Language of document : ECLI:EU:C:2023:501

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (πρώτο τμήμα)

της 22ας Ιουνίου 2023 (*)

«Προδικαστική παραπομπή – Επεξεργασία δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρα 4 και 15 – Έκταση του δικαιώματος προσβάσεως στις πληροφορίες του άρθρου 15 – Πληροφορίες περιεχόμενες σε αρχεία καταγραφής ενεργειών τα οποία παράγονται μέσω συστήματος επεξεργασίας (log data) – Άρθρο 4 – Έννοια των “δεδομένων προσωπικού χαρακτήρα” – Έννοια των “αποδεκτών” – Διαχρονική εφαρμογή»

Στην υπόθεση C‑579/21,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Itä-Suomen hallinto-oikeus (διοικητικό πρωτοδικείο Ανατολικής Φινλανδίας, Φινλανδία) με απόφαση της 21ης Σεπτεμβρίου 2021, η οποία περιήλθε στο Δικαστήριο στις 22 Σεπτεμβρίου 2021, στο πλαίσιο της ένδικης διαδικασίας που κίνησε ο

J.M.

παρισταμένων των:

Apulaistietosuojavaltuutettu,

Pankki S,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (πρώτο τμήμα),

συγκείμενο από τους A. Arabadjiev, πρόεδρο τμήματος, P. G. Xuereb, T. von Danwitz, A. Kumin και I. Ziemele (εισηγήτρια), δικαστές,

γενικός εισαγγελέας: M. Campos Sánchez‑Bordona

γραμματέας: C. Strömholm, διοικητική υπάλληλος,

έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 12ης Οκτωβρίου 2022,

λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:

–        ο J.M., αυτοπροσώπως,

–        ο Apulaistietosuojavaltuutettu, εκπροσωπούμενος από την A. Talus, tietosuojavaltuutettu,

–        η Pankki S, εκπροσωπούμενη από τους T. Kalliokoski και J. Lång, asianajajat, καθώς και από την E.‑L. Hokkonen, oikeustieteen maisteri,

–        η Φινλανδική Κυβέρνηση, εκπροσωπούμενη από τις A. Laine και H. Leppo,

–        η Τσεχική Κυβέρνηση, εκπροσωπούμενη από την A. Edelmannová, τον M. Smolek και τον J. Vláčil,

–        η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από τον A. Posch,

–        η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τον A. Μπουχάγιαρ, τον H. Kranenborg και την I. Söderlund,

αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 15ης Δεκεμβρίου 2022,

εκδίδει την ακόλουθη

Απόφαση

1        Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 15, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2021, L 74, σ. 35, στο εξής: ΓΚΠΔ).

2        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο διαδικασίας την οποία κίνησε ο J.M. με αίτημα την ακύρωση της αποφάσεως του Apulaistietosuojavaltuutettule (αναπληρωτή επόπτη προστασίας δεδομένων, Φινλανδία) με την οποία απορρίφθηκε η αίτησή του να υποχρεωθεί η Pankki S, τραπεζικό ίδρυμα εγκατεστημένο στη Φινλανδία, να του κοινοποιήσει ορισμένες πληροφορίες σχετικές με αναζητήσεις πληροφοριών στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν.

 Το νομικό πλαίσιο

3        Οι αιτιολογικές σκέψεις 4, 10, 11, 26, 39, 58, 60, 63 και 74 του ΓΚΠΔ έχουν ως εξής:

«(4)      Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· […]

[…]

(10)      Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. […]

(11) Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα […]

[…]

(26)      […] Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. […]

[…]

(39)      Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. Ιδίως, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι ρητοί, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. […]

[…]

(58)      Η αρχή της διαφάνειας απαιτεί οποιαδήποτε ενημέρωση που απευθύνεται στο κοινό ή στο υποκείμενο των δεδομένων να είναι συνοπτική, εύκολα προσβάσιμη και εύκολα κατανοητή και να χρησιμοποιείται σαφής και απλή διατύπωση και, επιπλέον, κατά περίπτωση, απεικόνιση. Οι πληροφορίες αυτές θα μπορούσαν να παρέχονται σε ηλεκτρονική μορφή, για παράδειγμα, όταν απευθύνονται στο κοινό, μέσω ιστοσελίδας. Αυτό έχει ιδιαίτερη σημασία σε περιπτώσεις στις οποίες η πληθώρα των συμμετεχόντων και η πολυπλοκότητα των χρησιμοποιούμενων τεχνολογιών καθιστούν δύσκολο για το υποκείμενο των δεδομένων να γνωρίζει και να κατανοεί εάν, από ποιον και για ποιο σκοπό συλλέγονται δεδομένα προσωπικού χαρακτήρα που το αφορούν, όπως στην περίπτωση επιγραμμικής διαφήμισης. Δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας, κάθε ενημέρωση και ανακοίνωση, εάν η επεξεργασία απευθύνεται σε παιδί, θα πρέπει να διατυπώνεται σε σαφή και απλή γλώσσα την οποία το παιδί να μπορεί να κατανοεί εύκολα.

[…]

(60)      Οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβάνοντας υπόψη τις ειδικές συνθήκες και το πλαίσιο εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. […]

[…]

(63)      Ένα υποκείμενο των δεδομένων θα πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας. […] Επομένως, κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του ανακοινώνεται ιδίως για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εφόσον είναι δυνατόν για πόσο διάστημα γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ποιοι αποδέκτες λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα, ποια λογική ακολουθείται στην τυχόν αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα και ποιες θα μπορούσαν να είναι οι συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον όταν αυτή βασίζεται σε κατάρτιση προφίλ. […] Το δικαίωμα αυτό δεν θα πρέπει να επηρεάζει αρνητικά τα δικαιώματα ή τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα διανοητικής ιδιοκτησίας και, ειδικότερα, το δικαίωμα δημιουργού που προστατεύει το λογισμικό. […]

[…]

(74)      Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να υλοποιεί κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.»

4        Το άρθρο 1 του ΓΚΠΔ, το οποίο επιγράφεται «Αντικείμενο και στόχοι», ορίζει στην παράγραφο 2 τα εξής:

«Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.»

5        Το άρθρο 4 του κανονισμού προβλέπει τα εξής:

«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

1)      “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο […]· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

2)      “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

[…]

7)      “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· […]

[…]

9)      “αποδέκτης”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. […]

[…]

21)      “εποπτική αρχή”: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51,

[…]».

6        Το άρθρο 5 του εν λόγω κανονισμού, με τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», έχει ως εξής:

«1.      Τα δεδομένα προσωπικού χαρακτήρα:

α)      υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (“νομιμότητα, αντικειμενικότητα και διαφάνεια”)·

[…]

στ)      υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (“ακεραιότητα και εμπιστευτικότητα”).

2.      Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»

7        Το άρθρο 12 του ΓΚΠΔ, το οποίο επιγράφεται «Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων», ορίζει τα εξής:

«1.      Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, […]. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. […]

[…]

5.      […] Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:

[…]

β)      να αρνηθεί να δώσει συνέχεια στο αίτημα.

Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

[…]»

8        Το άρθρο 15 του ΓΚΠΔ, που επιγράφεται «Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων», ορίζει τα εξής:

«1.      Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

α)      τους σκοπούς της επεξεργασίας,

β)      τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,

γ)      τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς,

δ)      εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,

ε)      την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,

στ)      το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,

ζ)      όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,

η)      την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

[…]

3.      Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. […]

4.      Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.»

9        Τα άρθρα 16 και 17 του εν λόγω κανονισμού κατοχυρώνουν, αντιστοίχως, το δικαίωμα του υποκειμένου των δεδομένων να ζητήσει τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα (δικαίωμα διόρθωσης), καθώς και το δικαίωμα, σε ορισμένες περιπτώσεις, διαγραφής των δεδομένων αυτών (δικαίωμα διαγραφής ή «δικαίωμα στη λήθη»).

10      Το άρθρο 18 του ΓΚΠΔ, το οποίο επιγράφεται «Δικαίωμα περιορισμού της επεξεργασίας», ορίζει στην παράγραφο 1 τα εξής:

«Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

α)      η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,

β)      η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους,

γ)      ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά [είναι απαραίτητα στο] υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,

δ)      το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.»

11      Το άρθρο 21 του ΓΚΠΔ, το οποίο επιγράφεται «Δικαίωμα εναντίωσης», προβλέπει στην παράγραφο 1 τα εξής:

«Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.»

12      Κατά το άρθρο 24, παράγραφος 1, του ΓΚΠΔ:

«Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. […]»

13      Το άρθρο 29 του ΓΚΠΔ, το οποίο επιγράφεται «Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία», έχει ως εξής:

«Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.»

14      Το άρθρο 30 του ΓΚΠΔ, το οποίο επιγράφεται «Αρχεία των δραστηριοτήτων επεξεργασίας», προβλέπει τα εξής:

«1.      Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. […]

[…]

4.      Ο υπεύθυνος επεξεργασίας […] και, κατά περίπτωση, ο εκπρόσωπoς του υπευθύνου επεξεργασίας […] θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.

[…]»

15      Το άρθρο 58 του ΓΚΠΔ, το οποίο επιγράφεται «Εξουσίες», ορίζει στην παράγραφο 1 τα εξής:

«Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:

α)      να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,

[…]».

16      Το άρθρο 77 του ΓΚΠΔ, με τίτλο «Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή», προβλέπει τα εξής:

«1.      Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό.

2.      Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της καταγγελίας, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 78.»

17      Το άρθρο 79 του ΓΚΠΔ, το οποίο επιγράφεται «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία», προβλέπει στην παράγραφο 1 τα εξής:

«Με την επιφύλαξη κάθε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρθρου 77, έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος κανονισμού.»

18      Το άρθρο 82 του ΓΚΠΔ, το οποίο επιγράφεται «Δικαίωμα αποζημίωσης και ευθύνη», προβλέπει στην παράγραφο 1 τα εξής:

«Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.»

19      Δυνάμει του άρθρου του 99, παράγραφος 2, ο ΓΚΠΔ ετέθη σε εφαρμογή από τις 25 Μαΐου 2018.

 Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

20      Το 2014, ο J.M., τότε υπάλληλος και πελάτης της Pankki S, πληροφορήθηκε ότι μέλη του προσωπικού της τράπεζας είχαν επανειλημμένως αναζητήσει πληροφορίες στα δικά του δεδομένα ως πελάτη της τράπεζας κατά το χρονικό διάστημα μεταξύ 1ης Νοεμβρίου και 31ης Δεκεμβρίου 2013.

21      Έχοντας αμφιβολίες ως προς τη νομιμότητα των εν λόγω αναζητήσεων πληροφοριών, ο J.M., ο οποίος, εν τω μεταξύ, είχε απολυθεί από την Pankki S, ζήτησε, στις 29 Μαΐου 2018, από την τελευταία να του γνωστοποιήσει την ταυτότητα των προσώπων που είχαν προβεί σε αναζητήσεις στα δεδομένα του ως πελάτη, τις ακριβείς ημερομηνίες των αναζητήσεων καθώς και τους σκοπούς της επεξεργασίας των εν λόγω δεδομένων.

22      Με την από 30 Αυγούστου 2018 απάντησή της, η Pankki S, υπό την ιδιότητα του υπευθύνου επεξεργασίας κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ, αρνήθηκε να γνωστοποιήσει την ταυτότητα των υπαλλήλων οι οποίοι προέβησαν στις αναζητήσεις, με την αιτιολογία ότι οι πληροφορίες αυτές αποτελούσαν δεδομένα προσωπικού χαρακτήρα των εν λόγω υπαλλήλων.

23      Ωστόσο, με την ίδια απάντηση, η Pankki S παρέσχε ορισμένες διευκρινίσεις σχετικά με τις αναζητήσεις στις οποίες είχε προβεί, βάσει των υποδείξεών της, η υπηρεσία της εσωτερικού ελέγχου. Συνακόλουθα, διευκρίνισε ότι πελάτης της τράπεζας του οποίου σύμβουλος πελατείας ήταν ο J.M. ήταν πιστωτής προσώπου το οποίο έφερε επίσης το επώνυμο του J.M., οπότε είχε θελήσει να διευκρινίσει αν ο προσφεύγων της κύριας δίκης και ο εν λόγω οφειλέτης ήταν ένα και το αυτό πρόσωπο και αν υπήρχε ενδεχομένως αθέμιτη κατάσταση συγκρούσεως συμφερόντων. Η Pankki S προσέθεσε ότι η αποσαφήνιση του συγκεκριμένου ζητήματος απαιτούσε να υποβληθούν σε επεξεργασία τα δεδομένα του J.M. και ότι κάθε μέλος του προσωπικού της τράπεζας το οποίο είχε επεξεργασθεί τα εν λόγω δεδομένα είχε υποβάλει, ενώπιον της υπηρεσίας εσωτερικού ελέγχου, δήλωση αναφορικά με τους λόγους της συγκεκριμένης επεξεργασίας των δεδομένων. Επιπλέον, η τράπεζα δήλωσε ότι χάρη στις εν λόγω αναζητήσεις πληροφοριών είχε εξαλειφθεί κάθε υπόνοια συγκρούσεως συμφερόντων όσον αφορά τον J.M.

24      Ο J.M. απευθύνθηκε στο Tietosuojavaltuutetun toimisto (γραφείο του επόπτη προστασίας δεδομένων, Φινλανδία), την εποπτική αρχή κατά την έννοια του άρθρου 4, σημείο 21, του ΓΚΠΔ, με αίτημα να υποχρεωθεί η Pankki S να του διαβιβάσει τις πληροφορίες που είχε ζητήσει.

25      Με απόφαση της 4ης Αυγούστου 2020, ο αναπληρωτής επόπτης προστασίας δεδομένων απέρριψε την αίτηση του J.M. Διευκρίνισε ότι σκοπός της αιτήσεως ήταν να επιτραπεί στον J.M. η πρόσβαση στα αρχεία καταγραφής ενεργειών των υπαλλήλων οι οποίοι είχαν επεξεργασθεί τα δεδομένα του, ενώ, σύμφωνα με την πρακτική του κατά τη λήψη αποφάσεων, τα αρχεία αυτά αποτελούν δεδομένα προσωπικού χαρακτήρα τα οποία δεν αφορούν το υποκείμενο των δεδομένων, αλλά τους υπαλλήλους οι οποίοι επεξεργάσθηκαν τα δεδομένα του.

26      Ο J.M. άσκησε προσφυγή κατά της αποφάσεως ενώπιον του αιτούντος δικαστηρίου.

27      Το αιτούν δικαστήριο υπενθυμίζει ότι το άρθρο 15 του ΓΚΠΔ προβλέπει το δικαίωμα του υποκειμένου των δεδομένων να του παρασχεθούν από τον υπεύθυνο επεξεργασίας, αφενός, πρόσβαση στα δεδομένα τα οποία υποβλήθηκαν σε επεξεργασία και το αφορούν καθώς και, αφετέρου, οι πληροφορίες οι οποίες αφορούν, μεταξύ άλλων, τους σκοπούς της επεξεργασίας και τους αποδέκτες των δεδομένων. Το αιτούν δικαστήριο διερωτάται αν η κοινοποίηση των αρχείων καταγραφής ενεργειών που δημιουργούνται επ’ ευκαιρία των πράξεων επεξεργασίας και περιέχουν τέτοιες πληροφορίες, ιδίως την ταυτότητα των υπαλλήλων του υπευθύνου επεξεργασίας, καλύπτεται από το άρθρο 15 του ΓΚΠΔ, δεδομένου ότι τα εν λόγω αρχεία ενδέχεται να αποδειχθούν αναγκαία για το υποκείμενο των δεδομένων προκειμένου να εκτιμήσει τη νομιμότητα της επεξεργασίας στην οποία υποβλήθηκαν τα δεδομένα του.

28      Υπό τις συνθήκες αυτές, το Itä-Suomen hallinto-oikeus (διοικητικό πρωτοδικείο Ανατολικής Φινλανδίας, Φινλανδία) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1)      Έχει το δικαίωμα πρόσβασης που παρέχει στο υποκείμενο των δεδομένων το άρθρο 15, παράγραφος 1, του [ΓΚΠΔ], σε συνδυασμό με τον όρο “δεδομένα προσωπικού χαρακτήρα” κατά το άρθρο 4, σημείο 1, του εν λόγω κανονισμού, την έννοια ότι οι πληροφορίες που συλλέγονται από τον υπεύθυνο επεξεργασίας, από τις οποίες προκύπτει ποιος επεξεργάσθηκε τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων, πότε τα επεξεργάσθηκε και για ποιον σκοπό, δεν αποτελούν πληροφορίες στις οποίες έχει δικαίωμα πρόσβασης το υποκείμενο των δεδομένων, ιδίως επειδή πρόκειται για δεδομένα που αφορούν εργαζομένους του υπεύθυνου επεξεργασίας;

2)      Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα και εφόσον κριθεί κατά συνέπεια ότι το υποκείμενο των δεδομένων δεν έχει δικαίωμα πρόσβασης βάσει του άρθρου 15, παράγραφος 1, του [ΓΚΠΔ] στις προαναφερθείσες πληροφορίες, επειδή δεν αποτελούν “δεδομένα προσωπικού χαρακτήρα” αυτού σύμφωνα με το άρθρο 4, σημείο 1, του [ΓΚΠΔ], πρέπει, εν προκειμένω, να ληφθούν επίσης υπόψη οι πληροφορίες στις οποίες το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σύμφωνα με το άρθρο 15, παράγραφος 1, στοιχεία [αʹ έως ηʹ], του εν λόγω κανονισμού:

α)      Πώς πρέπει να ερμηνευθεί ο σκοπός της επεξεργασίας κατά την έννοια του άρθρου 15, παράγραφος 1, στοιχείο αʹ, του [ΓΚΠΔ] λαμβανομένης υπόψη της εκτάσεως του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων, μπορεί δηλαδή ο σκοπός της επεξεργασίας να δικαιολογήσει δικαίωμα πρόσβασης στα δεδομένα του αρχείου καταγραφής ενεργειών των χρηστών, τα οποία έχουν συλλεγεί από τον υπεύθυνο επεξεργασίας, όπως για παράδειγμα σε πληροφορίες σχετικές με δεδομένα προσωπικού χαρακτήρα εκείνων που προβαίνουν στην επεξεργασία, το χρονικό σημείο καθώς και τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα;

β)      Μπορούν τα πρόσωπα που έχουν επεξεργασθεί τα δεδομένα του J.M. ως πελάτη της τράπεζας να θεωρηθούν στο πλαίσιο αυτό, βάσει ορισμένων κριτηρίων, ως αποδέκτες των δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του [ΓΚΠΔ], για τους οποίους το υποκείμενο των δεδομένων θα δικαιούτο να λάβει πληροφορίες;

3)      Έχει σημασία στο πλαίσιο της διαφοράς το αν πρόκειται για τράπεζα η οποία ασκεί νομοθετικά ρυθμιζόμενη δραστηριότητα, ή το γεγονός ότι ο J.M. ήταν ταυτόχρονα υπάλληλος και πελάτης της;

4)      Έχει σημασία για την εκτίμηση των ανωτέρω υποβληθέντων ερωτημάτων το γεγονός ότι τα δεδομένα του J.M. είχαν υποστεί επεξεργασία πριν από την έναρξη ισχύος του [ΓΚΠΔ];»

 Επί των προδικαστικών ερωτημάτων

 Επί του τέταρτου προδικαστικού ερωτήματος

29      Με το τέταρτο προδικαστικό ερώτημα, το οποίο πρέπει να εξετασθεί ευθύς εξαρχής, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 15 του ΓΚΠΔ, ερμηνευόμενο υπό το πρίσμα του άρθρου 99, παράγραφος 2, του ΓΚΠΔ, έχει εφαρμογή σε αίτηση προσβάσεως στις πληροφορίες που εμπίπτουν στην πρώτη από τις ανωτέρω διατάξεις οσάκις οι πράξεις επεξεργασίας τις οποίες αφορά η αίτηση πραγματοποιήθηκαν μεν πριν από την ημερομηνία θέσεως του εν λόγω κανονισμού σε εφαρμογή, αλλά η αίτηση υποβλήθηκε μετά την ημερομηνία αυτή.

30      Προκειμένου να δοθεί απάντηση στο ερώτημα αυτό, επισημαίνεται ότι, δυνάμει του άρθρου του 99, παράγραφος 2, ο ΓΚΠΔ τέθηκε σε εφαρμογή από τις 25 Μαΐου 2018.

31      Εν προκειμένω, από την απόφαση περί παραπομπής προκύπτει ότι οι επίμαχες στην κύρια δίκη πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα πραγματοποιήθηκαν μεταξύ 1ης Νοεμβρίου 2013 και 31ης Δεκεμβρίου 2013, ήτοι πριν από την ημερομηνία ενάρξεως εφαρμογής του ΓΚΠΔ. Εντούτοις, από την απόφαση περί παραπομπής προκύπτει επίσης ότι ο J.M. υπέβαλε την αίτησή του παροχής πληροφοριών στην Pankki S μετά την ημερομηνία αυτή, ήτοι στις 29 Μαΐου 2018.

32      Συναφώς, υπενθυμίζεται ότι οι διαδικαστικοί κανόνες εφαρμόζονται γενικώς κατά την ημερομηνία ενάρξεως της ισχύος τους, σε αντίθεση με τους ουσιαστικούς κανόνες οι οποίοι συνήθως ερμηνεύονται υπό την έννοια ότι δεν αφορούν τις καταστάσεις οι οποίες προέκυψαν και διαμορφώθηκαν οριστικώς πριν από την έναρξη της ισχύος τους παρά μόνον στον βαθμό που προκύπτει σαφώς από το γράμμα τους, τον σκοπό τους ή την όλη οικονομία τους ότι πρέπει να παράγουν τέτοια αποτελέσματα (απόφαση της 15ης Ιουνίου 2021, Facebook Ireland κ.λπ., C‑645/19, EU:C:2021:483, σκέψη 100 και εκεί μνημονευόμενη νομολογία).

33      Εν προκειμένω, από την απόφαση περί παραπομπής προκύπτει ότι το αίτημα του J.M. να του κοινοποιηθούν οι επίμαχες στην κύρια δίκη πληροφορίες συνδέεται με το άρθρο 15, παράγραφος 1, του ΓΚΠΔ, το οποίο προβλέπει το δικαίωμα του υποκειμένου των δεδομένων να αποκτήσει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία αποτελούν αντικείμενο επεξεργασίας, καθώς και στις πληροφορίες οι οποίες αναφέρονται στη διάταξη αυτή.

34      Επιβάλλεται η διαπίστωση ότι η ως άνω διάταξη δεν αφορά τις προϋποθέσεις νομιμότητας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων. Πράγματι, το άρθρο 15, παράγραφος 1, του ΓΚΠΔ απλώς διευκρινίζει την έκταση του δικαιώματος προσβάσεως του εν λόγω προσώπου στα δεδομένα και τις πληροφορίες που αυτό αφορά.

35      Επομένως, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 33 των προτάσεών του, το άρθρο 15, παράγραφος 1, του ΓΚΠΔ παρέχει στα υποκείμενα των δεδομένων δικαίωμα διαδικαστικής φύσεως για τη λήψη πληροφοριών σχετικά με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα. Ως διαδικαστικός κανόνας, η ανωτέρω διάταξη εφαρμόζεται στις αιτήσεις προσβάσεως που υποβάλλονται από την έναρξη εφαρμογής του κανονισμού αυτού, όπως η αίτηση του J.M.

36      Υπό τις συνθήκες αυτές, στο τέταρτο προδικαστικό ερώτημα προσήκει η απάντηση ότι το άρθρο 15 του ΓΚΠΔ, ερμηνευόμενο υπό το πρίσμα του άρθρου 99, παράγραφος 2, του ΓΚΠΔ, έχει την έννοια ότι εφαρμόζεται σε αίτηση προσβάσεως στις πληροφορίες οι οποίες αναφέρονται στη διάταξη αυτή οσάκις οι πράξεις επεξεργασίας τις οποίες αφορά η αίτηση είχαν πραγματοποιηθεί μεν πριν από την ημερομηνία ενάρξεως εφαρμογής του εν λόγω κανονισμού, αλλά η αίτηση υποβλήθηκε μετά την ανωτέρω ημερομηνία.

 Επί του πρώτου και του δευτέρου προδικαστικού ερωτήματος

37      Με το πρώτο και το δεύτερο προδικαστικό ερώτημα, τα οποία πρέπει να εξετασθούν από κοινού, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν το άρθρο 15, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι οι πληροφορίες σχετικά με αναζητήσεις στα δεδομένα προσωπικού χαρακτήρα ενός προσώπου, οι οποίες αφορούν τις ημερομηνίες και τους σκοπούς των εν λόγω αναζητήσεων, καθώς και την ταυτότητα των φυσικών προσώπων που προέβησαν στις αναζητήσεις, συνιστούν πληροφορίες τις οποίες το εν λόγω πρόσωπο δικαιούται να λάβει από τον υπεύθυνο επεξεργασίας δυνάμει της ανωτέρω διατάξεως.

38      Προκαταρκτικώς, υπενθυμίζεται ότι, κατά πάγια νομολογία, για την ερμηνεία διατάξεως του δικαίου της Ένωσης πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο αυτή εντάσσεται, καθώς και οι σκοποί που επιδιώκονται με την πράξη της οποίας αποτελεί μέρος [απόφαση της 12ης Ιανουάριου 2023, Österreichische Post (Πληροφορίες σχετικά με τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα), C‑154/21, EU:C:2023:3, σκέψη 29].

39      Όσον αφορά, κατ’ αρχάς, το γράμμα του άρθρου 15, παράγραφος 1, του ΓΚΠΔ, υπενθυμίζεται ότι η διάταξη αυτή προβλέπει ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα προσβάσεως στα εν λόγω δεδομένα προσωπικού χαρακτήρα καθώς και στις πληροφορίες σχετικά, μεταξύ άλλων, με τους σκοπούς της επεξεργασίας και με τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα.

40      Συναφώς, πρέπει να υπογραμμισθεί ότι οι έννοιες που διαλαμβάνονται στο άρθρο 15, παράγραφος 1, του ΓΚΠΔ ορίζονται στο άρθρο 4 του κανονισμού.

41      Συγκεκριμένα, κατά πρώτον, το άρθρο 4, σημείο 1, του ΓΚΠΔ ορίζει τα δεδομένα προσωπικού χαρακτήρα ως «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο» και διευκρινίζει ότι «το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας, ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».

42      Η χρήση της φράσεως «κάθε πληροφορία» στο πλαίσιο του ορισμού της εννοίας των «δεδομένων προσωπικού χαρακτήρα» στην ανωτέρω διάταξη αντικατοπτρίζει τον σκοπό του νομοθέτη της Ένωσης να ορίσει ευρέως την έννοια αυτή, η οποία δυνητικά καλύπτει κάθε είδος πληροφοριών, τόσο αντικειμενικών όσο και υποκειμενικών, με τη μορφή γνώμης ή εκτιμήσεως, υπό την προϋπόθεση ότι οι πληροφορίες αυτές «αφορούν» το συγκεκριμένο πρόσωπο (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 23).

43      Συναφώς, έχει κριθεί ότι η πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο όταν, λόγω του περιεχομένου της, του σκοπού της ή του αποτελέσματός της, συνδέεται με ταυτοποιήσιμο πρόσωπο (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 24).

44      Όσον αφορά τον χαρακτηρισμό προσώπου ως «ταυτοποιήσιμου», στην αιτιολογική σκέψη 26 του ΓΚΠΔ διευκρινίζεται ότι πρέπει να λαμβάνονται υπόψη «όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου».

45      Εντεύθεν συνάγεται ότι η ευρεία ερμηνεία της εννοίας των «δεδομένων προσωπικού χαρακτήρα» δεν καλύπτει μόνον τα δεδομένα που συλλέγονται και διατηρούνται από τον υπεύθυνο επεξεργασίας, αλλά περιλαμβάνει επίσης όλες τις πληροφορίες που προκύπτουν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο (πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 26).

46      Κατά δεύτερον, όσον αφορά την έννοια της «επεξεργασίας», όπως ορίζεται στο άρθρο 4, σημείο 2, του ΓΚΠΔ, διαπιστώνεται ότι, με τη χρήση της φράσεως «κάθε πράξη», ο νομοθέτης της Ένωσης θέλησε να προσδώσει στην έννοια αυτή ευρύ περιεχόμενο, χρησιμοποιώντας μη εξαντλητική απαρίθμηση των πράξεων που διενεργούνται σε δεδομένα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, οι οποίες καλύπτουν, μεταξύ άλλων, τη συλλογή, την καταχώριση, την αποθήκευση ή την αναζήτηση πληροφοριών (πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 27).

47      Κατά τρίτον, το άρθρο 4, σημείο 9, του ΓΚΠΔ διευκρινίζει ότι ως «αποδέκτης» νοείται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι».

48      Συναφώς, το Δικαστήριο έχει κρίνει ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας πληροφορίες σχετικά με τους συγκεκριμένους αποδέκτες στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν [απόφαση της 12ης Ιανουαρίου 2023, Österreichische Post (Πληροφορίες σχετικά με τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα), C‑154/21, EU:C:2023:3, σκέψη 46].

49      Ως εκ τούτου, από τη γραμματική ανάλυση του άρθρου 15, παράγραφος 1, του ΓΚΠΔ και των εννοιών που αυτό περιλαμβάνει προκύπτει ότι το δικαίωμα προσβάσεως που αναγνωρίζει η διάταξη αυτή στο υποκείμενο των δεδομένων χαρακτηρίζεται από το ευρύ περιεχόμενο των πληροφοριών τις οποίες ο υπεύθυνος επεξεργασίας των δεδομένων πρέπει να παρέχει στο υποκείμενο των δεδομένων.

50      Όσον αφορά, εν συνεχεία, το πλαίσιο στο οποίο εντάσσεται το άρθρο 15, παράγραφος 1, του ΓΚΠΔ, υπενθυμίζεται, κατά πρώτον, ότι η αιτιολογική σκέψη 63 του ΓΚΠΔ προβλέπει ότι κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του ανακοινώνεται, ιδίως, για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εφόσον είναι δυνατόν για πόσο διάστημα γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα και ποιοι αποδέκτες λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα.

51      Κατά δεύτερον, η αιτιολογική σκέψη 60 του ΓΚΠΔ αναφέρει ότι οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξεως επεξεργασίας και τους σκοπούς της, ενώ τονίζεται ότι ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβάνοντας υπόψη τις ειδικές συνθήκες και το πλαίσιο εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Εξάλλου, σύμφωνα με τη μνημονευόμενη από το αιτούν δικαστήριο αρχή της διαφάνειας, στην οποία παραπέμπει η αιτιολογική σκέψη 58 του ΓΚΠΔ και η οποία κατοχυρώνεται ρητώς στο άρθρο του 12, παράγραφος 1, οποιαδήποτε ενημέρωση που απευθύνεται στο υποκείμενο των δεδομένων πρέπει να είναι συνοπτική, εύκολα προσβάσιμη και εύκολα κατανοητή και να έχει σαφή και απλή διατύπωση.

52      Συναφώς, το άρθρο 12, παράγραφος 1, του ΓΚΠΔ διευκρινίζει ότι οι πληροφορίες πρέπει να παρέχονται από τον υπεύθυνο επεξεργασίας γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς, εκτός εάν το υποκείμενο των δεδομένων ζητήσει να του παρασχεθούν προφορικά. Σκοπός της προμνησθείσας διατάξεως, η οποία αποτελεί έκφραση της αρχής της διαφάνειας, είναι να διασφαλίζεται ότι το υποκείμενο των δεδομένων είναι σε θέση να κατανοεί πλήρως τις πληροφορίες που του διαβιβάζονται (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 38 και εκεί μνημονευόμενη νομολογία).

53      Από την προηγηθείσα συστηματική ανάλυση προκύπτει ότι το άρθρο 15, παράγραφος 1, του ΓΚΠΔ αποτελεί μία από τις διατάξεις που αποσκοπούν στη διασφάλιση της διαφάνειας των τρόπων επεξεργασίας των δεδομένων προσωπικού χαρακτήρα έναντι του υποκειμένου των δεδομένων.

54      Τέλος, η ανωτέρω ερμηνεία της εκτάσεως του δικαιώματος προσβάσεως που προβλέπεται στο άρθρο 15, παράγραφος 1, του ΓΚΠΔ επιρρωννύεται από τους σκοπούς που επιδιώκει ο ανωτέρω κανονισμός.

55      Πράγματι, πρώτον, ο κανονισμός αυτός έχει ως σκοπό, όπως αναφέρεται στις αιτιολογικές σκέψεις 10 και 11, να διασφαλίσει ένα συνεκτικό και υψηλό επίπεδο προστασίας των φυσικών προσώπων εντός της Ένωσης, καθώς και να ενισχύσει και να καθορίσει λεπτομερώς τα δικαιώματα των υποκειμένων των δεδομένων.

56      Επιπλέον, όπως προκύπτει από την αιτιολογική σκέψη 63 του ΓΚΠΔ, το δικαίωμα προσβάσεως ενός προσώπου στα δικά του δεδομένα προσωπικού χαρακτήρα και στις λοιπές πληροφορίες που αναφέρονται στο άρθρο 15, παράγραφος 1, του ΓΚΠΔ έχει ως σκοπό, κατ’ αρχάς, να παράσχει στο υποκείμενο των δεδομένων τη δυνατότητα να λάβει γνώση της επεξεργασίας και να ελέγξει τη νομιμότητά της. Επομένως, κατά την ίδια αιτιολογική σκέψη και όπως επισημάνθηκε στη σκέψη 50 της παρούσας αποφάσεως, κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του ανακοινώνονται ιδίως οι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, ει δυνατόν η διάρκεια της επεξεργασίας, η ταυτότητα των αποδεκτών των δεδομένων αυτών, καθώς και η λογική στην οποία στηρίζεται η επεξεργασία τους.

57      Συναφώς, υπενθυμίζεται, δεύτερον, ότι το Δικαστήριο έχει κρίνει ότι το δικαίωμα προσβάσεως που προβλέπεται στο άρθρο 15 του ΓΚΠΔ πρέπει να παρέχει στο υποκείμενο των δεδομένων τη δυνατότητα να βεβαιώνεται ότι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν είναι ακριβή και ότι η επεξεργασία τους γίνεται με νόμιμο τρόπο (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 34).

58      Ειδικότερα, το δικαίωμα προσβάσεως είναι αναγκαίο προκειμένου το υποκείμενο των δεδομένων να μπορεί να ασκήσει, ενδεχομένως, το δικαίωμά του διορθώσεως, το δικαίωμά του διαγραφής των δεδομένων («δικαίωμα στη λήθη») και το δικαίωμά του περιορισμού της επεξεργασίας, τα οποία του αναγνωρίζονται, αντιστοίχως, από τα άρθρα 16 έως 18 του ΓΚΠΔ, το δικαίωμά του να αντιταχθεί στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, το οποίο προβλέπεται στο άρθρο 21 του ΓΚΠΔ, καθώς και το δικαίωμά του να ασκήσει αγωγή σε περίπτωση ζημίας, το οποίο προβλέπεται στα άρθρα 79 και 82 του ΓΚΠΔ (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 35 και εκεί μνημονευόμενη νομολογία).

59      Ως εκ τούτου, το άρθρο 15, παράγραφος 1, του ΓΚΠΔ αποτελεί μία από τις διατάξεις που αποσκοπούν στη διασφάλιση της διαφάνειας των τρόπων επεξεργασίας των δεδομένων προσωπικού χαρακτήρα έναντι του υποκειμένου των δεδομένων [απόφαση της 12ης Ιανουαρίου 2023, Österreichische Post (Πληροφορίες σχετικά με τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα), C‑154/21, EU:C:2023:3, σκέψη 42], διαφάνειας χωρίς την οποία το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να εκτιμήσει τη νομιμότητα της επεξεργασίας των δεδομένων του και να ασκήσει τις προνομίες που προβλέπονται, μεταξύ άλλων, στα άρθρα 16 έως 18, 21, 79 και 82 του ΓΚΠΔ.

60      Εν προκειμένω, από την απόφαση περί παραπομπής προκύπτει ότι ο J.M. ζήτησε από την Pankki S να του γνωστοποιήσει ορισμένες πληροφορίες σχετικά με τις αναζητήσεις που αφορούσαν τα προσωπικά του δεδομένα μεταξύ 1ης Νοεμβρίου 2013 και 31ης Δεκεμβρίου 2013, πληροφορίες σχετικά με τις ημερομηνίες των εν λόγω αναζητήσεων, τους σκοπούς τους και την ταυτότητα των προσώπων που πραγματοποίησαν τις εν λόγω αναζητήσεις. Το αιτούν δικαστήριο επισημαίνει ότι με τη διαβίβαση των αρχείων καταγραφής ενεργειών που δημιουργήθηκαν επ’ ευκαιρία των εν λόγω αναζητήσεων θα μπορούσε να ικανοποιηθεί το αίτημα του J.M.

61      Εν προκειμένω, δεν αμφισβητείται ότι οι αναζητήσεις πληροφοριών που πραγματοποιήθηκαν στα δεδομένα προσωπικού χαρακτήρα του προσφεύγοντος της κύριας δίκης συνιστούν «επεξεργασία», κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, με αποτέλεσμα να του παρέχουν, δυνάμει του άρθρου 15, παράγραφος 1, του κανονισμού, όχι μόνον δικαίωμα προσβάσεως στα εν λόγω δεδομένα προσωπικού χαρακτήρα, αλλά και δικαίωμα να του κοινοποιούνται οι πληροφορίες που σχετίζονται με τις εν λόγω αναζητήσεις, όπως οι πληροφορίες αυτές μνημονεύονται στην τελευταία διάταξη.

62      Όσον αφορά τις πληροφορίες όπως είναι αυτές τις οποίες ζήτησε ο J.M., η γνωστοποίηση, κατ’ αρχάς, των ημερομηνιών των αναζητήσεων μπορεί να παράσχει στο υποκείμενο των δεδομένων τη δυνατότητα να λάβει την επιβεβαίωση ότι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν αποτέλεσαν πράγματι αντικείμενο επεξεργασίας σε δεδομένη χρονική στιγμή. Επιπλέον, δεδομένου ότι οι προϋποθέσεις νομιμότητας που προβλέπονται στα άρθρα 5 και 6 του ΓΚΠΔ πρέπει να πληρούνται κατά τον χρόνο της επεξεργασίας, η ημερομηνία της επεξεργασίας συνιστά στοιχείο βάσει του οποίου μπορεί να εξακριβωθεί η νομιμότητα της επεξεργασίας. Εν συνεχεία, επισημαίνεται ότι η ενημέρωση σχετικά με τους σκοπούς της επεξεργασίας μνημονεύεται ρητώς στο άρθρο 15, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ. Τέλος, το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ προβλέπει ότι ο υπεύθυνος της επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους αποδέκτες στους οποίους κοινολογήθηκαν τα δεδομένα του.

63      Όσον αφορά, ειδικότερα, τη γνωστοποίηση του συνόλου των πληροφοριών αυτών μέσω της παροχής αρχείων καταγραφής ενεργειών σχετικών με τις επίμαχες στην κύρια δίκη πράξεις επεξεργασίας, επισημαίνεται ότι το άρθρο 15, παράγραφος 3, πρώτη περίοδος, του ΓΚΠΔ ορίζει ότι ο υπεύθυνος επεξεργασίας «παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία».

64      Συναφώς, το Δικαστήριο έχει κρίνει ότι η ως άνω χρησιμοποιούμενη έννοια του «αντιγράφου» δηλώνει την αναπαραγωγή ή την πιστή μεταγραφή ενός πρωτοτύπου, οπότε μια αμιγώς γενική περιγραφή των δεδομένων που αποτελούν αντικείμενο επεξεργασίας ή η παραπομπή σε κατηγορίες δεδομένων προσωπικού χαρακτήρα δεν αντιστοιχεί στον ορισμό αυτόν. Επιπλέον, από το γράμμα του άρθρου 15, παράγραφος 3, πρώτη περίοδος, του ΓΚΠΔ προκύπτει ότι η υποχρέωση γνωστοποιήσεως συνδέεται με τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται στην επίμαχη επεξεργασία (πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 21).

65      Το αντίγραφο το οποίο ο υπεύθυνος επεξεργασίας οφείλει να παράσχει πρέπει να περιέχει όλα τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, να έχει όλα τα χαρακτηριστικά που επιτρέπουν στο υποκείμενο των δεδομένων να ασκήσει αποτελεσματικά τα δικαιώματά του βάσει του εν λόγω κανονισμού και πρέπει, κατά συνέπεια, να αναπαράγει πλήρως και πιστά τα δεδομένα αυτά (πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψεις 32 και 39).

66      Προκειμένου να διασφαλισθεί ότι οι κατ’ αυτόν τον τρόπο παρεχόμενες πληροφορίες είναι ευχερώς κατανοητές, όπως απαιτεί το άρθρο 12, παράγραφος 1, του ΓΚΠΔ σε συνδυασμό με την αιτιολογική του σκέψη 58, η αναπαραγωγή αποσπασμάτων εγγράφων ή ακόμη και ολόκληρων εγγράφων ή αποσπασμάτων από βάσεις δεδομένων που περιέχουν, μεταξύ άλλων, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία μπορεί να αποδειχθεί απαραίτητη στην περίπτωση που, προκειμένου να εξασφαλισθεί ο εύληπτος χαρακτήρας των δεδομένων, απαιτείται η ένταξή τους σε συγκεκριμένο πλαίσιο. Ειδικότερα, όταν δεδομένα προσωπικού χαρακτήρα παράγονται από άλλα δεδομένα ή όταν τα δεδομένα αυτά προέρχονται από ελεύθερα πεδία, ήτοι σε περίπτωση έλλειψης ενδείξεων που αποκαλύπτουν πληροφορίες σχετικά με το υποκείμενο των δεδομένων, το πλαίσιο εντός του οποίου τα δεδομένα υποβάλλονται σε επεξεργασία αποτελεί απαραίτητο στοιχείο προκειμένου το υποκείμενο των δεδομένων να απολαύει διαφανούς πρόσβασης και εύληπτης παρουσίασης των δεδομένων αυτών (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψεις 41 και 42).

67      Εν προκειμένω, όπως επισήμανε ο γενικός εισαγγελέας στα σημεία 88 έως 90 των προτάσεών του, τα αρχεία καταγραφής ενεργειών, τα οποία περιέχουν τις πληροφορίες τις οποίες ζήτησε ο J.M., αντιστοιχούν σε αρχεία δραστηριοτήτων, κατά την έννοια του άρθρου 30 του ΓΚΠΔ. Πρέπει να θεωρηθεί ότι τα εν λόγω αρχεία εμπίπτουν στα μνημονευόμενα στην αιτιολογική σκέψη 74 του ΓΚΠΔ μέτρα, τα οποία ο υπεύθυνος επεξεργασίας υλοποιεί προς απόδειξη της συμμορφώσεως των δραστηριοτήτων επεξεργασίας με τον εν λόγω κανονισμό. Το άρθρο 30, παράγραφος 4, του ΓΚΠΔ διευκρινίζει ειδικότερα ότι τα αρχεία πρέπει να τίθενται στη διάθεση της εποπτικής αρχής κατόπιν αιτήματός της.

68      Στο μέτρο που τα εν λόγω αρχεία δραστηριοτήτων δεν περιέχουν πληροφορίες σχετικά με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, κατά την έννοια της νομολογίας που υπομνήσθηκε στις σκέψεις 42 και 43 της παρούσας αποφάσεως, τα αρχεία αυτά παρέχουν απλώς στον υπεύθυνο της επεξεργασίας τη δυνατότητα να εκπληρώσει τις υποχρεώσεις του έναντι της εποπτικής αρχής η οποία ζητεί να της παρασχεθούν τα αρχεία.

69      Όσον αφορά ειδικότερα τα αρχεία καταγραφής ενεργειών του υπευθύνου επεξεργασίας, η κοινοποίηση αντιγράφου των πληροφοριών που περιλαμβάνονται στα αρχεία αυτά μπορεί να αποδειχθεί αναγκαία για την εκπλήρωση της υποχρεώσεως παροχής στο υποκείμενο των δεδομένων προσβάσεως στο σύνολο των πληροφοριών που αναφέρονται στο άρθρο 15, παράγραφος 1, του ΓΚΠΔ και για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, παρέχοντας τοιουτοτρόπως στο υποκείμενο των δεδομένων τη δυνατότητα να ασκήσει πλήρως τα δικαιώματα που αντλεί από τον ανωτέρω κανονισμό.

70      Συγκεκριμένα, πρώτον, τα αρχεία καταγραφής ενεργειών αποκαλύπτουν την ύπαρξη επεξεργασίας των δεδομένων, πληροφορία στην οποία πρέπει να έχει πρόσβαση το υποκείμενο των δεδομένων δυνάμει του άρθρου 15, παράγραφος 1, του ΓΚΠΔ. Επιπλέον, από τα αρχεία καταγραφής ενεργειών προκύπτει η συχνότητα και η έκταση των αναζητήσεων, παρεχομένης τοιουτοτρόπως της δυνατότητας στο υποκείμενο των δεδομένων να βεβαιωθεί ότι η γενόμενη επεξεργασία εξυπηρετεί πράγματι τους σκοπούς τους οποίους προβάλλει ο υπεύθυνος επεξεργασίας.

71      Δεύτερον, τα αρχεία καταγραφής ενεργειών περιέχουν τις πληροφορίες σχετικά με την ταυτότητα των προσώπων που προέβησαν στις αναζητήσεις.

72      Εν προκειμένω, από την απόφαση περί παραπομπής προκύπτει ότι τα πρόσωπα που προέβησαν στις επίμαχες στην κύρια δίκη αναζητήσεις είναι υπάλληλοι της Pankki S οι οποίοι ενήργησαν υπό την εποπτεία της και σύμφωνα με τις υποδείξεις της.

73      Μολονότι από το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ προκύπτει ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να λάβει από τον υπεύθυνο επεξεργασίας τις πληροφορίες σχετικά με τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, εντούτοις οι υπάλληλοι του υπευθύνου επεξεργασίας δεν μπορούν να θεωρηθούν ως «αποδέκτες», κατά την έννοια του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, όπως η έννοια αυτή υπομνήσθηκε στις σκέψεις 47 και 48 της παρούσας αποφάσεως, όταν επεξεργάζονται δεδομένα προσωπικού χαρακτήρα υπό την εποπτεία του εν λόγω υπευθύνου και σύμφωνα με τις υποδείξεις του, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 63 των προτάσεών του.

74      Συναφώς, πρέπει να υπογραμμισθεί ότι, σύμφωνα με το άρθρο 29 του ΓΚΠΔ, κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, μπορεί να επεξεργάζεται τα δεδομένα αυτά μόνον κατ’ εντολήν του εν λόγω υπευθύνου επεξεργασίας.

75      Τούτου λεχθέντος, οι πληροφορίες που περιέχονται στα αρχεία καταγραφής ενεργειών σχετικά με τα πρόσωπα τα οποία προέβησαν σε αναζητήσεις στα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων θα μπορούσαν να συνιστούν πληροφορίες εμπίπτουσες σε αυτές τις οποίες αφορά το άρθρο 4, σημείο 1, του ΓΚΠΔ, όπως μνημονεύονται στη σκέψη 41 της παρούσας αποφάσεως, ικανές να του παράσχουν τη δυνατότητα να ελέγξει τη νομιμότητα της επεξεργασίας στην οποία υποβλήθηκαν τα δεδομένα του και, ιδίως, να βεβαιωθεί ότι οι πράξεις επεξεργασίας διενεργήθηκαν πράγματι υπό την εποπτεία του υπευθύνου επεξεργασίας και σύμφωνα με τις υποδείξεις του.

76      Εντούτοις, πρώτον, από την απόφαση περί παραπομπής προκύπτει ότι οι πληροφορίες που περιλαμβάνονται σε αρχεία καταγραφής ενεργειών όπως τα επίμαχα στην κύρια δίκη καθιστούν δυνατή την ταυτοποίηση των υπαλλήλων οι οποίοι προέβησαν στις πράξεις επεξεργασίας και περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα των εν λόγω υπαλλήλων, κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ.

77      Συναφώς, υπενθυμίζεται ότι, όσον αφορά το δικαίωμα προσβάσεως που προβλέπεται στο άρθρο 15 του ΓΚΠΔ, η αιτιολογική σκέψη 63 του κανονισμού διευκρινίζει ότι «[τ]ο δικαίωμα αυτό δεν θα πρέπει να επηρεάζει αρνητικά τα δικαιώματα ή τις ελευθερίες άλλων».

78      Πράγματι, κατά την αιτιολογική σκέψη 4 του ΓΚΠΔ, το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο, καθότι πρέπει να εκτιμάται σε σχέση με τη λειτουργία την οποία επιτελεί στο κοινωνικό σύνολο και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα (πρβλ. απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C‑311/18, EU:C:2020:559, σκέψη 172).

79      Πάντως, η κοινοποίηση πληροφοριών σχετικά με την ταυτότητα των υπαλλήλων του υπευθύνου επεξεργασίας στο υποκείμενο των δεδομένων το οποίο αφορά η επεξεργασία, ακόμη και αν ήθελε υποτεθεί ότι είναι αναγκαία για το υποκείμενο των δεδομένων προκειμένου να βεβαιωθεί για τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εντούτοις μπορεί να θίξει τα δικαιώματα και τις ελευθερίες των εν λόγω υπαλλήλων.

80      Υπό τις συνθήκες αυτές, σε περίπτωση συγκρούσεως μεταξύ, αφενός, της ασκήσεως δικαιώματος προσβάσεως το οποίο διασφαλίζει την πρακτική αποτελεσματικότητα των δικαιωμάτων που αναγνωρίζονται στο υποκείμενο των δεδομένων από τον ΓΚΠΔ και, αφετέρου, των δικαιωμάτων ή ελευθεριών τρίτων, πρέπει να γίνεται στάθμιση των επίμαχων δικαιωμάτων και ελευθεριών. Οσάκις είναι δυνατόν, θα πρέπει να επιλέγονται τρόποι οι οποίοι να μην προσβάλλουν τα δικαιώματα ή τις ελευθερίες τρίτων, λαμβανομένου, εντούτοις, υπόψη ότι, όπως προκύπτει από την αιτιολογική σκέψη 63 του ΓΚΠΔ, τέτοιοι παράγοντες δεν πρέπει «να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε πληροφορίας στο υποκείμενο των δεδομένων» (πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 44).

81      Ωστόσο, δεύτερον, από την απόφαση περί παραπομπής προκύπτει ότι ο J.M. δεν ζητεί να του κοινοποιηθούν οι πληροφορίες σχετικά με την ταυτότητα των υπαλλήλων της Pankki S οι οποίοι προέβησαν στις αναζητήσεις στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν, για τον λόγο ότι δεν ενήργησαν πράγματι υπό την εποπτεία και σύμφωνα με τις υποδείξεις του υπευθύνου της επεξεργασίας, αλλά φαίνεται να αμφιβάλλει για την ακρίβεια των πληροφοριών σχετικά με τον σκοπό των εν λόγω αναζητήσεων τις οποίες του κοινοποίησε η Pankki S.

82      Υπό τις περιστάσεις αυτές, εάν το υποκείμενο των δεδομένων θεωρήσει ότι οι πληροφορίες τις οποίες του κοινοποίησε ο υπεύθυνος επεξεργασίας δεν επαρκούν για να εξαλείψουν τις αμφιβολίες του ως προς τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν, έχει το δικαίωμα να υποβάλει καταγγελία στην εποπτική αρχή, βάσει του άρθρου 77, παράγραφος 1, του ΓΚΠΔ, η δε εποπτική αρχή έχει την εξουσία, δυνάμει του άρθρου 58, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ, να ζητήσει από τον υπεύθυνο επεξεργασίας να της παράσχει κάθε πληροφορία που χρειάζεται για να εξετάσει την καταγγελία του υποκειμένου των δεδομένων.

83      Από τις ανωτέρω σκέψεις προκύπτει ότι το άρθρο 15, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι οι πληροφορίες σχετικά με αναζητήσεις στα δεδομένα προσωπικού χαρακτήρα ενός προσώπου, οι οποίες αφορούν τις ημερομηνίες και τους σκοπούς των αναζητήσεων, συνιστούν πληροφορίες τις οποίες το εν λόγω πρόσωπο δικαιούται να λάβει από τον υπεύθυνο επεξεργασίας δυνάμει της διατάξεως αυτής. Αντιθέτως, η εν λόγω διάταξη δεν καθιερώνει τέτοιο δικαίωμα όσον αφορά τις πληροφορίες σχετικά με την ταυτότητα των υπαλλήλων του εν λόγω υπευθύνου οι οποίοι προέβησαν στις αναζητήσεις υπό την εποπτεία του και σύμφωνα με τις υποδείξεις του, εκτός αν οι πληροφορίες αυτές είναι  απαραίτητες για να μπορέσει το υποκείμενο των δεδομένων να ασκήσει αποτελεσματικά τα δικαιώματα που του παρέχει ο κανονισμός και υπό την προϋπόθεση ότι λαμβάνονται υπόψη τα δικαιώματα και οι ελευθερίες των εν λόγω υπαλλήλων.

 Επί του τρίτου προδικαστικού ερωτήματος

84      Με το τρίτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί αν ασκεί επιρροή για τον καθορισμό της εκτάσεως του δικαιώματος προσβάσεως που αναγνωρίζει το άρθρο 15, παράγραφος 1, του ΓΚΠΔ στο υποκείμενο των δεδομένων το γεγονός, αφενός, ότι ο υπεύθυνος επεξεργασίας δραστηριοποιείται στον τραπεζικό τομέα στο πλαίσιο νομοθετικά ρυθμιζόμενης δραστηριότητας και, αφετέρου, ότι το πρόσωπο του οποίου τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία υπό την ιδιότητά του ως πελάτη του υπευθύνου επεξεργασίας υπήρξε επίσης υπάλληλος του υπευθύνου επεξεργασίας.

85      Εκ προοιμίου, πρέπει να υπογραμμισθεί ότι, όσον αφορά το πεδίο εφαρμογής του δικαιώματος προσβάσεως που προβλέπεται στο άρθρο 15, παράγραφος 1, του ΓΚΠΔ, ουδεμία διάταξη του συγκεκριμένου κανονισμού κάνει διάκριση αναλόγως της φύσεως των δραστηριοτήτων του υπευθύνου επεξεργασίας ή της ιδιότητας του προσώπου του οποίου τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία.

86      Όσον αφορά, αφενός, τον χαρακτήρα της δραστηριότητας της Pankki S ως νομοθετικά ρυθμιζόμενης, το άρθρο 23 του ΓΚΠΔ επιτρέπει βεβαίως στα κράτη μέλη να περιορίζουν, μέσω νομοθετικών μέτρων, το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται, μεταξύ άλλων, στο άρθρο 15 του ΓΚΠΔ.

87      Εντούτοις, από την απόφαση περί παραπομπής δεν προκύπτει ότι η δραστηριότητα της Pankki S αποτελεί αντικείμενο τέτοιας νομοθετικής ρύθμισης.

88      Όσον αφορά, αφετέρου, το γεγονός ότι ο J.M. ήταν συγχρόνως πελάτης και υπάλληλος της Pankki S, επισημαίνεται ότι, λαμβανομένων υπόψη όχι μόνον των σκοπών του ΓΚΠΔ, αλλά και της εκτάσεως του δικαιώματος προσβάσεως του υποκειμένου των δεδομένων, όπως υπομνήσθηκαν στις σκέψεις 49 και 55 έως 59 της παρούσας αποφάσεως, το πλαίσιο εντός του οποίου το υποκείμενο των δεδομένων ζητεί πρόσβαση στις πληροφορίες του άρθρου 15, παράγραφος 1, του ΓΚΠΔ δεν μπορεί να ασκεί οποιαδήποτε επιρροή στην έκταση του δικαιώματος αυτού.

89      Κατά συνέπεια, το άρθρο 15, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι το γεγονός ότι ο υπεύθυνος επεξεργασίας δραστηριοποιείται στον τραπεζικό τομέα στο πλαίσιο νομοθετικά ρυθμιζόμενης δραστηριότητας και ότι το πρόσωπο του οποίου τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία υπό την ιδιότητά του ως πελάτη του υπευθύνου επεξεργασίας υπήρξε επίσης υπάλληλος του υπευθύνου επεξεργασίας δεν επηρεάζει, κατ’ αρχήν, την έκταση του δικαιώματος του οποίου απολαύει το εν λόγω πρόσωπο δυνάμει της ανωτέρω διατάξεως.

 Επί των δικαστικών εξόδων

90      Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σε αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (πρώτο τμήμα) αποφαίνεται:

1)      Το άρθρο 15 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), ερμηνευόμενο υπό το πρίσμα του άρθρου 99, σημείο 2, του ίδιου κανονισμού,

έχει την έννοια ότι:

εφαρμόζεται σε αίτηση προσβάσεως στις πληροφορίες οι οποίες αναφέρονται στη διάταξη αυτή οσάκις οι πράξεις επεξεργασίας τις οποίες αφορά η αίτηση είχαν πραγματοποιηθεί μεν πριν από την ημερομηνία ενάρξεως εφαρμογής του εν λόγω κανονισμού, αλλά η αίτηση υποβλήθηκε μετά την ανωτέρω ημερομηνία.

2)      Το άρθρο 15, παράγραφος 1, του κανονισμού 2016/679

έχει την έννοια ότι:

οι πληροφορίες σχετικά με αναζητήσεις στα δεδομένα προσωπικού χαρακτήρα ενός προσώπου, οι οποίες αφορούν τις ημερομηνίες και τους σκοπούς των αναζητήσεων, συνιστούν πληροφορίες τις οποίες το εν λόγω πρόσωπο δικαιούται να λάβει από τον υπεύθυνο επεξεργασίας δυνάμει της διατάξεως αυτής. Αντιθέτως, η εν λόγω διάταξη δεν καθιερώνει τέτοιο δικαίωμα όσον αφορά τις πληροφορίες σχετικά με την ταυτότητα των υπαλλήλων του εν λόγω υπευθύνου οι οποίοι προέβησαν στις αναζητήσεις υπό την εποπτεία του και σύμφωνα με τις υποδείξεις του, εκτός αν οι πληροφορίες αυτές είναι απαραίτητες για να μπορέσει το υποκείμενο των δεδομένων να ασκήσει αποτελεσματικά τα δικαιώματα που του παρέχει ο κανονισμός και υπό την προϋπόθεση ότι λαμβάνονται υπόψη τα δικαιώματα και οι ελευθερίες των εν λόγω υπαλλήλων.

3)      Το άρθρο 15, παράγραφος 1, του κανονισμού 2016/679

έχει την έννοια ότι:

το γεγονός ότι ο υπεύθυνος επεξεργασίας δραστηριοποιείται στον τραπεζικό τομέα στο πλαίσιο νομοθετικά ρυθμιζόμενης δραστηριότητας και ότι το πρόσωπο του οποίου τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία υπό την ιδιότητά του ως πελάτη του υπευθύνου επεξεργασίας υπήρξε επίσης υπάλληλος του υπευθύνου επεξεργασίας δεν επηρεάζει, κατ’ αρχήν, την έκταση του δικαιώματος του οποίου απολαύει το εν λόγω πρόσωπο δυνάμει της ανωτέρω διατάξεως.

(υπογραφές)

*      Γλώσσα διαδικασίας: η φινλανδική.