WYROK TRYBUNAŁU (pierwsza izba)
z dnia 22 czerwca 2023 r.(*)
Odesłanie prejudycjalne – Przetwarzanie danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuły 4 i 15 – Zakres prawa dostępu do informacji, o których mowa w art. 15 – Informacje zawarte w plikach dziennika wygenerowanych przez system przetwarzania (log data) – Artykuł 4 – Pojęcie „danych osobowych” – Pojęcie „odbiorców” – Stosowanie w czasie
W sprawie C‑579/21
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Itä‑Suomen hallinto‑oikeus (sąd administracyjny dla Finlandii Wschodniej, Finlandia) postanowieniem z dnia 21 września 2021 r., które wpłynęło do Trybunału w dniu 22 września 2021 r., w postępowaniu:
J.M.
przy udziale:
Apulaistietosuojavaltuutettu,
Pankki S,
TRYBUNAŁ (pierwsza izba),
w składzie: A. Arabadjiev, prezes izby, P.G. Xuereb, T. von Danwitz, A. Kumin i I. Ziemele (sprawozdawczyni), sędziowie,
rzecznik generalny: M. Campos Sánchez-Bordona,
sekretarz: C. Strömholm, administratorka,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 12 października 2022 r.,
rozważywszy uwagi, które przedstawili:
– J.M. osobiście,
– w imieniu Apulaistietosuojavaltuutettu – A. Talus, tietosuojavaltuutettu,
– w imieniu Pankki S – T. Kalliokoski i J. Lång, asianajajat, oraz E.‑L. Hokkonen, oikeustieteen maisteri,
– w imieniu rządu fińskiego – A. Laine i H. Leppo, w charakterze pełnomocników,
– w imieniu rządu czeskiego – A. Edelmannová, M. Smolek i J. Vláčil, w charakterze pełnomocników,
– w imieniu rządu austriackiego – A. Posch, w charakterze pełnomocnika,
– w imieniu Komisji Europejskiej – A. Bouchagiar, H. Kranenborg oraz I. Söderlund, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 15 grudnia 2022 r.,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 15 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1) (zwanego dalej „RODO”).
2 Wniosek ten został złożony w ramach postępowania wszczętego przez J.M. zmierzającego do stwierdzenia nieważności decyzji Apulaistietosuojavaltuutettu (zastępcy inspektora ochrony danych, Finlandia) odrzucającej jego żądanie nakazania Pankki S, instytucji bankowej z siedzibą w Finlandii, przekazania mu pewnych informacji dotyczących operacji przeglądania jego danych osobowych.
Ramy prawne
3 Motywy 4, 10, 11, 26, 39, 58, 60, 63 i 74 RODO stanowią:
„(4) Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym […].
[…]
(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii [Europejskiej], należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych […].
(11) Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu […].
[…]
(26) […] Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej […].
[…]
(39) Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania […].
[…]
(58) Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach dodatkowo wizualizowane. Informacje te mogą być przekazywane w formie elektronicznej, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa. Dotyczy to w szczególności sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy w Internecie. Zważywszy że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.
[…]
(60) Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych […].
[…]
(63) Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem […]. Dlatego też każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania […]. Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie […].
[…]
(74) Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych”.
4 Artykuł 1 RODO, zatytułowany „Przedmiot i cele”, stanowi w ust. 2:
„Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”.
5 Artykuł 4 tego rozporządzenia przewiduje:
„Na użytek niniejszego rozporządzenia:
1) »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej […]; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
2) »przetwarzanie« oznacza [każdą] operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
[…]
7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych […];
[…]
9) »odbiorca« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią […];
[…]
21) »organ nadzorczy« oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51;
[…]”.
6 Artykuł 5 wspomnianego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, ma następujące brzmienie:
„1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);
[…]
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych (»integralność i poufność«);
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.
7 Artykuł 12 RODO, zatytułowany „Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą”, stanowi:
„1. Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem […] udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie […].
[…]
5. […] Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:
[…]
b) odmówić podjęcia działań w związku z żądaniem.
Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.
[…]”.
8 Artykuł 15 tego rozporządzenia, zatytułowany „Prawo dostępu przysługujące osobie, której dane dotyczą”, stanowi:
„1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
a) cele przetwarzania;
b) kategorie odnośnych danych osobowych;
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
f) informacje o prawie wniesienia skargi do organu nadzorczego;
g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
[…]
3. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu […].
4. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych”.
9 Artykuły 16 i 17 wspomnianego rozporządzenia ustanawiają, odpowiednio, prawo osoby, której dane dotyczą, do żądania sprostowania danych osobowych, które są nieprawidłowe (prawo do sprostowania danych), a także, w pewnych okolicznościach, prawo do usunięcia tych danych (prawo do usunięcia danych lub „prawo do bycia zapomnianym”).
10 Artykuł 18 tego rozporządzenia, zatytułowany „Prawo do ograniczenia przetwarzania”, stanowi w ust. 1:
„Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:
a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą”.
11 Artykuł 21 RODO, zatytułowany „Prawo do sprzeciwu”, przewiduje w ust. 1:
„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń”.
12 Zgodnie z art. 24 ust. 1 tego rozporządzenia:
„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać […]”.
13 Artykuł 29 wspomnianego rozporządzenia, zatytułowany „Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego”, ma następujące brzmienie:
„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.
14 Artykuł 30 RODO, zatytułowany „Rejestrowanie czynności przetwarzania”, przewiduje:
„1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają […].
[…]
4. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.
[…]”.
15 Artykuł 58 tego rozporządzenia, zatytułowany „Uprawnienia”, stanowi w ust. 1:
„Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:
a) nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich [jego] zadań;
[…]”.
16 Artykuł 77 wspomnianego rozporządzenia, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, wyjaśnia, co następuje:
„1. Bez uszczerbku dla innych [środków] administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
2. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78”.
17 Artykuł 79 RODO, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, stanowi w ust. 1:
„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego [jej] danych osobowych z naruszeniem niniejszego rozporządzenia”.
18 Artykuł 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, przewiduje w ust. 1:
„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.
19 Zgodnie z art. 99 ust. 2 RODO rozporządzenie to ma zastosowanie od dnia 25 maja 2018 r.
Postępowanie główne i pytania prejudycjalne
20 W 2014 r. J.M., będący wówczas pracownikiem i klientem Pankki S, dowiedział się, że jego własne dane jako klienta były wielokrotnie przeglądane przez pracowników banku w okresie od 1 listopada do 31 grudnia 2013 r.
21 Podejrzewając, że owo przeglądanie nie było zgodne z prawem, J.M., który w międzyczasie został zwolniony z pracy w Pankki S, w dniu 29 maja 2018 r. zwrócił się do Pankki S o podanie mu tożsamości osób, które przeglądały jego dane jako klienta, dokładnych dat przeglądania oraz celów przetwarzania wspomnianych danych.
22 W odpowiedzi z dnia 30 sierpnia 2018 r. Pankki S, działając jako administrator w rozumieniu art. 4 pkt 7 RODO, odmówił podania tożsamości pracowników, którzy przeprowadzili operacje przeglądania, ze względu na to, że informacje te stanowią dane osobowe tych pracowników.
23 Jednakże Pankki S udzielił w tej odpowiedzi wyjaśnień na temat operacji przeglądania dokonanych na jego polecenie przez dział audytu wewnętrznego tej instytucji. Wyjaśnił na przykład, że pewien klient banku, dla którego J.M. był doradcą klienta, był wierzycielem osoby noszącej również nazwisko rodowe J.M., w związku z czym bank chciał wyjaśnić, czy skarżący w postępowaniu głównym i rzeczony dłużnik są jedną i tą samą osobą oraz czy mógł istnieć ewentualnie niestosowny konflikt interesów. Pankki S dodał, że wyjaśnienie tej kwestii wymagało przetwarzania danych J.M., a każdy z pracowników banku, który przetwarzał te dane, złożył w dziale audytu wewnętrznego oświadczenie co do przyczyn przetwarzania danych. Ponadto bank stwierdził, że przeglądanie to pozwoliło wykluczyć wszelkie podejrzenie o konflikt interesów w stosunku do J.M.
24 J.M. zwrócił się do Tietosuojavaltuutetun toimisto (biura inspektora ochrony danych, Finlandia), organu nadzorczego w rozumieniu art. 4 pkt 21 RODO, o nakazanie Pankki S udzielenia mu żądanych informacji.
25 Decyzją z dnia 4 sierpnia 2020 r. zastępca inspektora ochrony danych odrzucił żądanie J.M. Wyjaśnił on, że celem tego żądania było umożliwienie J.M. dostępu do plików dziennika pracowników, którzy przetwarzali jego dane, podczas gdy zgodnie z jego praktyką decyzyjną takie pliki stanowią dane osobowe odnoszące się nie do osoby, której dane dotyczą, ale do pracowników, którzy przetwarzali dane tej osoby.
26 J.M. wniósł skargę na tę decyzję do sądu odsyłającego.
27 Sąd ten przypomina, że art. 15 RODO przewiduje prawo osoby, której dane dotyczą, do uzyskania od administratora dostępu do przetwarzanych danych jej dotyczących, oraz informacji odnoszących się między innymi do celów przetwarzania i odbiorców danych. Sąd ten zastanawia się, czy udostępnianie wygenerowanych w związku z operacjami przetwarzania plików dziennika, które zawierają takie informacje, w szczególności tożsamość pracowników administratora, jest objęte zakresem art. 15 RODO, ponieważ pliki te mogą okazać się niezbędne osobie, której dane dotyczą, do oceny zgodności z prawem przetwarzania jej danych.
28 W tych okolicznościach Itä‑Suomen hallinto‑oikeus (sąd administracyjny dla Finlandii Wschodniej, Finlandia) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1. Czy prawo dostępu przysługujące osobie, której dane dotyczą, na podstawie art. 15 ust. 1 [RODO] w związku z [pojęciem] »danych osobowych« w rozumieniu art. 4 pkt 1 tego rozporządzenia należy interpretować w ten sposób, że zebrane przez administratora informacje, z których wynika, kto, kiedy i w jakim celu przetwarzał dane osobowe osoby, której dane dotyczą, nie stanowią informacji, do których osoba, której dane dotyczą, ma prawo dostępu, w szczególności dlatego, że dotyczą one danych odnoszących się do pracowników administratora?
2. Jeśli odpowiedź na pytanie pierwsze jest twierdząca i osoba, której dane dotyczą, nie ma na podstawie art. 15 ust. 1 [RODO] prawa dostępu do informacji, o których mowa w tym pytaniu, ponieważ nie stanowią one »danych osobowych« osoby, której dane te dotyczą zgodnie z art. 4 ust. 1 [RODO], to w niniejszej sprawie należy jeszcze wziąć pod uwagę informacje, do których osoba, której dane dotyczą, ma prawo dostępu zgodnie z art. 15 ust. 1 lit.[a)–h)]:
a) W jaki sposób należy interpretować »cel przetwarzania« w rozumieniu art. 15 ust. 1 lit. a) [RODO] w odniesieniu do zakresu prawa dostępu osoby, której dane dotyczą, tj. czy cel przetwarzania może uzasadniać prawo dostępu do zebranych przez administratora danych z rejestru operacji użytkownika, takich jak informacje o danych osobowych osób przetwarzających, czasie oraz celach przetwarzania danych osobowych?
b) Czy w tym kontekście osoby, które przetwarzały dane J.M. jako klienta, można uznać na podstawie określonych kryteriów za »odbiorców« danych osobowych, o których mowa w art. 15 ust. 1 lit. c) [RODO], o których osoba, której dane dotyczą, miałaby prawo uzyskać informacje?
3. Czy ma znaczenie dla postępowania to, że chodzi tu o bank prowadzący działalność regulowaną, względnie to, że J.M. jednocześnie pracował w tym banku i był jego klientem?
4. Czy dla rozpatrzenia powyższych pytań ma znaczenie fakt, że dane J.M. były przetwarzane przed wejściem w życie [RODO]?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania czwartego
29 Poprzez pytanie czwarte, które należy zbadać na wstępie, sąd odsyłający dąży zasadniczo do ustalenia, czy art. 15 RODO w związku z art. 99 ust. 2 tego rozporządzenia ma zastosowanie do żądania udzielenia dostępu do informacji, o których mowa w pierwszym z tych przepisów, gdy operacje przetwarzania, których dotyczy to żądanie, zostały dokonane przed datą rozpoczęcia stosowania tego rozporządzenia, ale żądanie zostało złożone po tej dacie.
30 W celu udzielenia odpowiedzi na to pytanie należy zauważyć, że zgodnie z art. 99 ust. 2 RODO rozporządzenie to ma zastosowanie od dnia 25 maja 2018 r.
31 Tymczasem w niniejszej sprawie z postanowienia odsyłającego wynika, że rozpatrywane w postępowaniu głównym operacje przetwarzania danych osobowych zostały dokonane w okresie od 1 listopada 2013 r. do 31 grudnia 2013 r., czyli przed dniem rozpoczęcia stosowania RODO. Jednakże z postanowienia tego wynika również, że J.M. zwrócił się do Pankki S z żądaniem udzielenia informacji po tej dacie, a mianowicie w dniu 29 maja 2018 r.
32 W tym względzie należy przypomnieć, że przepisy proceduralne uznaje się na ogół za mające zastosowanie w chwili ich wejścia w życie, w odróżnieniu od przepisów materialnych, które są zazwyczaj interpretowane w ten sposób, iż obowiązują w stosunku do sytuacji powstałych i ostatecznie ukształtowanych przed ich wejściem w życie tylko wtedy, gdy z brzmienia tych przepisów, ich celu lub ich struktury jednoznacznie wynika, że należy im przypisać taki skutek (wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in., C‑645/19, EU:C:2021:483, pkt 100 i przytoczone tam orzecznictwo).
33 W niniejszej sprawie z postanowienia odsyłającego wynika, że żądanie J.M. dotyczące przekazania mu informacji rozpatrywanych w postępowaniu głównym odnosi się do art. 15 ust. 1 RODO, który przewiduje prawo dostępu osoby, której dane dotyczą, do dotyczących jej danych osobowych, które są przedmiotem przetwarzania, a także do informacji, o których mowa w tym przepisie.
34 Należy stwierdzić, że przepis ten nie dotyczy przesłanek zgodności z prawem przetwarzania danych osobowych osoby, której dane dotyczą. Artykuł 15 ust. 1 RODO ogranicza się bowiem do sprecyzowania zakresu prawa dostępu tej osoby do danych i informacji, o których w nim mowa.
35 Wynika z tego, jak zauważył rzecznik generalny w pkt 33 opinii, że art. 15 ust. 1 RODO przyznaje osobom, których dane dotyczą, prawo o charakterze proceduralnym do uzyskania informacji o przetwarzaniu ich danych osobowych. Jako przepis proceduralny przepis ten ma zastosowanie do żądań udzielenia dostępu złożonych od dnia rozpoczęcia stosowania tego rozporządzenia, takich jak żądanie J.M.
36 W tych okolicznościach na pytanie czwarte należy odpowiedzieć, że art. 15 RODO w związku z art. 99 ust. 2 tego rozporządzenia należy interpretować w ten sposób, że ma on zastosowanie do żądania udzielenia dostępu do informacji, o których mowa w tym przepisie, gdy operacje przetwarzania, których dotyczy to żądanie, zostały dokonane przed datą rozpoczęcia stosowania tego rozporządzenia, ale żądanie zostało złożone po tej dacie.
W przedmiocie pytań pierwszego i drugiego
37 Poprzez pytania pierwsze i drugie, które należy zbadać łącznie, sąd odsyłający dąży zasadniczo do ustalenia, czy art. 15 ust. 1 RODO należy interpretować w ten sposób, że informacje dotyczące operacji przeglądania danych osobowych danej osoby, dotyczące dat i celów tych operacji, a także tożsamości osób fizycznych, które przeprowadziły te operacje, stanowią informacje, które osoba ta ma prawo uzyskać od administratora na podstawie tego przepisu.
38 Tytułem wstępu należy przypomnieć, że z utrwalonego orzecznictwa wynika, iż wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, lecz także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią [wyrok z dnia 12 stycznia 2023 r., Österreichische Post (Informacje odnoszące się do odbiorców danych osobowych), C‑154/21, EU:C:2023:3, pkt 29].
39 Co się tyczy przede wszystkim brzmienia art. 15 ust. 1 RODO, przepis ten stanowi, iż osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do tych danych osobowych oraz do informacji dotyczących w szczególności celów przetwarzania oraz odbiorców lub kategorii odbiorców, którym te dane osobowe zostały lub zostaną ujawnione.
40 W tym względzie należy podkreślić, że pojęcia, które są zawarte w art. 15 ust. 1 RODO, zostały zdefiniowane w art. 4 tego rozporządzenia.
41 I tak, w pierwszej kolejności, art 4 pkt 1 RODO wskazuje, że danymi osobowymi są „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, i precyzuje, że „możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
42 Użycie w definicji „danych osobowych” wyrażenia „wszelkie informacje” odzwierciedla przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu, rozszerzając je potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, jaki muszą one spełniać, jest to, aby „dotyczyły” danej osoby (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 23).
43 Trybunał orzekł w tym względzie, że informacja dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli ze względu na treść, cel lub skutek taka informacja jest powiązana z możliwą do zidentyfikowania osobą (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 24).
44 W odniesieniu do „możliwej do zidentyfikowania” osoby motyw 26 RODO precyzuje, że należy wziąć pod uwagę „wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”.
45 Wynika z tego, że szeroka definicja pojęcia „danych osobowych” obejmuje nie tylko dane gromadzone i przechowywane przez administratora, lecz także wszelkie informacje wynikające z przetwarzania danych osobowych, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 26).
46 W drugiej kolejności, co się tyczy pojęcia „przetwarzania”, zdefiniowanego w art. 4 pkt 2 RODO, należy stwierdzić, że poprzez użycie wyrażenia „[każda] operacja” prawodawca Unii zamierzał nadać temu pojęciu szeroki zakres, posługując się niewyczerpującym wyliczeniem operacji dokonywanych na danych osobowych lub zestawach danych osobowych, które obejmują między innymi gromadzenie, utrwalanie, przechowywanie lub przeglądanie (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 27).
47 W trzeciej kolejności – art. 4 pkt 9 RODO wyjaśnia, że przez „odbiorcę” należy rozumieć „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią”.
48 W tym względzie Trybunał orzekł, że osoba, której dane dotyczą, ma prawo do uzyskania od administratora danych informacji o konkretnych odbiorcach, którym zostały lub zostaną ujawnione dotyczące jej dane osobowe [wyrok z dnia 12 stycznia 2023 r., Österreichische Post (Informacje odnoszące się do odbiorców danych osobowych), C‑154/21, EU:C:2023:3, pkt 46].
49 W związku z tym z analizy językowej art. 15 ust. 1 RODO i zawartych w nim pojęć wynika, że prawo dostępu przyznane w tym przepisie osobie, której dane dotyczą, obejmuje szeroki zakres informacji, które administrator danych musi przekazać tej osobie.
50 Następnie, co się tyczy kontekstu, w jaki wpisuje się art. 15 ust. 1 RODO, należy przypomnieć przede wszystkim, że motyw 63 tego rozporządzenia przewiduje, iż każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, i tożsamości odbiorców tych danych osobowych.
51 Z kolei motyw 60 RODO stanowi, iż zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach, przy czym należy podkreślić, że administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto zgodnie ze wspomnianą przez sąd odsyłający zasadą przejrzystości, do której odnosi się motyw 58 RODO i którą wyraźnie ustanawia art. 12 ust. 1 tego rozporządzenia, wszelkie informacje kierowane do osoby, której dane dotyczą, muszą być zwięzłe, łatwo dostępne i łatwe do zrozumienia oraz sformułowane jasnym i prostym językiem.
52 W tym względzie art. 12 ust. 1 RODO stanowi, że administrator powinien udzielić informacji na piśmie lub w inny sposób, w tym, w stosownych przypadkach – elektronicznie, chyba że osoba, której dane dotyczą, zażąda, aby ich udzielić ustnie. Celem tego przepisu, który jest wyrazem zasady przejrzystości, jest zapewnienie, by osoba, której dane dotyczą, była w stanie zrozumieć w pełni przekazywane jej informacje (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 38 i przytoczone tam orzecznictwo).
53 Z powyższej analizy kontekstowej wynika, że art. 15 ust. 1 RODO stanowi jeden z przepisów mających gwarantować przejrzystość sposobów przetwarzania danych osobowych względem osoby, której dane dotyczą.
54 Wreszcie taką wykładnię zakresu prawa dostępu przewidzianego w art. 15 ust. 1 RODO potwierdzają cele realizowane przez to rozporządzenie.
55 Po pierwsze, ma on bowiem na celu, jak wskazują jego motywy 10 i 11, zapewnienie spójnego i wysokiego stopnia ochrony osób fizycznych w Unii oraz wzmocnienie i doprecyzowanie praw osób, których dane dotyczą.
56 Ponadto, jak wynika z motywu 63 RODO, prawo dostępu danej osoby do własnych danych osobowych oraz do innych informacji wskazanych w art. 15 ust. 1 tego rozporządzenia ma przede wszystkim na celu umożliwienie tej osobie uzyskania wiedzy o przetwarzaniu jej danych oraz zweryfikowania zgodności przetwarzania z prawem. Wynika z tego – zgodnie z tym motywem i jak wskazano w pkt 50 niniejszego wyroku – że każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki są przetwarzane, tożsamości odbiorców tych danych, jak również założeń przetwarzania danych osobowych.
57 W tym względzie należy, po drugie, przypomnieć, że Trybunał orzekł już, iż prawo dostępu przewidziane w art. 15 RODO powinno umożliwiać osobie, której dane dotyczą, upewnienie się, że dotyczące jej dane osobowe są prawidłowe i przetwarzane zgodnie z prawem (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 34).
58 W szczególności owo prawo dostępu jest niezbędne, aby umożliwić osobie, której dane dotyczą, skorzystanie, w stosownych przypadkach, z prawa do sprostowania danych, prawa do usunięcia danych („prawa do bycia zapomnianym”), prawa do ograniczenia przetwarzania, które zostało jej przyznane, odpowiednio, w art. 16–18 RODO, a także prawa do sprzeciwu wobec przetwarzania jej danych osobowych, przewidzianego w art. 21 RODO, oraz prawa do dochodzenia roszczeń w przypadku poniesionej szkody, przewidzianego w art. 79 i 82 RODO (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 35 i przytoczone tam orzecznictwo).
59 W związku z tym art. 15 ust. 1 RODO stanowi jeden z przepisów mających gwarantować przejrzystość sposobów przetwarzania danych osobowych względem osoby, której dane dotyczą [wyrok z dnia 12 stycznia 2023 r., Österreichische Post (Informacje odnoszące się do odbiorców danych osobowych), C‑154/21, EU:C:2023:3, pkt 42], bez którego to przepisu osoba ta nie byłaby w stanie ocenić zgodności z prawem przetwarzania jej danych i wykonywania uprawnień przewidzianych w szczególności w art. 16–18, 21, 79 i 82 tego rozporządzenia.
60 W niniejszej sprawie z postanowienia odsyłającego wynika, że J.M. zwrócił się do Pankki S o przekazanie mu informacji dotyczących czynności przeglądania dotyczących jego danych osobowych w okresie od 1 listopada 2013 r. do 31 grudnia 2013 r., informacji dotyczących dat tego przeglądania, jego celów i tożsamości osób, które dokonały wspomnianego przeglądania. Sąd odsyłający wskazuje, że przekazanie plików dziennika wygenerowanych w związku z tymi czynnościami pozwoliłoby uczynić zadość żądaniu J.M.
61 W niniejszej sprawie bezsporne jest, iż operacje przeglądania danych osobowych skarżącego w postępowaniu głównym stanowią „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO, w związku z czym na podstawie art. 15 ust. 1 tego rozporządzenia dają mu nie tylko prawo dostępu do tych danych osobowych, lecz również prawo do otrzymania informacji związanych z tymi operacjami, o których mowa w tym ostatnim przepisie.
62 Co się tyczy informacji takich jak informacje żądane przez J.M., udzielenie informacji przede wszystkim o datach operacji przeglądania może umożliwić osobie, której dane dotyczą, uzyskanie potwierdzenia, że jej dane osobowe były rzeczywiście przetwarzane w danym momencie. Ponadto ze względu na to, że przesłanki zgodności z prawem przewidziane w art. 5 i 6 RODO muszą być spełnione w momencie samego przetwarzania, data tego przetwarzania stanowi element pozwalający na sprawdzenie jego zgodności z prawem. Następnie należy zauważyć, że informacje dotyczące celów przetwarzania są wyraźnie wymienione w art. 15 ust. 1 lit. a) tego rozporządzenia. Wreszcie art. 15 ust. 1 lit. c) tego rozporządzenia przewiduje, że administrator informuje osobę, której dane dotyczą, o odbiorcach, którym jej dane zostały ujawnione.
63 Co się tyczy w szczególności udostępnienia wszystkich tych informacji poprzez dostarczenie plików dziennika dotyczących operacji przetwarzania rozpatrywanych w postępowaniu głównym, należy zauważyć, że art. 15 ust. 3 zdanie pierwsze RODO stanowi, iż administrator „dostarcza […] kopię danych osobowych podlegających przetwarzaniu”.
64 W tym względzie Trybunał orzekł już, że użyte w ten sposób pojęcie „kopii” oznacza wierne odtworzenie lub wierną transkrypcję oryginału, tak że czysto ogólny opis danych podlegających przetwarzaniu lub odesłanie do kategorii danych osobowych nie odpowiada tej definicji. Ponadto z brzmienia art. 15 ust. 3 zdanie pierwsze tego rozporządzenia wynika, że obowiązek ujawnienia odnosi się do danych osobowych podlegających przetwarzaniu (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 21).
65 Kopia, którą administrator ma obowiązek dostarczyć, powinna zawierać wszystkie dane osobowe podlegające przetwarzaniu, posiadać wszystkie cechy umożliwiające osobie, której dane dotyczą, skuteczne wykonywanie jej praw wynikających ze wspomnianego rozporządzenia, a w konsekwencji powinna odtwarzać w całości i wiernie te dane (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 32, 39).
66 Aby zagwarantować, że przekazane w ten sposób informacje będą łatwe do zrozumienia, jak tego wymaga art. 12 ust. 1 RODO w związku z motywem 58 tego rozporządzenia, może okazać się niezbędne, w przypadku gdy kontekst przetwarzanych danych jest niezbędny do zapewnienia, by były one zrozumiałe, odtworzenie fragmentów dokumentów, a nawet całych dokumentów lub wyciągów z baz danych, które zawierają między innymi przetwarzane dane osobowe. W szczególności gdy dane osobowe są generowane z innych danych lub gdy dane te wynikają z wolnych pól, a mianowicie z braku informacji ujawniających informację o osobie, której dane dotyczą, kontekst, w jakim dane te są przetwarzane, jest niezbędnym elementem umożliwiającym osobie, której dane dotyczą, uzyskanie przejrzystego dostępu i zrozumiałego przedstawienia tych danych (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 41, 42).
67 W niniejszej sprawie, jak zauważył rzecznik generalny w pkt 88–90 opinii, pliki dziennika, które zawierają informacje żądane przez J.M., stanowią rejestry czynności w rozumieniu art. 30 RODO. Należy uznać, że należą one do środków, o których mowa w motywie 74 tego rozporządzenia, wdrażanych przez administratora w celu wykazania zgodności czynności przetwarzania z tym rozporządzeniem. Artykuł 30 ust. 4 tego rozporządzenia uściśla w szczególności, że są one udostępniane organowi nadzorczemu na jego żądanie.
68 Jeśli te rejestry czynności nie zawierają informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej w rozumieniu orzecznictwa przypomnianego w pkt 42 i 43 niniejszego wyroku, pozwalają one administratorowi wyłącznie na wypełnienie swoich obowiązków wobec organu nadzorczego, który wnosi o ich udostępnienie.
69 Jeśli chodzi w szczególności o pliki dziennika administratora, przekazanie kopii informacji zawartych w tych plikach może okazać się konieczne do wywiązania się z obowiązku udzielenia osobie, której dane dotyczą, dostępu do wszystkich informacji, o których mowa w art. 15 ust. 1 RODO, oraz do zapewnienia rzetelności i przejrzystości przetwarzania, umożliwiając jej tym samym pełne korzystanie z praw wynikających z tego rozporządzenia.
70 Po pierwsze, takie pliki ujawniają bowiem istnienie przetwarzania danych, a jest to informacja, do której osoba, której dane dotyczą, powinna mieć dostęp na podstawie art. 15 ust. 1 RODO. Ponadto informują one o częstotliwości i dogłębności operacji przeglądania, umożliwiając w ten sposób osobie, której dane dotyczą, upewnienie się, że dokonywane przetwarzanie jest rzeczywiście uzasadnione celami wskazanymi przez administratora.
71 Po drugie, pliki te zawierają informacje dotyczące tożsamości osób, które przeprowadziły operacje przeglądania.
72 W niniejszej sprawie z postanowienia odsyłającego wynika, że osoby, które przeprowadziły rozpatrywane w postępowaniu głównym operacje przeglądania, są pracownikami Pankki S, którzy działali z jego upoważnienia i zgodnie z jego poleceniami.
73 O ile z art. 15 ust. 1 lit. c) RODO wynika, że osoba, której dane dotyczą, ma prawo uzyskać od administratora informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, o tyle pracowników administratora nie można uznać za „odbiorców” w rozumieniu art. 15 ust. 1 lit. c) RODO, przypomnianego w pkt 47 i 48 niniejszego wyroku, w przypadku gdy przetwarzają oni dane osobowe z upoważnienia tego administratora i zgodnie z jego poleceniami, jak zauważył rzecznik generalny w pkt 63 opinii.
74 W tym względzie należy podkreślić, że zgodnie z art. 29 RODO każda osoba działająca z upoważnienia administratora, która ma dostęp do danych osobowych, może przetwarzać te dane wyłącznie na polecenie tego administratora.
75 W tej sytuacji informacje zawarte w plikach dziennika dotyczących osób, które dokonały przeglądu danych osobowych osoby, której dane dotyczą, mogłyby stanowić informacje, o których mowa w art. 4 pkt 1 RODO, przypomniane w pkt 41 niniejszego wyroku, mogące jej umożliwić sprawdzenie zgodności z prawem przetwarzania jej danych, a w szczególności upewnienie się, że operacje przetwarzania zostały rzeczywiście przeprowadzone z upoważnienia administratora i zgodnie z jego poleceniami.
76 Jednak, po pierwsze, z postanowienia odsyłającego wynika, że owe informacje zawarte w plikach dziennika takich jak te rozpatrywane w postępowaniu głównym umożliwiają zidentyfikowanie pracowników, którzy dokonali operacji przetwarzania, i zawierają dane osobowe tych pracowników w rozumieniu art. 4 pkt 1 RODO.
77 W tym względzie należy przypomnieć, że w odniesieniu do prawa dostępu przewidzianego w art. 15 RODO motyw 63 tego rozporządzenia stanowi, że „[p]rawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób”.
78 Zgodnie bowiem z motywem 4 RODO prawo do ochrony danych osobowych nie jest prawem bezwzględnym, ponieważ należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 172).
79 Tymczasem nawet jeśli udzielenie informacji dotyczących tożsamości pracowników administratora osobie, której dotyczy przetwarzanie, byłoby niezbędne tej osobie, aby upewnić się, czy jej dane osobowe są przetwarzane zgodnie z prawem, to może ono jednak negatywnie wpływać na prawa i wolności tych pracowników.
80 W tych okolicznościach w przypadku kolizji między z jednej strony wykonywaniem prawa dostępu zapewniającego skuteczność praw przyznanych przez RODO osobie, której dane dotyczą, a z drugiej strony prawami lub wolnościami innych osób, konieczne będzie wyważenie rozpatrywanych praw i wolności. W miarę możliwości należy wybrać sposób przekazania, który nie narusza praw lub wolności innych osób, mając na uwadze, że – jak wynika z motywu 63 RODO – względy te nie powinny jednak „skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji” (zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 44).
81 Po drugie, z postanowienia odsyłającego wynika jednak, iż J.M. nie żąda przekazania informacji dotyczących tożsamości pracowników Pankki S, którzy przeprowadzili operacje przeglądania jego danych osobowych, ze względu na to, że mieliby oni nie działać faktycznie z upoważnienia i zgodnie z poleceniami administratora, lecz wydaje się wątpić w prawdziwość informacji dotyczących celu tego przeglądania, przekazanych mu przez Pankki S.
82 W takich okolicznościach, jeżeli osoba, której dane dotyczą, miałaby uznać, że informacje przekazane przez administratora są niewystarczające, aby umożliwić jej rozwianie wątpliwości co do zgodności z prawem przetwarzania, któremu podlegały jej dane osobowe, ma ona prawo wnieść do organu nadzorczego skargę na podstawie art. 77 ust. 1 RODO, który to organ na podstawie art. 58 ust. 1 lit. a) tego rozporządzenia jest uprawniony do żądania od administratora dostarczenia wszelkich informacji potrzebnych do rozpatrzenia skargi osoby, której dane dotyczą.
83 Z powyższych rozważań wynika, że art. 15 ust. 1 RODO należy interpretować w ten sposób, iż informacje dotyczące operacji przeglądania danych osobowych danej osoby odnoszące się do dat i celów tych operacji stanowią informacje, które osoba ta ma prawo uzyskać od administratora na podstawie tego przepisu. Natomiast przepis ten nie ustanawia takiego prawa w odniesieniu do informacji dotyczących tożsamości pracowników wspomnianego administratora, którzy przeprowadzili te operacje z jego upoważnienia i zgodnie z jego poleceniami, chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem że uwzględnione zostaną prawa i wolności tych pracowników.
W przedmiocie pytania trzeciego
84 Poprzez pytanie trzecie sąd odsyłający dąży zasadniczo do ustalenia, czy okoliczność, że, po pierwsze, administrator prowadzi działalność bankową regulowaną, a po drugie, że osoba, której dane osobowe jako klienta administratora były przetwarzane, była również pracownikiem tego administratora, ma znaczenie do celów ustalenia zakresu prawa dostępu przyznanego tej osobie w art. 15 ust. 1 RODO.
85 Na wstępie należy podkreślić, że jeśli chodzi o zakres stosowania prawa dostępu przewidzianego w art. 15 ust. 1 RODO, żaden przepis tego rozporządzenia nie wprowadza rozróżnienia w zależności od charakteru działalności administratora lub statusu osoby, której dane osobowe są przetwarzane.
86 Co się tyczy, po pierwsze, regulowanego charakteru działalności Pankki S, art. 23 RODO niewątpliwie pozwala państwom członkowskim na ograniczenie w drodze środków ustawodawczych zakresu obowiązków i praw przewidzianych między innymi w art. 15 tego rozporządzenia.
87 Z postanowienia odsyłającego nie wynika jednak, by działalność Pankki S podlegała takim przepisom.
88 Co się tyczy, po drugie, okoliczności, że J.M. był jednocześnie i klientem, i pracownikiem Pankki S, należy zauważyć, że z uwagi nie tylko na cele RODO, ale również zakres prawa dostępu przysługującego osobie, której dane dotyczą, przypomniane w pkt 49 i 55–59 niniejszego wyroku, kontekst, w jakim ta osoba żąda dostępu do informacji, o których mowa w art. 15 ust. 1 RODO, nie może mieć żadnego wpływu na zakres tego prawa.
89 W konsekwencji art. 15 ust. 1 RODO należy interpretować w ten sposób, że okoliczność, iż administrator prowadzi działalność bankową regulowaną i że osoba, której dane osobowe jako klienta administratora były przetwarzane, była również pracownikiem tego administratora, nie ma co do zasady wpływu na zakres prawa przysługującego tej osobie na podstawie tego przepisu.
W przedmiocie kosztów
90 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje:
1) Artykuł 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) w związku z art. 99 ust. 2 tego rozporządzenia
należy interpretować w ten sposób, że:
ma on zastosowanie do żądania udzielenia dostępu do informacji, o których mowa w tym przepisie, gdy operacje przetwarzania, których dotyczy to żądanie, zostały dokonane przed datą rozpoczęcia stosowania tego rozporządzenia, ale żądanie zostało złożone po tej dacie.
2) Artykuł 15 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
informacje dotyczące operacji przeglądania danych osobowych danej osoby odnoszące się do dat i celów tych operacji stanowią informacje, które osoba ta ma prawo uzyskać od administratora na podstawie tego przepisu. Natomiast przepis ten nie ustanawia takiego prawa w odniesieniu do informacji dotyczących tożsamości pracowników wspomnianego administratora, którzy przeprowadzili te operacje z jego upoważnienia i zgodnie z jego poleceniami, chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem że uwzględnione zostaną prawa i wolności tych pracowników.
3) Artykuł 15 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
okoliczność, iż administrator prowadzi działalność bankową regulowaną i że osoba, której dane osobowe jako klienta administratora były przetwarzane, była również pracownikiem tego administratora, nie ma co do zasady wpływu na zakres prawa przysługującego tej osobie na podstawie tego przepisu.
Podpisy