TIESAS SPRIEDUMS (pirmā palāta)
2023. gada 22. jūnijā (*)
Lūgums sniegt prejudiciālu nolēmumu – Personas datu apstrāde – Regula (ES) 2016/679 – 4. un 15. pants – Tiesību piekļūt 15. pantā minētajai informācijai apjoms – Informācija, kas atrodas apstrādes sistēmas žurnalēšanas datnēs (log data) – 4. pants – Jēdziens “personas dati” – Jēdziens “saņēmēji” – Piemērošana laikā
Lietā C‑579/21
par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Itä‑Suomen hallinto‑oikeus (Austrumsomijas Administratīvā tiesa, Somija) iesniegusi ar 2021. gada 21. septembra lēmumu un kas Tiesā reģistrēts 2021. gada 22. septembrī, tiesvedībā, ko sācis
J.M.,
piedaloties:
Apulaistietosuojavaltuutettu,
Pankki S,
TIESA (pirmā palāta)
šādā sastāvā: palātas priekšsēdētājs A. Arabadžijevs [A. Arabadjiev], tiesneši P. Dž. Švīrebs [P. G. Xuereb], T. fon Danvics [T. von Danwitz], A. Kumins [A. Kumin] un I. Ziemele (referente),
ģenerāladvokāts: M. Kamposs Sančess‑Bordona [M. Campos Sánchez‑Bordona],
sekretāre: S. Stremholma [C. Strömholm], administratore,
ņemot vērā rakstveida procesu un 2022. gada 12. oktobra tiesas sēdi,
ņemot vērā apsvērumus, ko snieguši:
– J.M. – savā vārdā,
– Apulaistietosuojavaltuutettu vārdā – A. Talus, tietosuojavaltuutettu,
– Pankki S vārdā – T. Kalliokoski un J. Lång, asianajajat, kā arī E.‑L. Hokkonen, oikeustieteen maisteri,
– Somijas valdības vārdā – A. Laine un H. Leppo, pārstāves,
– Čehijas valdības vārdā – A. Edelmannová, M. Smolek un J. Vláčil, pārstāvji,
– Austrijas valdības vārdā – A. Posch, pārstāvis,
– Eiropas Komisijas vārdā – A. Bouchagiar, H. Kranenborg un I. Söderlund, pārstāvji,
noklausījusies ģenerāladvokāta secinājumus 2022. gada 15. decembra tiesas sēdē,
pasludina šo spriedumu.
Spriedums
1 Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 15. panta 1. punktu.
2 Šis lūgums ir iesniegts saistībā ar tiesvedību, ko J.M. ir sācis tālab, lai panāktu, ka tiek atcelts Apulaistietosuojavaltuutettu (datu aizsardzības uzraudzītāja palīgs, Somija) lēmums, ar kuru ir noraidīts J.M. pieprasījums likt Somijā reģistrētajai bankai Pankki S sniegt viņam noteiktu informāciju par viņa personas datu aplūkošanas darbībām.
Atbilstošās tiesību normas
3 VDAR 4., 10., 11., 26., 39., 58., 60., 63. un 74. apsvērumā ir teikts:
“(4) Personas datu apstrāde būtu jāveido tā, lai tā kalpotu cilvēkam. Tiesības uz personas datu aizsardzību nav absolūta prerogatīva [..].
[..]
(10) Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei [Eiropas] Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. [..]
(11) Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt un sīki noteikt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus un nosaka to apstrādi [..].
[..]
(26) [..] Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu. [..]
[..]
(39) Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai. Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti. Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda. Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti. Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi. Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. [..]
[..]
(58) Pārredzamības principa pamatā ir prasība, ka visa informācija, kas adresēta sabiedrībai vai datu subjektam, ir kodolīga, viegli pieejama un viegli saprotama un ka tiek izmantota skaidra un vienkārša valoda un papildus – vajadzības gadījumā – vizualizācija. Šādu informāciju var sniegt elektroniski, piemēram, darot to pieejamu sabiedrībai tīmekļa vietnē. Tas ir jo īpaši svarīgi situācijās, kad iesaistīto personu skaits un praksē izmantoto tehnoloģiju sarežģītība apgrūtina datu subjekta iespējas zināt un saprast, vai tiek vākti viņa personas dati, kas to dara un kādā nolūkā – kā, piemēram, tiešsaistes reklāmas gadījumā. Ņemot vērā, ka bērniem pienākas īpaša aizsardzība, ja apstrāde attiecas uz bērnu, informācija būtu jāsniedz un saziņa jāveic tik skaidrā un vienkāršā valodā, lai bērns to varētu viegli saprast.
[..]
(60) Godprātīgas un pārredzamas apstrādes principi prasa to, ka datu subjekts ir informēts par apstrādes darbības esamību un tās nolūkiem. Pārzinim būtu jāsniedz datu subjektam jebkāda papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi, ņemot vērā konkrētos apstākļus un kontekstu, kādā personas dati tiek apstrādāti. [..]
[..]
(63) Datu subjektam vajadzētu būt tiesībām piekļūt personas datiem, kas par to savākti, un viegli un saprātīgos intervālos īstenot minētās tiesības, lai zinātu par apstrādi un pārliecinātos par tās likumīgumu. [..] Tāpēc katram datu subjektam vajadzētu būt tiesībām zināt un saņemt paziņojumu jo īpaši par to, kādos nolūkos personas datus apstrādā, ja iespējams, cik ilgi personas dati tiek apstrādāti, personas datu saņēmējus, kāda ir jebkurā personas datu automātiskajā apstrādē ietvertā loģika un kādas ir šādas apstrādes sekas – vismaz tad, ja apstrāde pamatojas uz profilēšanu. [..] Minētajām tiesībām nevajadzētu nelabvēlīgi ietekmēt citu personu tiesības vai brīvības, tostarp tirdzniecības noslēpumus vai intelektuālā īpašuma tiesības un jo īpaši autortiesības, ar ko aizsargāta programmatūra. [..]
[..]
(74) Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši, pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus, un viņam vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo regulu, tostarp, ka pasākumi ir iedarbīgi. Minētajos pasākumos būtu jāņem vērā apstrādes raksturs, piemērošanas joma, konteksts un nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām.”
4 VDAR 1. panta “Priekšmets un mērķi” 2. punkts noteic:
“Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.”
5 Šīs regulas 4. pants noteic:
“Šajā regulā:
1) “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu [..]; identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;
2) “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
[..]
7) “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; [..]
[..]
9) “saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav [..];
[..]
21) “uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot 51. pantu;
[..].”
6 Minētās regulas 5. pants “Personas datu apstrādes principi” ir formulēts šādi:
“1. Personas dati:
a) tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);
[..]
f) tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).
2. Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”
7 VDAR 12. pants “Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība” noteic:
“1. Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. un 14. pantā minēto informāciju un nodrošinātu visu 15.–22. pantā un 34. pantā minēto saziņu attiecībā uz apstrādi [..]. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. [..]
[..]
5. [..] Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var vai nu:
[..]
b) atteikties izpildīt pieprasījumu.
Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.
[..]”
8 Šīs regulas 15. pants “Datu subjekta piekļuves tiesības” noteic:
“1. Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:
a) apstrādes nolūki;
b) attiecīgo personas datu kategorijas;
c) personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;
d) ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;
e) tas, ka pastāv tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi;
f) tiesības iesniegt sūdzību uzraudzības iestādei;
g) visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta;
h) tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.
[..]
3. Pārzinis nodrošina apstrādē esošo personas datu kopiju. [..]
4. Tiesības saņemt 3. punktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības.”
9 Minētās regulas 16. un 17. pantā ir noteiktas attiecīgi datu subjekta tiesības panākt neprecīzu personas datu labošanu (tiesības labot), kā arī tiesības noteiktos apstākļos panākt šo datu dzēšanu (tiesības uz dzēšanu jeb “tiesības tikt aizmirstam”).
10 Šīs pašas regulas 18. panta “Tiesības ierobežot apstrādi” 1. punkts noteic:
“Datu subjektam ir tiesības panākt, lai pārzinis ierobežotu apstrādi, ja ir viens no šādiem apstākļiem:
a) datu subjekts apstrīd personas datu precizitāti – uz laiku, kurā pārzinis var pārbaudīt personas datu precizitāti;
b) apstrāde ir nelikumīga, un datu subjekts iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu;
c) pārzinim personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;
d) datu subjekts ir iebildis pret apstrādi saskaņā ar 21. panta 1. punktu, kamēr nav pārbaudīts, vai pārziņa leģitīmie iemesli nav svarīgāki par datu subjekta leģitīmajiem iemesliem.”
11 VDAR 21. panta “Tiesības iebilst” 1. punkts noteic:
“Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 6. panta 1. punkta e) vai f) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minētajiem noteikumiem. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.”
12 Saskaņā ar šīs regulas 24. panta 1. punktu:
“Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. [..]”
13 Minētās regulas 29. pants “Apstrāde pārziņa vai apstrādātāja pakļautībā” ir formulēts šādi:
“Apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā minētos datus citādi kā vien saskaņā ar pārziņa norādījumiem, ja vien to darīt nepieprasa Savienības vai dalībvalsts tiesību akti.”
14 VDAR 30. pants “Apstrādes darbību reģistrēšana” noteic:
“1. Katrs pārzinis un attiecīgā gadījumā pārziņa pārstāvis reģistrē tā pakļautībā veiktās apstrādes darbības. [..]
[..]
4. Pārzinis [..] un attiecīgā gadījumā [tā] pārstāvis pēc pieprasījuma nodrošina reģistra pieejamību uzraudzības iestādei.
[..]”
15 Šīs regulas 58. panta “Pilnvaras” 1. punkts noteic:
“Katrai uzraudzības iestādei ir visas šādas izmeklēšanas pilnvaras:
a) izdot rīkojumu pārzinim un apstrādātājam un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvim sniegt visu informāciju, kas nepieciešama tās uzdevumu veikšanai;
[..].”
16 Minētās regulas 77. pantā “Tiesības iesniegt sūdzību uzraudzības iestādē” ir precizēts:
“1. Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, jo īpaši tajā dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta, darbavieta vai iespējamā pārkāpuma izdarīšanas vieta, ja datu subjekts uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu.
2. Uzraudzības iestāde, kurā ir iesniegta sūdzība, informē sūdzības iesniedzēju par sūdzības izskatīšanas virzību un iznākumu, tostarp par tiesību aizsardzības tiesā iespēju saskaņā ar 78. pantu.”
17 VDAR 79. panta “Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju” 1. punkts noteic:
“Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 77. pantu, ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai.”
18 Šīs regulas 82. panta “Tiesības uz kompensāciju un atbildība” 1. punkts noteic:
“Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.”
19 Saskaņā ar VDAR 99. panta 2. punktā noteikto šī regula ir stājusies spēkā 2018. gada 25. maijā.
Pamatlieta un prejudiciālie jautājumi
20 2014. gadā J.M., kas tolaik bija gan Pankki S darbinieks, gan tās klients, uzzināja, ka laikposmā no 2013. gada 1. novembra līdz 31. decembrim bankas darbinieki bija vairākkārt aplūkojuši viņa kā klienta datus.
21 Šaubīdamies par šīs aplūkošanas likumīgumu, J.M., kurš pa to laiku bija atlaists no darba šajā bankā, 2018. gada 29. maijā lūdza Pankki S darīt viņam zināmu viņa kā klienta datus aplūkojušo personu identitāti, konkrētos aplūkošanas datumus, kā arī šo datu apstrādes nolūkus.
22 2018. gada 30. augustā Pankki S – kā datu pārzinis VDAR 4. panta 7. punkta izpratnē – atteicās izpaust J.M. viņa personas datu aplūkošanas darbības veikušo darbinieku vārdus un uzvārdus, pamatojoties uz to, ka šī informācija ir šo darbinieku personas dati.
23 Tomēr šajā pašā atbildē Pankki S sniedza sīkākus paskaidrojumus par aplūkošanas darbībām, ko pēc tās norādījumiem veicis tās iekšējās revīzijas dienests. Proti, tā paskaidroja – tā kā kāds šīs bankas klients, kuru apkalpojošais klientu konsultants bija J.M., bija kreditors attiecībā pret kādu personu, kuras personvārds arī bija J.M., tā bija vēlējusies noskaidrot, vai prasītājs pamatlietā un attiecīgais parādnieks ir viena un tā pati persona un vai iespējami pastāv nepieļaujamas interešu konflikta attiecības. Pankki S piebilda, ka šā jautājuma noskaidrošanai bija nepieciešama J.M. datu apstrāde un katrs šos datus apstrādājušais bankas darbinieks iekšējās revīzijas dienestam bija norādījis datu apstrādes iemeslus. Turklāt banka norādīja, ka šī aplūkošana ir ļāvusi izslēgt jebkādas aizdomas par interešu konfliktu J.M. gadījumā.
24 J.M. vērsās Tietosuojavaltuutetun toimisto (Datu aizsardzības uzraudzītāja birojs, Somija) – kas ir uzraudzības iestāde VDAR 4. panta 21. punkta izpratnē –, lai panāktu, ka Pankki S tiek uzdots viņam sniegt pieprasīto informāciju.
25 Ar 2020. gada 4. augusta lēmumu datu aizsardzības uzraudzītāja palīgs šo J.M. pieprasījumu noraidīja. Tas paskaidroja, ka ar šādu pieprasījumu J.M. vēlas panākt piekļuvi viņa datus apstrādājušo darbinieku žurnalēšanas datnēm, savukārt saskaņā ar šīs iestādes lēmumu pieņemšanas praksi šādas datnes ir nevis attiecīgā datu subjekta, bet tā datus apstrādājušo darbinieku personas dati.
26 J.M. šo lēmumu pārsūdzēja iesniedzējtiesā.
27 Šī tiesa atgādina, ka VDAR 15. pantā ir paredzētas datu subjekta tiesības saņemt no pārziņa piekļuvi apstrādātajiem šā subjekta datiem, kā arī informācijai tostarp par apstrādes nolūkiem un datu saņēmējiem. Tā vēlas noskaidrot, vai uz tādu datu apstrādes darbību gaitā radīto žurnalēšanas datņu – kurās norādīta šāda informācija, tostarp datu pārziņa darbinieku identitāte, – izpaušanu attiecas VDAR 15. pants, jo šīs datnes varētu izrādīties nepieciešamas datu subjektam, lai novērtētu savu datu apstrādes likumīgumu.
28 Šādos apstākļos Itä‑Suomen hallinto‑oikeus (Austrumsomijas Administratīvā tiesa, Somija) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
“1) Vai piekļuves tiesības, kas datu subjektam ir piešķirtas saskaņā ar [VDAR] 15. panta 1. punktu, tās skatot kopsakarā ar [jēdzienu] “personas dati” šīs regulas 4. panta 1. punkta izpratnē, ir jāinterpretē tādējādi, ka pārziņa ievāktā informācija, no kuras iespējams noskaidrot, kurš, kurā brīdī un kādā nolūkā ir apstrādājis datu subjekta personas datus, nav informācija, attiecībā uz kuru datu subjektam ir piekļuves tiesības, it īpaši tādēļ, ka tie ir pārziņa darbinieku dati?
2) Gadījumā, ja atbilde uz pirmo jautājumu ir apstiprinoša un datu subjektam, pamatojoties uz [VDAR] 15. panta 1. punktu, nav tiesību piekļūt iepriekšējā jautājumā minētajai informācijai tāpēc, ka šī informācija nav uzskatāma par datu subjekta “personas datiem” [šīs regulas] 4. panta 1. punkta izpratnē, izskatāmajā lietā vēl būtu jāapsver jautājums par informāciju, kurai datu subjektam ir tiesības piekļūt saskaņā ar minētās regulas 15. panta 1. punkta [a)–h)] apakšpunktu:
a) Kā ir jāinterpretē “apstrādes nolūks” [VDAR] 15. panta 1. punkta a) apakšpunkta izpratnē attiecībā uz datu subjekta piekļuves tiesību apjomu, proti, vai apstrādes nolūks var pamatot tiesības piekļūt tādai pārziņa ievāktajās žurnalēšanas datnēs esošajai informācijai kā, piemēram, ziņām par datu subjekta personas datu apstrādi veikušo personu personas datiem, personas datu apstrādes laiku un nolūku?
b) Vai personas, kuras ir apstrādājušas J.M. klienta datus, šajā sakarā atbilstoši konkrētiem kritērijiem var tikt uzskatītas par personas datu saņēmējiem saskaņā ar [VDAR] 15. panta 1. punkta c) apakšpunktu, par kuriem datu subjektam būtu tiesības saņemt informāciju?
3) Vai tiesvedībā ir nozīme faktam, ka attiecīgā banka veic reglamentētu darbību, vai arī tam, ka J.M. vienlaikus gan strādāja šajā bankā, gan arī bija tās klients?
4) Vai, lai atbildētu uz iepriekš minētajiem jautājumiem, ir būtiski, ka J.M. dati tika apstrādāti pirms [VDAR] stāšanās spēkā?”
Par prejudiciālajiem jautājumiem
Par ceturto jautājumu
29 Ar ceturto jautājumu, kurš jāizskata visupirms, iesniedzējtiesa būtībā vaicā, vai VDAR 15. pants – lasot to šīs regulas 99. panta 2. punkta kontekstā – ir piemērojams pieprasījumam par piekļuvi pirmajā no šīm tiesību normām minētajai informācijai situācijā, kad apstrādes darbības, uz kurām attiecas šis pieprasījums, ir veiktas pirms dienas, kad minētā regula kļuvusi piemērojama, taču pieprasījums ir iesniegts pēc šīs dienas.
30 Lai atbildētu uz šo jautājumu, jānorāda, ka VDAR – saskaņā ar tās 99. panta 2. punktā noteikto – ir piemērojama kopš 2018. gada 25. maija.
31 Savukārt šajā lietā no iesniedzējtiesas nolēmuma izriet, ka personas datu apstrādes darbības pamatlietā tika veiktas laikposmā no 2013. gada 1. novembra līdz 2013. gada 31. decembrim, proti, pirms datuma, kad VDAR kļuva piemērojama. Tomēr no šā lēmuma arī izriet, ka informācijas pieprasījumu J.M. ir iesniedzis Pankki S pēc šā datuma, proti, 2018. gada 29. maijā.
32 Šajā ziņā jāatgādina, ka procesuālo tiesību normas parasti tiek uzskatītas par piemērojamām no dienas, kad tās stājas spēkā, atšķirībā no materiālo tiesību normām, kas parasti tiek interpretētas kā tādas, kas uz situācijām, kuras radušās un pilnībā īstenojušās pirms šo normu stāšanās spēkā, attiecas tikai, ciktāl no to noteikumiem, mērķa vai struktūras skaidri izriet, ka tām ir piešķirama šāda iedarbība (spriedums, 2021. gada 15. jūnijs, Facebook Ireland u.c., C‑645/19, EU:C:2021:483, 100. punkts, kā arī tajā minētā judikatūra).
33 Šajā gadījumā no iesniedzējtiesas nolēmuma izriet, ka J.M. pieprasījums saņemt pamatlietā aplūkoto informāciju ir saistīts ar VDAR 15. panta 1. punktu, kurā paredzētas datu subjekta tiesības piekļūt saviem apstrādē esošajiem personas datiem, kā arī šajā tiesību normā minētajai informācijai.
34 Jākonstatē, ka minētā tiesību norma neattiecas uz datu subjekta personas datu apstrādes likumīguma nosacījumiem. Proti, VDAR 15. panta 1. punktā ir vienīgi precizēts šā subjekta tiesību piekļūt tajā minētajiem datiem un tajā minētajai informācijai apjoms.
35 No tā izriet – kā secinājumu 33. punktā norāda ģenerāladvokāts –, ka ar VDAR 15. panta 1. punktu datu subjektiem ir piešķirtas procesuāla rakstura tiesības saņemt informāciju par savu personas datu apstrādi. Tā kā šī tiesību norma ir procesuāls noteikums, tā ir piemērojama pieprasījumiem par piekļuvi, kas iesniegti pēc tam, kad šī regula kļuvusi piemērojama, kā tas ir J.M. pieprasījuma gadījumā.
36 Šajos apstākļos uz ceturto jautājumu ir atbildams, ka VDAR 15. pants – lasot to šīs regulas 99. panta 2. punkta kontekstā – ir jāinterpretē tādējādi, ka tas ir piemērojams pieprasījumam par piekļuvi šajā normā minētajai informācijai situācijā, kad apstrādes darbības, uz kurām attiecas šis pieprasījums, ir veiktas pirms dienas, kad minētā regula kļuvusi piemērojama, taču pieprasījums ir iesniegts pēc šīs dienas.
Par pirmo un otro jautājumu
37 Ar pirmo un otro jautājumu, kuri jāskata kopā, iesniedzējtiesa būtībā vaicā, vai VDAR 15. panta 1. punkts ir jāinterpretē tādējādi, ka ar kāda subjekta personas datu aplūkošanas darbībām saistītā informācija par šo darbību veikšanas laikiem un nolūkiem, kā arī šīs darbības veikušo fizisko personu identitāti ir informācija, ko šis subjekts saskaņā ar minēto tiesību normu ir tiesīgs saņemt no pārziņa.
38 Ievadam jāatgādina pastāvīgās judikatūras atziņa, ka, interpretējot Savienības tiesību normu, jāņem vērā ne tikai tās teksts, bet arī konteksts un šo normu ietverošā tiesiskā regulējuma mērķi un nolūks (spriedums, 2023. gada 12. janvāris, Österreichische Post (Informācija par personas datu saņēmējiem), C‑154/21, EU:C:2023:3, 29. punkts).
39 Vispirms par VDAR 15. panta 1. punkta formulējumu jāteic, ka šajā tiesību normā ir noteikts: datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai šā datu subjekta personas dati tiek vai netiek apstrādāti, un – ja tie tiek apstrādāti – tiesības piekļūt attiecīgajiem datiem un saņemt informāciju par šīs apstrādes nolūkiem un tiem saņēmējiem vai saņēmēju kategorijām, kam personas dati ir vai tiks izpausti.
40 Šajā ziņā jāuzsver, ka VDAR 15. panta 1. punktā rodamie jēdzieni ir definēti šīs regulas 4. pantā.
41 Proti, pirmām kārtām, VDAR 4. panta 1. punktā ir noteikts, ka personas dati ir “jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu”, un precizēts, ka “identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”.
42 Tas, ka šajā normā rodamajā jēdziena “personas dati” definīcijā izmantota vārdkopa “jebkura informācija”, norāda uz Savienības likumdevēja mērķi šo jēdzienu apveltīt ar plašu nozīmi, kas potenciāli aptver visu veidu – gan objektīvu, gan subjektīvu – informāciju viedokļa vai vērtējumu formā, ja vien šī informācija “attiecas uz” konkrēto personu (spriedums, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 23. punkts).
43 Šajā ziņā ir nospriests, ka informācija attiecas uz identificētu vai identificējamu fizisku personu, ja tās satura, mērķa vai seku ziņā tā ir saistīta ar kādu identificējamu personu (spriedums, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 24. punkts).
44 Attiecībā uz to, vai persona ir “identificējama”, VDAR 26. apsvērumā ir precizēts, ka ir jāņem vērā “visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu”.
45 No tā izriet, ka jēdziena “personas dati” plašā definīcija neaprobežojas tikai ar apstrādātāja iegūtajiem un uzglabātajiem datiem, bet aptver arī visu informāciju, kas iegūta, apstrādājot personas datus, kuri attiecas uz identificētu vai identificējamu personu (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 26. punkts).
46 Otrām kārtām, par jēdzienu “apstrāde”, kā tas definēts VDAR 4. panta 2. punktā, jākonstatē, ka, izmantodams vārdkopu “jebkura [..] darbība”, Savienības likumdevējs ir vēlējies piešķirt šim jēdzienam plašu tvērumu, neizsmeļoši uzskaitot ar personas datiem vai personas datu kopumiem veiktās darbības, kas citastarp ietver datu vākšanu, reģistrēšanu, glabāšanu, kā arī aplūkošanu (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 27. punkts).
47 Trešām kārtām, VDAR 4. panta 9. punktā ir precizēts, ka “saņēmējs” ir “fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav”.
48 Šajā ziņā Tiesa ir nospriedusi, ka datu subjektam ir tiesības saņemt no pārziņa informāciju par konkrētajiem saņēmējiem, kuriem ir vai tiks izpausti viņa personas dati (spriedums, 2023. gada 12. janvāris, Österreichische Post (Informācija par personas datu saņēmējiem), C‑154/21, EU:C:2023:3, 46. punkts).
49 Tāpēc no VDAR 15. panta 1. punkta un tajā rodamo jēdzienu tekstuālās analīzes izriet, ka piekļuves tiesībām, kas datu subjektam ir atzītas šajā tiesību normā, ir raksturīgi, ka tās informācijas apjoms, kura datu pārzinim jāsniedz šim datu subjektam, ir liels.
50 Savukārt par kontekstu, kādā iekļaujas VDAR 15. panta 1. punkts, jāatgādina, pirmām kārtām, ka šīs regulas 63. apsvērumā ir teikts: katram datu subjektam vajadzētu būt tiesībām zināt un tikt informētam jo īpaši par personas datu apstrādes nolūkiem, ja iespējams – par šo personas datu apstrādes ilgumu un šo personas datu saņēmēju identitāti.
51 Otrām kārtām, VDAR 60. apsvērumā ir teikts, ka godprātīgas un pārredzamas apstrādes principi prasa, lai datu subjekts tiktu informēts par apstrādes darbības esamību un tās nolūkiem, un uzsvērts, ka pārzinim būtu jāsniedz jebkāda papildu informācija, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi, ņemot vērā konkrētos apstākļus un kontekstu, kādā personas dati tiek apstrādāti. Turklāt saskaņā ar iesniedzējtiesas minēto pārredzamības principu, uz kuru ir atsauce VDAR 58. apsvērumā un kurš ir skaidri nostiprināts šīs regulas 12. panta 1. punktā, jebkurai datu subjektam adresētai informācijai ir jābūt kodolīgai, viegli pieejamai un viegli saprotamai, izmantojot skaidru un vienkāršu valodu.
52 Šajā ziņā VDAR 12. panta 1. punktā ir precizēts, ka pārzinim informācija ir jāsniedz rakstiski vai citā veidā, tostarp vajadzības gadījumā elektroniski, ja vien datu subjekts nepieprasa, lai tā tiktu sniegta mutiski. Šā noteikuma, kas ir pārredzamības principa izpausme, mērķis ir nodrošināt, lai datu subjekts pilnībā saprastu tam sniegto informāciju (spriedums, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 38. punkts, kā arī tajā minētā judikatūra).
53 No iepriekš izklāstītās kontekstuālās analīzes izriet, ka VDAR 15. panta 1. punkts ir viena no tiesību normām, kuras mērķis ir nodrošināt datu subjektam personas datu apstrādes procesa pārredzamību.
54 Visbeidzot jāteic, ka apstiprinājums šādai VDAR 15. panta 1. punktā paredzēto piekļuves tiesību apjoma interpretācijai rodams šīs regulas mērķos.
55 Proti, pirmkārt, šīs regulas mērķis, kā norādīts tās 10. un 11. apsvērumā, ir nodrošināt konsekventu un augsta līmeņa aizsardzību fiziskām personām Savienībā, kā arī stiprināt un sīki noteikt datu subjektu tiesības.
56 Turklāt, kā izriet no VDAR 63. apsvēruma, personas tiesību piekļūt saviem personas datiem un citai šīs regulas 15. panta 1. punktā minētajai informācijai mērķis ir visupirms jau ļaut šai personai uzzināt par apstrādi un pārliecināties par tās likumīgumu. No tā saskaņā ar šo apsvērumu un kā norādīts šā sprieduma 50. punktā izriet, ka katram datu subjektam vajadzētu būt tiesībām zināt un tikt informētam jo īpaši par personas datu apstrādes nolūkiem, ja iespējams – par šo personas datu apstrādes ilgumu, personas datu saņēmēju identitāti, kā arī datu apstrādes loģiku.
57 Šajā ziņā, otrkārt, jāatgādina – Tiesa jau ir nospriedusi, ka VDAR 15. pantā paredzētajām piekļuves tiesībām ir jāļauj datu subjektam pārliecināties, ka viņa personas dati ir pareizi un tiek apstrādāti likumīgi (spriedums, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 34. punkts).
58 Šīs piekļuves tiesības ir nepieciešamas konkrēti tālab, lai ļautu datu subjektam vajadzības gadījumā izmantot viņam attiecīgi VDAR 16.–18. pantā atzītās tiesības panākt datu labošanu, tiesības uz dzēšanu (tiesības “tikt aizmirstam”) un tiesības ierobežot apstrādi, kā arī VDAR 21. pantā paredzētās tiesības iebilst pret savu personas datu apstrādi un VDAR 79. un 82. pantā paredzētās tiesības celt prasību, ja tam ir nodarīts kaitējums (spriedums, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 35. punkts, kā arī tajā minētā judikatūra).
59 Tāpēc VDAR 15. panta 1. punkts ir viena no tiesību normām, kas vērstas uz to, lai datu subjektam nodrošinātu personas datu apstrādes procesa pārredzamību (spriedums, 2023. gada 12. janvāris, Österreichische Post (Informācija par personas datu saņēmējiem), C‑154/21, EU:C:2023:3, 42. punkts), bez kuras šis subjekts nespētu pārliecināties par savu datu apstrādes likumīgumu un izmantot tostarp šīs regulas 16.–18., 21., 79. un 82. pantā paredzētās tiesības.
60 Šajā gadījumā no iesniedzējtiesas nolēmuma izriet, ka J.M. ir lūdzis Pankki S sniegt informāciju par viņa personas datu aplūkošanas darbībām laikposmā no 2013. gada 1. novembra līdz 2013. gada 31. decembrim, proti, ziņas par to, kad, kādos nolūkos un kas ir aplūkojis šos datus. Iesniedzējtiesa norāda, ka J.M. pieprasījums varētu tikt apmierināts, nosūtot žurnalēšanas datnes, kas radītas minēto darbību rezultātā.
61 Šajā gadījumā nav strīda par to, ka prasītāja pamatlietā personas datu aplūkošanas darbības ir “apstrāde” VDAR 4. panta 2. punkta izpratnē, un tāpēc saskaņā ar šīs regulas 15. panta 1. punktu šo darbību dēļ viņam rodas ne vien tiesības piekļūt šiem personas datiem, bet arī tiesības panākt, ka viņam tiek sniegta 15. panta 1. punktā minētā informācija par šīm darbībām.
62 Par informāciju, kādu pieprasījis J.M., vispirms jāteic, ka ziņas par aplūkošanas datumiem ļauj datu subjektam saņemt apstiprinājumu, ka viņa personas dati patiešām ir apstrādāti kādā konkrētā brīdī. Turklāt, tā kā VDAR 5. un 6. pantā paredzētajiem likumīguma nosacījumiem jābūt izpildītiem pašas apstrādes brīdī, šīs apstrādes datums ir faktors, kas ļauj pārbaudīt tās likumīgumu. Vēl jānorāda, ka informācija par apstrādes nolūkiem ir expressis verbis minēta šīs regulas 15. panta 1. punkta a) apakšpunktā. Visbeidzot minētās regulas 15. panta 1. punkta c) apakšpunktā ir paredzēts, ka pārzinis informē datu subjektu par saņēmējiem, kuriem viņa dati ir izpausti.
63 Jautājumā konkrēti par to, vai šis informācijas kopums ir sniedzams pamatlietā aplūkoto apstrādes darbību žurnalēšanas datņu formā, jānorāda – VDAR 15. panta 3. punkta pirmajā teikumā ir noteikts, ka pārzinis “nodrošina apstrādē esošo personas datu kopiju”.
64 Šajā ziņā Tiesa jau ir nospriedusi, ka šādi lietotais jēdziens “kopija” apzīmē oriģināla precīzu reproducēšanu vai transkripciju, līdz ar to tīri vispārīgs apstrādāto datu apraksts vai atsauce uz personas datu kategorijām neatbilstu šai definīcijai. Turklāt no šīs regulas 15. panta 3. punkta pirmā teikuma formulējuma izriet, ka informēšanas pienākums attiecas uz attiecīgajiem apstrādē esošajiem personas datiem (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 21. punkts).
65 Kopijā, kura pārzinim jāiesniedz, ir jāiekļauj visi apstrādē esošie personas dati, tai jāpiemīt visiem raksturlielumiem, kas datu subjektam ļautu efektīvi izmantot viņam minētajā regulā paredzētās tiesības, un līdz ar to pilnībā un precīzi jāreproducē šie dati (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 32. un 39. punkts).
66 Lai nodrošinātu, ka šādā veidā sniegtā informācija ir viegli saprotama, kā to prasa VDAR 12. panta 1. punkts – lasot to kopsakarā ar šīs regulas 58. apsvērumu –, gadījumā, kad apstrādātie dati ir jākontekstualizē tālab, lai nodrošinātu to saprotamību, var būt vajadzīgs reproducēt dokumentu izvilkumus vai pat pilnu dokumentu tekstu, vai izvilkumus no datubāzēm, kuros citastarp ir ietverti arī apstrādē esošie personas dati. Jo īpaši gadījumos, kad personas dati tiek radīti no citiem datiem vai kad šādi dati izriet no neaizpildītiem lauciņiem, proti, kad norāžu neesamība atklāj informāciju par datu subjektu, šo datu apstrādes konteksts ir absolūti nepieciešams, lai datu subjektam nodrošinātu pārredzamu piekļuvi šiem datiem un saprotamu šo datu izklāstu (spriedums, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 41. un 42. punkts).
67 Šajā gadījumā J.M. pieprasīto informāciju ietverošās žurnalēšanas datnes – kā secinājumu 88.–90. punktā norāda ģenerāladvokāts – atbilst apstrādes darbību reģistriem VDAR 30. panta izpratnē. Jāuzskata, ka šīs datnes ir šīs regulas 74. apsvērumā minētie pasākumi, kurus pārzinis veic tālab, lai pierādītu apstrādes darbību atbilstību minētajai regulai. Šīs pašas regulas 30. panta 4. punktā ir īpaši precizēts, ka pēc uzraudzības iestādes pieprasījuma šie reģistri ir jānodod tās rīcībā.
68 Ciktāl šie darbību reģistri neietver informāciju par identificētu vai identificējamu fizisku personu šā sprieduma 42. un 43. punktā atgādinātās judikatūras izpratnē, tie vienīgi ļauj pārzinim izpildīt savus pienākumus pret uzraudzības iestādi, kas pieprasītu tos iesniegt.
69 Konkrēti par pārziņa žurnalēšanas datnēm jāteic, ka iesniegt šajās datnēs ietvertās informācijas kopiju var izrādīties nepieciešams, lai tiktu izpildīts pienākums sniegt datu subjektam piekļuvi visai VDAR 15. panta 1. punktā minētajai informācijai un lai nodrošinātu godprātīgu un pārredzamu apstrādi, tādējādi ļaujot tam pilnībā izmantot tiesības, kas tam izriet no šīs regulas.
70 Proti, pirmkārt, šādas datnes atklāj datu apstrādes esamību, t.i., informāciju, kurai datu subjektam ir jābūt piekļuvei saskaņā ar VDAR 15. panta 1. punktu. Turklāt tās sniedz informāciju par aplūkošanas darbību biežumu un intensitāti, tādējādi ļaujot datu subjektam pārliecināties, ka veiktās apstrādes pamatā patiešām ir pārziņa norādītie nolūki.
71 Otrkārt, šajās datnēs ir ietverta informācija par datus aplūkojušo personu identitāti.
72 Šajā gadījumā no iesniedzējtiesas nolēmuma izriet, ka datus aplūkojušās personas pamatlietā ir Pankki S darbinieki, kuri rīkojušies tās pakļautībā un atbilstoši tās norādījumiem.
73 Lai gan no VDAR 15. panta 1. punkta c) apakšpunkta izriet, ka datu subjektam ir tiesības saņemt no pārziņa informāciju par saņēmējiem vai saņēmēju kategorijām, kam personas dati ir vai tiks izpausti, tomēr šā pārziņa darbinieki – kā secinājumu 63. punktā norāda ģenerāladvokāts – nav uzskatāmi par “saņēmējiem” šā sprieduma 47. un 48. punktā atgādinātajā VDAR 15. panta 1. punkta c) apakšpunkta izpratnē, kad viņi apstrādā personas datus minētā pārziņa pakļautībā un atbilstoši tā norādījumiem.
74 Šajā ziņā jāuzsver, ka saskaņā ar VDAR 29. pantu jebkura persona, kas darbojas pārziņa pakļautībā un kam ir piekļuve personas datiem, šos datus nedrīkst apstrādāt citādi kā vien atbilstoši pārziņa norādījumiem.
75 Taču žurnalēšanas datnēs ietvertā informācija par datu subjekta personas datus aplūkojušajām personām varētu būt informācija, kas atzīstama par šā sprieduma 41. punktā atgādināto VDAR 4. panta 1. punktā minēto informāciju, kas datu subjektam ļautu pārbaudīt savu datu apstrādes likumīgumu un jo īpaši pārliecināties, ka apstrādes darbības patiešām ir veiktas pārziņa uzraudzībā un atbilstoši viņa norādījumiem.
76 Tomēr, pirmkārt, no iesniedzējtiesas nolēmuma izriet, ka informācija, kas rodama tādās žurnalēšanas datnēs kā pamatlietā aplūkotās, ļauj identificēt apstrādes darbības veikušos darbiniekus un ietver šo darbinieku personas datus VDAR 4. panta 1. punkta izpratnē.
77 Šajā ziņā jāatgādina, ka par VDAR 15. pantā paredzētajām piekļuves tiesībām šīs regulas 63. apsvērumā ir precizēts, ka “minētajām tiesībām nevajadzētu nelabvēlīgi ietekmēt citu personu tiesības vai brīvības”.
78 Proti, saskaņā ar VDAR 4. apsvērumu tiesības uz personas datu aizsardzību nav absolūta prerogatīva, jo tās ir jāaplūko saistībā ar to funkciju sabiedrībā un jāsamēro ar citām pamattiesībām (šajā nozīmē skat. spriedumu, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 172. punkts).
79 Savukārt, lai arī informācija par pārziņa darbinieku identitāti datu subjektam, kura dati tiek apstrādāti, varētu šim subjektam būt nepieciešama, lai pārliecinātos par savu personas datu apstrādes likumīgumu, šīs informācijas sniegšana iespējami varētu radīt šo darbinieku tiesību un brīvību aizskārumu.
80 Šajos apstākļos gadījumā, ja piekļuves tiesību izmantošana – kas nodrošina datu subjektam VDAR atzīto tiesību lietderīgo iedarbību – nonāk pretrunā citu personu tiesībām vai brīvībām, šīs tiesības un brīvības ir jāsamēro. Iespēju robežās jāizvēlas tāds risinājums, ar kuru netiek aizskartas citu personu tiesības vai brīvības, ņemot vērā – kā teikts VDAR 63. apsvērumā –, ka “rezultātam nevajadzētu būt tādam, ka datu subjektam tiek atteikts sniegt jebkādu informāciju” (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 44. punkts).
81 Tomēr, otrkārt, no iesniedzējtiesas nolēmuma izriet, ka J.M. nevis lūdz sniegt informāciju par viņa personas datu aplūkojušo Pankki S darbinieku identitāti, pamatojoties uz to, ka viņi patiesībā neesot rīkojušies pārziņa pakļautībā un atbilstoši tā norādījumiem, bet gan šķiet apšaubām to, ka Pankki S sniegtā informācija par šīs aplūkošanas nolūku atbilst patiesībai.
82 Šajos apstākļos, ja datu subjekts uzskatītu, ka pārziņa sniegtā informācija ir nepietiekama, lai kliedētu šaubas, kas tam radušās par viņa personas datu apstrādes likumīgumu, šis datu subjekts ir tiesīgs, pamatojoties uz VDAR 77. panta 1. punktu, vērsties ar sūdzību uzraudzības iestādē, kura saskaņā ar šīs regulas 58. panta 1. punkta a) apakšpunktu ir pilnvarota lūgt pārzinim tai sniegt visu informāciju, kas nepieciešama datu subjekta sūdzības izskatīšanai.
83 No iepriekš izklāstītajiem apsvērumiem izriet, ka VDAR 15. panta 1. punkts ir jāinterpretē tādējādi, ka ar kāda subjekta personas datu aplūkošanas darbībām saistītā informācija par to, kad un kādos nolūkos šīs darbības ir veiktas, ir informācija, ko šis subjekts saskaņā ar minēto tiesību normu ir tiesīgs saņemt no pārziņa. Turpretim minētajā tiesību normā šādas tiesības nav paredzētas attiecībā uz informāciju par to minētā pārziņa darbinieku identitāti, kuri šīs darbības ir veikuši tā pakļautībā un atbilstoši tā norādījumiem, ja vien šī informācija nav nepieciešama, lai datu subjekts varētu efektīvi izmantot tam šajā regulā piešķirtās tiesības, un ar nosacījumu, ka tiek ņemtas vērā šo darbinieku tiesības un brīvības.
Par trešo jautājumu
84 Ar trešo jautājumu iesniedzējtiesa būtībā vaicā, vai apstāklim, pirmkārt, ka pārzinis veic bankas darbību regulētā jomā un, otrkārt, ka persona, kuras personas dati ir apstrādāti kā pārziņa klienta dati, bija arī šā pārziņa darbinieks, ir nozīme, nosakot šai personai VDAR 15. panta 1. punktā atzīto piekļuves tiesību apjomu.
85 Visupirms jāuzsver, ka attiecībā uz VDAR 15. panta 1. punktā paredzēto piekļuves tiesību tvērumu nevienā šīs regulas normā nav veikta nošķiršana atkarībā no pārziņa darbību rakstura vai tās personas statusa, kuras personas dati tiek apstrādāti.
86 Pirmkārt, par Pankki S darbības reglamentētību jāteic, ka VDAR 23. pants patiešām ļauj dalībvalstīm ar leģislatīviem pasākumiem ierobežot tostarp šīs regulas 15. pantā paredzēto pienākumu un tiesību tvērumu.
87 Tomēr no iesniedzējtiesas nolēmuma neizriet, ka Pankki S darbība būtu ar šādiem leģislatīviem pasākumiem reglamentēta.
88 Otrkārt, par apstākli, ka J.M. bija gan Pankki S klients, gan darbinieks, jānorāda, ka – ņemot vērā ne tikai VDAR mērķus, bet arī datu subjekta piekļuves tiesību apjomu, kas atgādināti šā sprieduma 49. un 55.–59. punktā, – konteksts, kādā šis subjekts pieprasa piekļuvi VDAR 15. panta 1. punktā minētajai informācijai, nekādi nevar ietekmēt šo tiesību apjomu.
89 Tātad VDAR 15. panta 1. punkts ir jāinterpretē tādējādi, ka apstāklis, ka pārzinis veic bankas darbību regulētā jomā un ka persona, kuras personas dati ir apstrādāti kā pārziņa klienta dati, bija arī šā pārziņa darbinieks, principā neietekmē šai personai saskaņā ar šo tiesību normu piešķirto tiesību apjomu.
Par tiesāšanās izdevumiem
90 Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.
Ar šādu pamatojumu Tiesa (pirmā palāta) nospriež:
1) Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 15. pants – lasot to šīs regulas 99. panta 2. punkta kontekstā –
ir jāinterpretē tādējādi, ka
tas ir piemērojams pieprasījumam par piekļuvi šajā normā minētajai informācijai situācijā, kad apstrādes darbības, uz kurām attiecas šis pieprasījums, ir veiktas pirms dienas, kad minētā regula kļuvusi piemērojama, taču pieprasījums ir iesniegts pēc šīs dienas.
2) Regulas 2016/679 15. panta 1. punkts
ir jāinterpretē tādējādi, ka
ar kāda subjekta personas datu aplūkošanas darbībām saistītā informācija par to, kad un kādos nolūkos šīs darbības ir veiktas, ir informācija, ko šis subjekts saskaņā ar minēto tiesību normu ir tiesīgs saņemt no pārziņa. Turpretim minētajā tiesību normā šādas tiesības nav paredzētas attiecībā uz informāciju par to minētā pārziņa darbinieku identitāti, kuri šīs darbības ir veikuši tā pakļautībā un atbilstoši tā norādījumiem, ja vien šī informācija nav nepieciešama, lai datu subjekts varētu efektīvi izmantot tam šajā regulā piešķirtās tiesības, un ar nosacījumu, ka tiek ņemtas vērā šo darbinieku tiesības un brīvības.
3) Regulas 2016/679 15. panta 1. punkts
ir jāinterpretē tādējādi, ka
apstāklis, ka pārzinis veic bankas darbību regulētā jomā un ka persona, kuras personas dati ir apstrādāti kā pārziņa klienta dati, bija arī šā pārziņa darbinieks, principā neietekmē šai personai saskaņā ar šo tiesību normu piešķirto tiesību apjomu.
[Paraksti]