien het om een regel van procedurele aard gaat, is deze bepaling van toepassing op verzoeken om inzage die zijn ingediend vanaf de datum waarop deze verordening van toepassing is, zoals het verzoek van J.M.

36

In deze omstandigheden dient op de vierde vraag te worden geantwoord dat artikel 15 AVG, gelezen in het licht van artikel 99, lid 2, van deze verordening, aldus moet worden uitgelegd dat het van toepassing is op een verzoek om inzage in de in dat artikel genoemde informatie wanneer de verwerkingsactiviteiten waarop dit verzoek betrekking heeft, zijn uitgevoerd vóór de datum waarop deze verordening van toepassing is, maar het verzoek na die datum is ingediend.

Eerste en tweede vraag

37

Met zijn eerste en zijn tweede vraag, die gezamenlijk dienen te worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of artikel 15, lid 1, AVG aldus moet worden uitgelegd dat de informatie met betrekking tot de raadplegingen van persoonsgegevens van een persoon over de datums en de doeleinden van deze raadplegingen, alsmede de identiteit van de natuurlijke personen die deze raadplegingen hebben verricht, informatie is met betrekking waartoe deze persoon krachtens deze bepaling het recht heeft van de verwerkingsverantwoordelijke inzage te verlangen.

38

Vooraf zij eraan herinnerd dat volgens vaste rechtspraak bij de uitlegging van een Unierechtelijke bepaling niet alleen rekening moet worden gehouden met haar bewoordingen, maar ook met de context ervan en met de doelstellingen en het oogmerk van de regeling waarvan zij deel uitmaakt [arrest van 12 januari 2023, Österreichische Post (Informatie over de ontvangers van persoonsgegevens), C‑154/21, EU:C:2023:3, punt 29].

39

Wat om te beginnen de bewoordingen van artikel 15, lid 1, AVG betreft, heeft de betrokkene volgens deze bepaling het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen in die persoonsgegevens en in de informatie betreffende met name de verwerkingsdoeleinden en de ontvangers of categorieën van ontvangers aan wie die persoonsgegevens zijn of zullen worden verstrekt.

40

In dit verband moet worden benadrukt dat de in artikel 15, lid 1, AVG opgenomen begrippen zijn omschreven in artikel 4 van deze verordening.

41

In de eerste plaats wordt in artikel 4, punt 1, AVG onder persoonsgegevens verstaan „alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon” en wordt in dit artikel verduidelijkt dat „als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.

42

Het gebruik van de woorden „alle informatie” in de definitie van het begrip „persoonsgegevens” in deze bepaling wijst op de bedoeling van de Uniewetgever om een ruime betekenis te geven aan dit begrip, dat zich potentieel uitstrekt tot elk soort informatie, zowel objectieve informatie als subjectieve informatie, in de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene „betreft” (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 23).

43

Dienaangaande is reeds geoordeeld dat informatie betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon wanneer zij wegens haar inhoud, doel of gevolg verband houdt met een identificeerbare persoon (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 24).

44

Wat de „identificeerbaarheid” van een persoon betreft, verduidelijkt overweging 26 AVG dat rekening moet worden gehouden met „alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken”.

45

Hieruit volgt dat de ruime definitie van het begrip „persoonsgegevens” niet alleen de door de verwerkingsverantwoordelijke verzamelde en bewaarde gegevens omvat, maar ook alle informatie die voortvloeit uit een verwerking van persoonsgegevens betreffende een geïdentificeerde of identificeerbare persoon (zie in die zin arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 26).

46

Wat in de tweede plaats het begrip „verwerking”, betreft, zoals gedefinieerd in artikel 4, punt 2, AVG, moet worden vastgesteld dat de Uniewetgever met het gebruik van de woorden „een bewerking” een ruime strekking heeft willen geven aan dit begrip door gebruik te maken van een niet-uitputtende lijst van bewerkingen die zijn uitgevoerd met betrekking tot gegevens of een geheel van persoonsgegevens, waaronder het verzamelen, vastleggen, opslaan, of raadplegen van gegevens (zie in die zin arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 27).

47

In de derde plaats wordt in artikel 4, punt 9, AVG verduidelijkt dat „ontvanger” wordt gedefinieerd als „een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt”.

48

Het Hof heeft in dit verband geoordeeld dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke informatie te verkrijgen over de concrete ontvangers aan wie de hem betreffende persoonsgegevens zijn of zullen worden verstrekt [arrest van 12 januari 2023, Österreichische Post (Informatie over de ontvangers van persoonsgegevens), C‑154/21, EU:C:2023:3, punt 46].

49

Uit de tekstuele analyse van artikel 15, lid 1, AVG en de daarin vervatte begrippen volgt dus dat het recht van inzage dat deze bepaling aan de betrokkene toekent, wordt gekenmerkt door de ruime omvang van de informatie die de verwerkingsverantwoordelijke aan deze persoon moet verstrekken.

50

Wat vervolgens de context van artikel 15, lid 1, AVG betreft, moet er in de eerste plaats aan worden herinnerd dat in overweging 63 van die verordening staat te lezen dat elke betrokkene het recht dient te hebben, te weten en te worden meegedeeld met name voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoelang zij worden bewaard en wie deze persoonsgegevens ontvangt.

51

In de tweede plaats staat in overweging 60 AVG te lezen dat de betrokkene overeenkomstig de beginselen van behoorlijke en transparante verwerking op de hoogte moet worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan, waarbij moet worden benadrukt dat de verwerkingsverantwoordelijke de nadere informatie dient te verstrekken die noodzakelijk is om een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet overeenkomstig het door de verwijzende rechter genoemde transparantiebeginsel waarnaar overweging 58 AVG verwijst en dat uitdrukkelijk is neergelegd in artikel 12, lid 1, van deze verordening, alle informatie die bestemd is voor de betrokkene beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal worden gebruikt.

52

In dit verband preciseert artikel 12, lid 1, AVG dat de informatie door de verwerkingsverantwoordelijke schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, moet worden verstrekt, tenzij de betrokkene erom verzoekt dat de informatie mondeling wordt meegedeeld. Deze bepaling, die uitdrukking geeft aan het transparantiebeginsel, beoogt te waarborgen dat de betrokkene de informatie die hem wordt verstrekt volledig kan begrijpen (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 38 en aldaar aangehaalde rechtspraak).

53

Uit bovenstaande analyse van de context volgt dat artikel 15, lid 1, AVG een van de bepalingen is waarmee wordt beoogd ten aanzien van de betrokkene de transparantie te waarborgen van de wijze waarop de persoonsgegevens worden verwerkt.

54

Ten slotte vindt deze uitlegging van de omvang van het in artikel 15, lid 1, AVG neergelegde recht van inzage steun in de doelstellingen van deze verordening.

55

Ten eerste heeft deze verordening blijkens de overwegingen 10 en 11 ervan tot doel natuurlijke personen binnen de Unie een consistent en hoog beschermingsniveau te bieden en de rechten van de betrokkenen te versterken en nader te omschrijven.

56

Zoals blijkt uit overweging 63 AVG heeft het recht van een persoon om zijn eigen persoonsgegevens en de andere in artikel 15, lid 1, van deze verordening genoemde informatie in te zien, om te beginnen tot doel deze persoon in staat te stellen zich van de verwerking van zijn gegevens op de hoogte te stellen en de rechtmatigheid ervan te controleren. Hieruit volgt dat elke betrokkene het recht dient te hebben te weten en te worden meegedeeld met name voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoelang zij worden bewaard, wie de persoonsgegevens ontvangt en welke logica ten grondslag ligt aan de verwerking ervan, zoals in die overweging en in punt 50 van het onderhavige arrest is aangegeven.

57

In dit verband zij er ten tweede aan herinnerd dat het Hof reeds heeft geoordeeld dat het in artikel 15 AVG neergelegde recht van inzage de betrokkene in staat moet stellen zich ervan te vergewissen dat de hem betreffende persoonsgegevens juist zijn en rechtmatig worden verwerkt (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 34).

58

Dit recht van inzage is met name noodzakelijk om de betrokkene toe te laten om in voorkomend geval een aantal rechten uit te oefenen, namelijk zijn recht op rectificatie van gegevens, op gegevenswissing („recht op vergetelheid”), en op beperking van de verwerking, die hem respectievelijk worden toegekend door de artikelen 16 tot en met 18 AVG, alsook zijn in artikel 21 AVG vastgestelde recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens en zijn in de artikelen 79 en 82 AVG neergelegde recht om zich tot de rechter te wenden wanneer hij schade lijdt (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 35 en aldaar aangehaalde rechtspraak).

59

Derhalve vormt artikel 15, lid 1, AVG een van de bepalingen waarmee wordt beoogd ten aanzien van de betrokkene de transparantie te waarborgen van de wijze waarop de persoonsgegevens worden verwerkt [arrest van 12 januari 2023, Österreichische Post (Informatie over de ontvangers van persoonsgegevens), C‑154/21, EU:C:2023:3, punt 42], welke transparantie noodzakelijk is voor de betrokkene om te kunnen beoordelen of de verwerking van zijn gegevens rechtmatig is en om de prerogatieven die zijn neergelegd in de artikelen 16 tot en met 18, 21, 79 en 82 van deze verordening te kunnen uitoefenen.

60

In casu volgt uit de verwijzingsbeslissing dat J.M. Pankki S heeft verzocht om hem informatie te verstrekken met betrekking tot de raadplegingen van zijn persoonsgegevens die tussen 1 november 2013 en 31 december 2013 zijn verricht, informatie over de datums van deze raadplegingen, de doeleinden ervan en de identiteit van de personen die deze raadplegingen hebben verricht. De verwijzende rechter wijst erop dat met de overdracht van de logbestanden die bij die raadplegingen waren gegenereerd, aan het verzoek van J.M. kon worden voldaan.

61

In casu wordt niet betwist dat de raadplegingen van de persoonsgegevens van verzoeker in het hoofdgeding een „verwerking” in de zin van artikel 4, punt 2, AVG vormen, zodat verzoeker op grond van artikel 15, lid 1, van deze verordening niet alleen beschikt over een recht van inzage in deze persoonsgegevens, maar ook over een recht om informatie te ontvangen die met deze raadplegingen verband houdt, zoals vermeld in dat artikel 15.

62

Wat de door J.M. gevraagde informatie betreft, kan de betrokkene om te beginnen door het verstrekken van de datums van de raadplegingen de bevestiging krijgen dat zijn persoonsgegevens daadwerkelijk op een bepaald moment zijn verwerkt. Aangezien aan de in de artikelen 5 en 6 AVG neergelegde voorwaarden voor rechtmatigheid moet zijn voldaan op het moment van de verwerking zelf, vormt de datum van de verwerking voorts een element aan de hand waarvan de rechtmatigheid van de verwerking kan worden gecontroleerd. Vervolgens moet worden opgemerkt dat informatie over de doeleinden van de verwerkingen uitdrukkelijk wordt genoemd in artikel 15, lid 1, onder a), van deze verordening. Ten slotte bepaalt artikel 15, lid 1, onder c), van die verordening dat de verwerkingsverantwoordelijke de betrokkene meedeelt aan welke ontvangers zijn gegevens zijn verstrekt.

63

Wat betreft, meer in het bijzonder, het verstrekken van al deze informatie door overdracht van de logbestanden van de in het hoofdgeding aan de orde zijnde verwerkingsactiviteiten dient te worden opgemerkt dat artikel 15, lid 3, eerste volzin, AVG vermeldt dat de verwerkingsverantwoordelijke de betrokkene „een kopie verstrekt van de persoonsgegevens die worden verwerkt”.

64

In dit verband heeft het Hof reeds geoordeeld dat het aldus gebruikte begrip „kopie” verwijst naar de getrouwe reproductie of transcriptie van een origineel, zodat een zuiver algemene beschrijving van de gegevens die worden verwerkt of een verwijzing naar categorieën persoonsgegevens niet aan die definitie voldoet. Bovendien blijkt uit de bewoordingen van artikel 15, lid 3, eerste volzin, van deze verordening dat de verplichting tot mededeling betrekking heeft op de persoonsgegevens die het voorwerp van de betrokken verwerking vormen (zie in die zin arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 21).

65

De kopie die de verwerkingsverantwoordelijke dient te verstrekken moet alle persoonsgegevens bevatten die worden verwerkt, alle noodzakelijke kenmerken vertonen om de betrokkene in staat te stellen de rechten die hij aan deze verordening ontleent daadwerkelijk uit te oefenen. Deze kopie moet deze gegevens dus volledig en getrouw reproduceren (zie in die zin arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punten 32 en 39).

66

Om te waarborgen dat de aldus verstrekte informatie gemakkelijk te begrijpen is, zoals wordt vereist in artikel 12, lid 1, AVG, gelezen in samenhang met overweging 58 van deze verordening, kan het onontbeerlijk zijn dat uittreksels uit documenten of zelfs volledige documenten of databankuittreksels die onder meer de verwerkte persoonsgegevens bevatten, worden gereproduceerd wanneer het in hun context plaatsen van de verwerkte gegevens noodzakelijk is om de begrijpelijkheid ervan te waarborgen. Met name wanneer persoonsgegevens worden gegenereerd op basis van andere gegevens of wanneer dergelijke gegevens voortvloeien uit open tekstvelden – dat wil zeggen wanneer geen data over de betrokkene worden verstrekt en uit deze lacune informatie over de betrokkene valt af te leiden – is de context waarin deze gegevens worden verwerkt een onontbeerlijk element om de betrokkene in staat te stellen op transparante wijze inzage te krijgen in die gegevens en er een begrijpelijk beeld van te krijgen (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punten 41 en 42).

67

Zoals de advocaat-generaal in de punten 88 tot en met 90 van zijn conclusie heeft opgemerkt, vallen de logbestanden – die de door J.M. gevraagde informatie bevatten – in casu onder registers van verwerkingsactiviteiten in de zin van artikel 30 AVG. Zij worden geacht onder de in overweging 74 van deze verordening vermelde maatregelen te vallen die door de verwerkingsverantwoordelijke worden uitgevoerd om te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt. Artikel 30, lid 4, van die verordening bepaalt met name dat deze registers desgevraagd aan de toezichthoudende autoriteit ter beschikking moeten worden gesteld.

68

Voor zover die registers van verwerkingsactiviteiten geen informatie bevatten met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van de in de punten 42 en 43 van het onderhavige arrest in herinnering gebrachte rechtspraak, stellen zij de verwerkingsverantwoordelijke enkel in staat om te voldoen aan zijn verplichtingen jegens de toezichthoudende autoriteit die om de verstrekking van die registers vraagt.

69

Wat meer in het bijzonder de logbestanden van de verwerkingsverantwoordelijke betreft, kan het verstrekken van een kopie van de in die bestanden opgenomen informatie noodzakelijk blijken om te voldoen aan de verplichting om de betrokkene inzage te verlenen in alle in artikel 15, lid 1, AVG genoemde informatie, en om een behoorlijke en transparante verwerking te waarborgen, zodat hij de rechten die hij aan die verordening ontleent ten volle kan doen gelden.

70

Ten eerste wijzen dergelijke bestanden er namelijk op dat er sprake is van gegevensverwerking, informatie waartoe de betrokkene toegang moet hebben op grond van artikel 15, lid 1, AVG. Daarnaast geven zij informatie over de frequentie en de intensiteit van de raadplegingen, zodat de betrokkene zich ervan kan vergewissen dat de uitgevoerde verwerking daadwerkelijk is ingegeven door de doeleinden die de verwerkingsverantwoordelijke heeft aangevoerd.

71

Ten tweede bevatten deze bestanden informatie over de identiteit van de personen die de raadplegingen hebben verricht.

72

In casu blijkt uit de verwijzingsbeslissing dat de personen die de in het hoofdgeding aan de orde zijnde raadplegingen hebben verricht, werknemers zijn van Pankki S die onder haar gezag en overeenkomstig haar instructies hebben gehandeld.

73

Uit artikel 15, lid 1, onder c), AVG volgt weliswaar dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke informatie te ontvangen met betrekking tot de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, maar werknemers van de verwerkingsverantwoordelijke kunnen niet worden beschouwd als „ontvangers” in de zin van artikel 15, lid 1, onder c), AVG, dat in de punten 47 en 48 van het onderhavige arrest in herinnering is gebracht, wanneer zij persoonsgegevens verwerken onder het gezag van die verwerkingsverantwoordelijke en overeenkomstig zijn instructies, zoals de advocaat-generaal in punt 63 van zijn conclusie heeft opgemerkt.

74

In dit verband moet worden benadrukt dat overeenkomstig artikel 29 AVG eenieder die onder het gezag van de verwerkingsverantwoordelijke handelt en toegang heeft tot persoonsgegevens, deze uitsluitend in opdracht van die verwerkingsverantwoordelijke verwerkt.

75

De informatie in de logbestanden over de personen die de persoonsgegevens van de betrokkene hebben geraadpleegd, kan informatie vormen die valt onder de in artikel 4, punt 1, AVG genoemde informatie, dat in punt 41 van het onderhavige arrest in herinnering is gebracht, aan de hand waarvan de betrokkene kan nagaan of de verwerking van zijn gegevens rechtmatig is, en met name zich ervan kan vergewissen of de verwerking daadwerkelijk is verricht onder het gezag van de verwerkingsverantwoordelijke en overeenkomstig zijn instructies.

76

Niettemin blijkt uit de verwijzingsbeslissing ten eerste dat aan de hand van de informatie in de logbestanden, zoals die welke in het hoofdgeding aan de orde zijn, de werknemers kunnen worden geïdentificeerd die de verwerkingsactiviteiten hebben verricht, en dat deze informatie persoonsgegevens van deze werknemers bevat in de zin van artikel 4, lid 1, AVG.

77

In dit verband zij eraan herinnerd dat, wat het in artikel 15 AVG neergelegde recht van inzage betreft, in overweging 63 van deze verordening staat te lezen dat „[d]at recht […] geen afbreuk [mag] doen aan de rechten of vrijheden van anderen”.

78

Op grond van overweging 4 AVG heeft het recht op bescherming van persoonsgegevens immers geen absolute gelding, aangezien het moet worden beschouwd in relatie tot de functie ervan in de samenleving en het tegen andere grondrechten moet worden afgewogen (zie in die zin arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 172).

79

Gesteld dat het verstrekken van informatie aan de betrokkene van wie de persoonsgegevens worden verwerkt over de identiteit van de werknemers van de verwerkingsverantwoordelijke noodzakelijk is voor deze betrokkene om zich ervan te vergewissen dat de verwerking van zijn persoonsgegevens rechtmatig is, dan kan dit niettemin afbreuk doen aan de rechten en vrijheden van deze werknemers.

80

In deze omstandigheden moeten in geval van strijdigheid tussen enerzijds de uitoefening van het recht van inzage – dat de nuttige werking van de door de AVG aan de betrokkene verleende rechten waarborgt – en anderzijds de rechten of vrijheden van anderen, de betrokken rechten en vrijheden tegen elkaar worden afgewogen. Voor zover mogelijk moet worden gekozen voor een wijze die geen afbreuk doet aan de rechten of vrijheden van anderen. Daarbij moet er rekening mee worden gehouden dat deze overwegingen er niet toe mogen „leiden dat de betrokkene alle informatie wordt onthouden”, zoals blijkt uit overweging 63 van de AVG (zie in die zin arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 44).

81

Ten tweede volgt echter uit de verwijzingsbeslissing dat J.M. niet verzoekt om het verstrekken van informatie over de identiteit van de werknemers van Pankki S die zijn persoonsgegevens hebben geraadpleegd, op grond dat zij niet daadwerkelijk onder het gezag en in overeenstemming met de instructies van de verwerkingsverantwoordelijke hebben gehandeld, maar omdat hij lijkt te twijfelen aan de juistheid van de informatie met betrekking tot de doeleinden van die raadplegingen die Pankki S hem heeft meegedeeld.

82

In dergelijke omstandigheden heeft de betrokkene, indien hij van mening is dat de door de verwerkingsverantwoordelijke verstrekte informatie niet toereikend is om zijn twijfel over de rechtmatigheid van de verwerking van zijn persoonsgegevens te kunnen wegnemen, op grond van artikel 77, lid 1, AVG het recht om een klacht in te dienen bij de toezichthoudende autoriteit, die krachtens artikel 58, lid 1, onder a), van deze verordening de bevoegdheid heeft om de verwerkingsverantwoordelijke te vragen alle informatie te verstrekken die zij nodig heeft om de klacht van de betrokkene te onderzoeken.

83

Uit een en ander volgt dat artikel 15, lid 1, AVG aldus moet worden uitgelegd dat de informatie met betrekking tot de raadplegingen van de persoonsgegevens van een persoon, over de datums en de doeleinden van deze raadplegingen, informatie is met betrekking waartoe deze persoon krachtens deze bepaling het recht heeft van de verwerkingsverantwoordelijke inzage te verlangen. Die bepaling voorziet daarentegen niet in een dergelijk recht wat de informatie betreft over de identiteit van de werknemers van die verwerkingsverantwoordelijke die onder zijn gezag en overeenkomstig zijn instructies deze raadplegingen hebben verricht, tenzij die informatie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen en mits rekening wordt gehouden met de rechten en vrijheden van die werknemers.

Derde vraag

84

Met zijn derde vraag wenst de verwijzende rechter in wezen te vernemen of de omstandigheid dat de verwerkingsverantwoordelijke in het kader van een gereglementeerde activiteit een bankactiviteit uitoefent en dat voorts de persoon van wie in zijn hoedanigheid van klant van de verwerkingsverantwoordelijke persoonsgegevens zijn verwerkt, ook werknemer was bij deze verwerkingsverantwoordelijke, van belang is voor de bepaling van de omvang van het hem bij artikel 15, lid 1, AVG toegekende recht van inzage.

85

Om te beginnen moet met betrekking tot de werkingssfeer van het in artikel 15, lid 1, AVG neergelegde recht van inzage worden benadrukt dat geen enkele bepaling van deze verordening onderscheid maakt naargelang de aard van de activiteiten van de verwerkingsverantwoordelijke of de hoedanigheid van de persoon van wie de persoonsgegevens worden verwerkt.

86

Wat het gereglementeerde karakter van de activiteit van Pankki S betreft, stelt artikel 23 AVG de lidstaten in staat om de reikwijdte van de met name in artikel 15 van deze verordening neergelegde rechten en plichten te beperken door middel van Unierechtelijke en lidstaatrechtelijke wetgevingsmaatregelen.

87

Uit de verwijzingsbeslissing blijkt evenwel niet dat de activiteit van Pankki S onder een dergelijke wettelijke regeling valt.

88

Wat voorts de omstandigheid betreft dat J.M. zowel klant als werknemer van Pankki S was, moet worden opgemerkt dat de context waarin de betrokkene verzoekt om inzage in de informatie in de zin van artikel 15, lid 1, AVG, gelet op zowel de doelstellingen van de AVG als ook de omvang van het recht van inzage van deze betrokkene, zoals in herinnering gebracht in de punten 49 en 55 tot en met 59 van het onderhavige arrest, geen invloed kan hebben op de omvang van dit recht.

89

Dientengevolge moet artikel 15, lid 1, AVG aldus worden uitgelegd dat de omstandigheid dat de verwerkingsverantwoordelijke in het kader van een gereglementeerde activiteit een bankactiviteit uitoefent en dat de persoon van wie in zijn hoedanigheid van klant van de verwerkingsverantwoordelijke de persoonsgegevens zijn verwerkt, ook werknemer was bij deze verwerkingsverantwoordelijke, in beginsel niet van invloed is op de omvang van het recht van deze persoon op grond van deze bepaling.

Kosten

90

Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechterlijke instantie over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

 

Het Hof (Eerste kamer) verklaart voor recht:

 

1)

Artikel 15 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), gelezen in het licht van artikel 99, lid 2, van deze verordening,

moet aldus worden uitgelegd dat

het van toepassing is op een verzoek om inzage in de in dat artikel genoemde informatie wanneer de verwerkingsactiviteiten waarop dit verzoek betrekking heeft, zijn uitgevoerd vóór de datum waarop deze verordening van toepassing is, maar het verzoek na die datum is ingediend.

 

2)

Artikel 15, lid 1, van verordening 2016/679

moet aldus worden uitgelegd dat

de informatie met betrekking tot de raadplegingen van de persoonsgegevens van een persoon, over de datums en de doeleinden van deze raadplegingen, informatie is met betrekking waartoe deze persoon krachtens deze bepaling het recht heeft van de verwerkingsverantwoordelijke inzage te verlangen. Die bepaling voorziet daarentegen niet in een dergelijk recht wat de informatie betreft over de identiteit van de werknemers van die verwerkingsverantwoordelijke die onder zijn gezag en overeenkomstig zijn instructies deze raadplegingen hebben verricht, tenzij die informatie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen en mits rekening wordt gehouden met de rechten en vrijheden van die werknemers.

 

3)

Artikel 15, lid 1, van verordening 2016/679

moet aldus worden uitgelegd dat

de omstandigheid dat de verwerkingsverantwoordelijke in het kader van een gereglementeerde activiteit een bankactiviteit uitoefent en dat de persoon van wie in zijn hoedanigheid van klant van de verwerkingsverantwoordelijke de persoonsgegevens zijn verwerkt, ook werknemer was bij deze verwerkingsverantwoordelijke, in beginsel niet van invloed is op de omvang van het recht van deze persoon op grond van deze bepaling.

 

ondertekeningen


( *1 ) Procestaal: Fins.

Top