CONCLUSIE VAN ADVOCAAT-GENERAAL
M. CAMPOS SÁNCHEZ-BORDONA
van 15 december 2022 (1)
Zaak C‑579/21
J. M.
in tegenwoordigheid van:
Apulaistietosuojavaltuutettu,
Pankki S
[verzoek van de Itä-Suomen hallinto-oikeus (bestuursrechter Oost-Finland) om een prejudiciële beslissing]
„Prejudiciële verwijzing – Verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Gegevens in een logbestand – Recht van toegang – Begrip ,persoonsgegevens’ – Begrip ,ontvanger’ – Personeel in dienst van de verwerkingsverantwoordelijke”
1. Een werknemer en daarnaast ook klant van een financiële instelling heeft die financiële instelling verzocht hem in kennis te stellen van de identiteit van de personen die zijn persoonsgegevens hadden geraadpleegd in het kader van een intern onderzoek. Geconfronteerd met de weigering van de instelling om hem die informatie te verstrekken, heeft hij de beschikbare rechtsmiddelen aangewend en is zijn zaak uiteindelijk in behandeling genomen door de Itä-Suomen hallinto-oikeus (bestuursrechter Oost-Finland).
2. Deze rechter heeft het Hof verzocht om een prejudiciële beslissing over de uitlegging van verordening (EU) 2016/679(2). In zijn antwoord zal het Hof zich moeten uitspreken over het recht van de betrokkene op toegang tot bepaalde informatie over de verwerking van zijn persoonsgegevens.
I. Toepasselijke bepalingen
A. Unierecht – AVG
3. In overweging 11 wordt verklaard:
„Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, alsmede gelijkwaardige bevoegdheden op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming en vergelijkbare sancties voor overtredingen in de lidstaten.”
4. In artikel 4 („Definities”) wordt bepaald:
„Voor de toepassing van deze verordening wordt verstaan onder:
1) ,persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (,de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) ,verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
[…]
9) ,ontvanger’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. […]
[…]”
5. In artikel 15 („Recht van inzage van de betrokkene”), lid 1, kan worden gelezen:
„De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
a) de verwerkingsdoeleinden;
b) de betrokken categorieën van persoonsgegevens;
c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f) dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.”
6. Artikel 24 („Verantwoordelijkheid van de verwerkingsverantwoordelijke”), lid 1, luidt:
„Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”
7. Artikel 25 („Gegevensbescherming door ontwerp en door standaardinstellingen”), lid 2, schrijft voor:
„De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”
8. Artikel 29 („Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker”) luidt:
„De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.”
9. In artikel 30 („Register van de verwerkingsactiviteiten”) wordt bepaald:
„1. Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:
a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
[…]
f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
2. De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houden een register bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht:
a) de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;
b) de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
c) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie […];
d) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
3. Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.
4. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit.
5. De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens […] of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten […] betreft.”
10. Artikel 58 („Bevoegdheden”), lid 1, luidt:
„Elke toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:
a) de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van [de] verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;
[…]”
B. Nationaal recht
1. Gegevensbeschermingswet (1050/2018)
11. Krachtens § 30 van gegevensbeschermingswet (1050/2018)(3) zijn de verwerking van persoonsgegevens van werknemers met betrekking tot controles ten aanzien van hen en de in het kader daarvan in acht te nemen vereisten, het technisch toezicht op de werkplek en het ophalen en openen van elektronische post van werknemers geregeld in wet op de bescherming van de persoonlijke levenssfeer in het beroepsleven (759/2004)(4).
12. Op grond van § 34, eerste alinea, heeft de betrokkene geen recht op toegang tot de over hem verzamelde persoonsgegevens overeenkomstig artikel 15 AVG wanneer:
1) de verstrekking van gegevens de nationale veiligheid en landsverdediging of de openbare orde en veiligheid zou kunnen schaden, of het voorkomen of onderzoeken van strafbare feiten in gevaar zou kunnen brengen;
2) de verstrekking van gegevens een ernstige bedreiging zou kunnen vormen voor de gezondheid van of de zorg voor de betrokkene, of voor de rechten van de betrokkene of een derde, of
3) de persoonsgegevens worden gebruikt voor toezichtactiviteiten en het achterhouden van de gegevens de bescherming van een belangrijk economisch of financieel belang van Finland of de Europese Unie dient.
13. In § 34, tweede alinea, wordt bepaald dat wanneer slechts een deel van de in lid 1 bedoelde gegevens niet valt onder het in artikel 15 AVG bedoelde recht, de betrokkene het recht heeft om inlichtingen over de overige hem betreffende gegevens te ontvangen.
14. Volgens § 34, derde alinea, moet de betrokkene in kennis worden gesteld van de redenen voor de beperking, voor zover daarmee geen afbreuk wordt gedaan aan het doel van de beperking.
15. Volgens § 34, vierde alinea, moeten de in artikel 15, lid 1, AVG bedoelde gegevens op verzoek van de betrokkene worden verstrekt aan de toezichthouder voor gegevensbescherming, voor zover de betrokkene geen recht op toegang tot de over hem verzamelde gegevens heeft.
2. Wet op de bescherming van de persoonlijke levenssfeer in het beroepsleven (759/2004)
16. Volgens § 4, lid 2, van hoofdstuk 2 van de wet op de bescherming van de persoonlijke levenssfeer in het beroepsleven dient de werkgever de werknemer vooraf ervan op de hoogte te stellen dat hem betreffende gegevens worden verzameld om zijn betrouwbaarheid te onderzoeken. Wanneer de werkgever de werknemer op zijn kredietwaardigheid toetst, dient de werkgever bovendien aan de werknemer mee te delen uit welk register de kredietgegevens zijn verkregen. Wanneer gegevens aangaande de werknemer zijn verzameld bij een andere persoon dan de werknemer zelf, moet de werkgever de verkregen gegevens aan de werknemer meedelen alvorens deze te gebruiken voor besluiten die de werknemer betreffen. De verplichtingen van de verwerkingsverantwoordelijke om gegevens aan de betrokkene mee te delen en het recht van de betrokkene op toegang tot de gegevens zijn geregeld in hoofdstuk III AVG.
II. Feiten, hoofdgeding en prejudiciële vragen
17. In 2014 heeft J. M. kennis gekregen van het feit dat zijn persoonsgegevens als klant van de financiële instelling Suur-Savon Osuuspankki (hierna: „Pankki”) tussen 1 november en 31 december 2013 waren geraadpleegd. Gedurende die periode was J. M. naast klant ook medewerker van Pankki.
18. Op 29 mei 2018 heeft J. M., in het vermoeden dat de redenen voor de raadpleging niet volstrekt gegrond waren geweest, Pankki verzocht om informatie over de identiteit van de werknemers die in bovenvermelde periode toegang tot zijn gegevens hadden gehad en over de doeleinden van de verwerking.
19. Ondertussen was J. M. door Pankki ontslagen. In de motivering van zijn verzoek tot inzage heeft J. M. aangevoerd dat hij duidelijkheid wilde verkrijgen over de redenen voor zijn ontslag.
20. Op 30 augustus 2018 heeft Pankki, in haar hoedanigheid van verwerkingsverantwoordelijke, geweigerd om J. M. de namen te verstrekken van de werknemers die zijn persoonsgegevens hadden verwerkt. Volgens Pankki is het recht waarin artikel 15 AVG voorziet niet van toepassing op de loggegevens en de interne bestanden waarin wordt geregistreerd welke werknemers op welk tijdstip toegang tot het geautomatiseerde systeem met klantgegevens hebben gehad. Bovendien hadden de gevraagde inlichtingen betrekking op persoonsgegevens van die werknemers en niet op persoonsgegevens van J. M.
21. Om misverstanden te voorkomen, heeft Pankki J. M. de volgende aanvullende toelichtingen gegeven:
– De interne diensten van de instelling hebben in 2014 de klantgegevens van J. M. onderzocht voor de periode van 1 november tot en met 31 december 2013.
– Dat onderzoek hield verband met de verwerking van de gegevens van een andere klant van Pankki, waaruit bleek dat deze een band met J. M. onderhield die mogelijkerwijs een belangenconflict impliceerde. Het doel van de verwerking was derhalve om die situatie op te helderen.(5)
22. J. M. heeft de zaak voorgelegd aan de Tietosuojavaltuutetun toimisto (nationale toezichthoudende autoriteit voor gegevensbescherming, Finland) met het verzoek om Pankki te gelasten de betrokken informatie te verstrekken.
23. Op 4 augustus 2020 heeft de Apulaistietosuojavaltuutettu (adjunct-toezichthouder voor gegevensbescherming, Finland) het verzoek van J. M. afgewezen.
24. J. M. heeft beroep ingesteld bij de Itä-Suomen hallinto-oikeus, waarin hij betoogt dat hij op grond van de AVG recht heeft op inzage in de informatie over de identiteit en de taken van de personen in de financiële instelling die zijn gegevens hebben geraadpleegd.
25. In deze situatie heeft die rechter het Hof de volgende vragen voorgelegd:
„1) Moet het recht van inzage van de betrokkene krachtens artikel 15, lid 1, [AVG] juncto [het begrip] ,persoonsgegevens’ in de zin van artikel 4, punt 1, van deze verordening aldus worden uitgelegd dat gegevens die door de verwerkingsverantwoordelijke zijn verzameld, waaruit blijkt wie de persoonsgegevens van de betrokkene op welk tijdstip en voor welk doel heeft verwerkt, geen gegevens zijn waartoe de betrokkene een recht van toegang heeft, met name omdat het om gegevens gaat die verband houden met de werknemers van de verwerkingsverantwoordelijke?
2) Indien het antwoord op de eerste vraag bevestigend luidt en de betrokkene op grond van artikel 15, lid 1, [AVG] geen recht van toegang tot de in de eerste vraag genoemde gegevens heeft, omdat zij geen ,persoonsgegevens’ van de betrokkene in de zin van artikel 4, punt 1, [AVG] zijn, moeten in casu dan nog de gegevens in aanmerking worden genomen waartoe de betrokkene krachtens artikel 15, lid 1, onder [a) tot en met h)] een recht van toegang heeft:
a) Welke uitlegging moet, in het licht van de omvang van het recht van inzage van de betrokkene, worden gegeven aan het verwerkingsdoel in de zin van artikel 15, lid 1, onder a), met andere woorden kan het verwerkingsdoel ten grondslag liggen aan een recht van inzage in de door de verwerkingsverantwoordelijke verzamelde loggegevens van gebruikers, zoals inlichtingen over persoonsgegevens van degenen die de persoonsgegevens van de betrokkene hebben verwerkt en over het tijdstip waarop en het doel waarvoor de persoonsgegevens zijn verwerkt?
b) Kunnen degenen die de klantgegevens van J. M. hebben verwerkt, in dit verband onder bepaalde voorwaarden worden aangemerkt als ontvangers van de persoonsgegevens in de zin van artikel 15, lid 1, onder c), [AVG], over wie de betrokkene informatie zou mogen opvragen?
3) Is het voor de procedure van belang dat de zaak betrekking heeft op een bank die een gereglementeerde activiteit uitoefent, of dat J. M. tegelijkertijd zowel werkzaam was voor de bank als een klant van haar was?
4) Is het voor het onderzoek van de voornoemde vragen van belang dat de gegevens van J. M. zijn verwerkt vóór de inwerkingtreding van de [AVG]?”
III. Procedure bij het Hof
26. Het verzoek om een prejudiciële beslissing is op 22 september 2021 ingekomen ter griffie van het Hof.
27. J. M., Pankki, de Oostenrijkse, de Tsjechische en de Finse regering en de Europese Commissie hebben schriftelijke opmerkingen ingediend.
28. Ter terechtzitting van 12 oktober 2022 zijn J. M., de Tietosuojavaltuutetun toimisto, Pankki, de Finse regering en de Commissie verschenen.
IV. Beoordeling
29. Aangezien de verwijzende rechter verzoekt om de uitlegging van verschillende bepalingen van de AVG, moet allereerst worden nagegaan of die verordening ratione temporis van toepassing is op het betrokken geding, hetgeen het voorwerp van de vierde prejudiciële vraag is.
A. Toepasselijkheid van de AVG (vierde prejudiciële vraag)
30. Volgens artikel 99, lid 1, AVG is die verordening op 24 mei 2016 in werking getreden. De datum waarop de AVG van toepassing werd, werd echter uitgesteld tot 25 mei 2018.(6)
31. Het onderzoek van de persoonsgegevens van J. M. vond plaats tussen 1 november en 31 december 2013, dat wil zeggen vóór het in werking treden en van toepassing worden van de AVG.
32. De datum die hier relevant is, is evenwel 29 mei 2018, de dag waarop J. M. onder inroeping van artikel 15, lid 1, AVG (die van toepassing was vanaf 25 mei 2018) de litigieuze informatie heeft opgevraagd.
33. Zoals de Oostenrijkse regering heeft opgemerkt, verleent artikel 15, lid 1, AVG betrokkenen een procedureel recht (recht van inzage) om informatie over de verwerking van hun persoonsgegevens te verkrijgen.(7) Aangezien het om een regel van procedurele aard gaat, is deze bepaling van toepassing vanaf de datum van inwerkingtreding ervan.(8) J. M. kon zich er dus op beroepen toen hij Pankki om de informatie vroeg.
34. De rechtmatigheid van de verwerking van gegevens die vóór de inwerkingtreding van de AVG zijn verzameld, moet worden getoetst aan de materiële regeling die op dat moment van kracht was, te weten richtlijn 95/46/EG(9) en, voor zover van toepassing met terugwerkende kracht, de AVG(10).
35. Aangezien niet wordt betwist dat de opgevraagde informatie in het bezit van de verwerkingsverantwoordelijke was toen J. M. verzocht om inzage in die informatie (het recht dat door artikel 15, lid 1, AVG wordt gewaarborgd), was die verordening van toepassing.(11)
36. Het feit dat de litigieuze gegevens vóór de inwerkingtreding van de AVG zijn verwerkt, is dus niet relevant voor het verlenen of weigeren van de toegang tot de informatie waar de betrokkene op grond van artikel 15, lid 1, AVG om heeft gevraagd.
B. Eerste en tweede prejudiciële vraag
37. De eerste en de tweede prejudiciële vraag kunnen tezamen worden onderzocht. De te beantwoorden vraag is in wezen of de door Pankki verzamelde en verwerkte persoonsgegevens van J. M. kunnen worden gerekend tot de informatie die de betrokkene krachtens artikel 15, lid 1, AVG gerechtigd is te verkrijgen.
1. Identiteit van de werknemers en persoonsgegevens van de betrokkene
38. Zoals reeds is opgemerkt, heeft de door J. M. opgevraagde informatie betrekking op de identiteit van de werknemers die in 2013 zijn gegevens als klant hebben geraadpleegd, alsook op het tijdstip waarop die verwerking heeft plaatsgevonden en het doel van de verwerking.
39. Ter terechtzitting is bevestigd dat J. M. zijn vordering heeft beperkt tot het verkrijgen van kennis van de identiteit van die werknemers. De specifieke vraag of de verwerking van zijn gegevens door de bankinstelling een wettelijke basis had, staat in het hoofdgeding niet ter discussie.(12)
40. Bijgevolg geldt dat:
– het tijdstip van de verwerking bij J. M. reeds bekend was toen hij zijn verzoek deed, zoals kan worden opgemaakt uit de verwijzingsbeslissing;
– het doel van de verwerking door Pankki op de hierboven beschreven wijze is meegedeeld aan J. M.(13)
41. Het debat concentreert zich daarom uitsluitend op de informatie over de identiteit van de werknemers van Pankki die persoonsgegevens van J. M. hebben verwerkt.
42. Die informatie heeft feitelijk betrekking op een specifiek aspect van de verwerkingsactiviteiten, en strikt genomen niet op de persoonsgegevens van de betrokkene in de zin van artikel 4, punt 1, AVG(14).
43. Duidelijk is dat J. M. de persoon was wiens gegevens zijn geraadpleegd.(15) Nadat hij van Pankki de bevestiging had gekregen dat zijn gegevens waren verwerkt(16), was de informatie waarop hij krachtens artikel 15, lid 1, AVG recht had die welke wordt opgesomd in de punten a) tot en met h) van die bepaling(17). De verstrekking van die informatie bevordert de uitoefening van de rechten van de betrokkene(18) in het kader van de mechanismen die de rechtmatigheid van de gegevensverwerking waarborgen.
44. Uit artikel 15, lid 1, AVG kan worden afgeleid dat de daarin bedoelde informatie betrekking heeft op de omstandigheden van de verwerking van de gegevens.
45. Artikel 15, lid 1, AVG kent de betrokkene het recht toe om van de verwerkingsverantwoordelijke het volgende te verkrijgen:
– in de eerste plaats „uitsluitsel […] over het al dan niet verwerken van hem betreffende persoonsgegevens”;
– in de tweede plaats, nadat het plaatsvinden van de verwerking is bevestigd, „inzage […] van die persoonsgegevens en van de volgende informatie”(19), dat wil zeggen inzage van hetgeen wordt opgesomd in de punten a) tot en met h) van die bepaling.
46. In de bepaling wordt onderscheid gemaakt tussen „persoonsgegevens” enerzijds en „informatie” als bedoeld in lid 1, onder a) tot en met h), anderzijds.
47. De overeenkomstig artikel 15, lid 1, onder a) tot en met h), AVG aan de betrokkene te verstrekken informatie mag dus niet worden verward met de persoonsgegevens van de betrokkene in de zin van artikel 4, punt 1, van die verordening.
48. Het gaat hier derhalve niet om gegevens, maar om informatie met betrekking tot:
– „de verwerkingsdoeleinden” [onder a)];
– „de betrokken categorieën van persoonsgegevens” [onder b)];
– „de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen” [onder d)];
– de rechten van de betrokkene die worden vermeld onder e), f) en g)(20);
– „het bestaan van geautomatiseerde besluitvorming” [onder h)].
49. In al deze gevallen ziet de informatie ofwel op bepaalde rechten van de betrokkene, ofwel in het bijzonder op bepaalde aspecten van de uitgevoerde verwerking, zoals het doel van de verwerking (wat eraan ten grondslag ligt) en het voorwerp ervan (de categorieën verwerkte gegevens).
50. De informatie over de ontvangers aan wie de persoonsgegevens van de betrokkene zijn of zullen worden verstrekt [artikel 15, lid 1, onder c), AVG] levert meer begripsmatige problemen op, waarop ik zo dadelijk zal ingaan.
51. Artikel 15, lid 1, AVG voorziet dus in een recht op informatie over het feit dat er een verwerking plaatsvindt en over de omstandigheden van die verwerking. Boven op deze informatie komt de informatie over de rechten die de betrokkene kan inroepen ten aanzien van de gegevens die worden verwerkt, zoals het recht om een klacht in te dienen bij een toezichthoudende autoriteit.
52. Dat er een verwerking plaatsvindt en de omstandigheden daarvan vormen mijns inziens geen „persoonsgegevens” in de zin van artikel 4, punt 1, AVG.
53. Het is juist dat de verwerking kan leiden tot besluiten die de betrokkene betreffen, zoals de verwijzende rechter opmerkt.(21) Een dergelijk gevolg staat echter los van de vraag welke natuurlijke persoon of personen namens en onder verantwoordelijkheid van Pankki in concreto de gegevens heeft of hebben opgevraagd, welke vraag in het hoofdgeding aan de orde is.
54. J. M. heeft derhalve het recht om van Pankki, die de verwerkingsverantwoordelijke is, informatie te ontvangen over de persoonsgegevens waarover zij beschikt en die ofwel bij J. M. zelf (artikel 13 AVG) ofwel op andere wijze (artikel 14 AVG) zijn verzameld. Ook heeft hij recht – dit keer op grond van artikel 15 AVG – op informatie over het bestaan en de omstandigheden van elke verwerking waaraan die gegevens zijn onderworpen, niet omdat die verwerking zelf een „persoonsgegeven” is, maar wel omdat artikel 15 AVG daar uitdrukkelijk in voorziet.(22)
55. Vooruitlopend op wat ik verderop uitgebreider zal uiteenzetten, is de relevante overweging hier dat het bij de identiteit van de werknemers die de gegevens van J. M. hebben geraadpleegd niet om een „persoonsgegeven” van J. M. gaat.
56. Het is een andere vraag of de logbestanden of registers die ik later zal noemen direct of indirect persoonsgegevens van de betrokkene bevatten, welke gegevens moeten worden onderscheiden van de informatie welke werknemers die gegevens hebben geraadpleegd. Of dat al dan niet het geval is, zal in hoge mate afhangen van de inhoud van de desbetreffende logbestanden of registers. Daar het hoofdgeding alleen ziet op de identiteit van de werknemers van Pankki, zij echter herhaald dat het niet gaat om persoonsgegevens van J. M., maar om persoonsgegevens van die werknemers.
2. Toegang tot informatie over de ontvangers aan wie de persoonsgegevens zijn verstrekt
57. De verwijzende rechter wenst te vernemen of J. M. er in het licht van artikel 15, lid 1, onder a) en c), AVG recht op heeft dat Pankki hem informatie verstrekt over de werknemers die zijn persoonsgegevens hebben verwerkt, ook al bevat die informatie geen persoonsgegevens van J. M.
58. Krachtens artikel 15, lid 1, onder a), heeft de betrokkene het recht om van de verwerkingsverantwoordelijke informatie over de doeleinden van de verwerking te verkrijgen. In deze bepaling (die in casu in acht is genomen, aangezien Pankki J. M. in kennis heeft gesteld van het doel van de verwerking) worden echter geen criteria aangereikt om te bepalen wie de ontvangers van de persoonsgegevens van J. M. zijn.
59. De vraag is evenwel volstrekt zinvol als het gaat om de uitlegging van artikel 15, lid 1, onder c), AVG. In herinnering zij gebracht dat de betrokkene volgens die bepaling het recht heeft om informatie te verkrijgen over „de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt”.
60. In artikel 4, punt 9, AVG wordt „ontvanger” gedefinieerd als „een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt”.
61. De zinsnede („al dan niet een derde”) zou aanleiding kunnen geven tot misverstanden over de subjectieve werkingssfeer van de bepaling, zoals ter terechtzitting is opgemerkt. Een oppervlakkige, en in mijn ogen onjuiste, lezing zou de gedachte kunnen doen postvatten dat de „ontvanger” niet alleen elke derde zou zijn aan wie Pankki de persoonsgegevens van J. M. heeft verstrekt, maar ook elk van de werknemers die die gegevens concreet hebben geraadpleegd namens en in opdracht van de rechtspersoon die Pankki is.
62. In artikel 4, punt 10, AVG wordt „derde” omschreven als „een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken”(23).
63. In het licht van het voorgaande omvat het begrip „ontvanger” naar mijn mening niet de werknemers van een rechtspersoon die, met gebruik van het computersysteem van die rechtspersoon, in opdracht van diens bestuursorganen de persoonsgegevens van een klant raadplegen. Wanneer die werknemers onder rechtstreeks gezag van de verwerkingsverantwoordelijke handelen, verkrijgen zij niet door dat enkele feit de hoedanigheid van „ontvanger” van de gegevens.(24)
64. Nu kan zich het geval voordoen dat een werknemer de door de verwerkingsverantwoordelijke vastgestelde procedures niet volgt en zich op eigen initiatief onrechtmatig toegang verschaft tot gegevens van klanten of van andere werknemers. In die situatie zou de oneerlijke werknemer niet namens en ten behoeve van de verwerkingsverantwoordelijke handelen.
65. In zoverre zou de oneerlijke werknemer kunnen worden aangemerkt als een „ontvanger” aan wie (in figuurlijke zin) – al is het door eigen hand en daardoor onrechtmatig – persoonsgegevens van de betrokkene zijn „verstrekt”(25), of zelfs als (autonome) verwerkingsverantwoordelijke(26).
66. Uit de beschrijving van de feiten in de verwijzingsbeslissing en uit de argumenten die Pankki ter terechtzitting heeft aangevoerd, kan worden opgemaakt dat deze financiële instelling haar werknemers toestemming heeft gegeven om, onder haar verantwoordelijkheid, de persoonsgegevens van J. M. te raadplegen. Die werknemers hebben derhalve de instructies van de verwerkingsverantwoordelijke opgevolgd en namens deze gehandeld. Bijgevolg kunnen zij niet worden aangemerkt als ontvangers in de zin van artikel 15, lid 1, onder c), AVG.(27)
67. Een andere kwestie is dat de identificerende gegevens van die werknemers en het tijdstip waarop elk van hen toegang tot de persoonsgegevens van de klant heeft gekregen (dat wil zeggen de inhoud van de relevante vermeldingen in bestanden of registers, waaraan ik hieronder aandacht zal besteden) ter beschikking van de toezichthoudende autoriteiten moeten worden gesteld om de regelmatigheid van hun handelingen te controleren.
68. Dit wordt bevestigd door artikel 29 AVG, waarin wordt gesproken van personen die „onder het gezag van de verwerkingsverantwoordelijke of van de verwerker [handelen] en toegang [hebben] tot persoonsgegevens”. De bewuste personen mogen dergelijke gegevens alleen verwerken in opdracht van hun werkgever, die de echte verwerkingsverantwoordelijke (of verwerker) is.
69. Het doel van artikel 15, lid 1, AVG is om de betrokkene in staat te stellen zijn rechten met betrekking tot zijn persoonsgegevens doeltreffend uit te oefenen (te verdedigen). Daarom moet hem worden meegedeeld wie de verwerkingsverantwoordelijke is, en in voorkomend geval aan welke ontvangers die gegevens zijn verstrekt. Met die informatie kan de betrokkene zich, behalve tot de verwerkingsverantwoordelijke, wenden tot de ontvangers die kennis hebben genomen van zijn gegevens.
70. De betrokkene kan natuurlijk twijfels hebben over de rechtmatigheid van de tussenkomst van bepaalde personen in het beheer van de verwerking van zijn gegevens namens en onder het gezag van de verwerkingsverantwoordelijke of de verwerker.
71. In die situatie kan hij, zoals de Tsjechische regering heeft opgemerkt en de Commissie ter terechtzitting naar voren heeft gebracht, contact opnemen met de functionaris voor gegevensbescherming (artikel 38, lid 4, AVG) of met de toezichthoudende autoriteit om een klacht in te dienen [artikel 15, lid 1, onder f), en artikel 77 AVG]. Wat hij niet heeft, is het recht om rechtstreeks een persoonsgegeven (de identiteit) te verzamelen van de werknemer die ondergeschikt is aan de verwerkingsverantwoordelijke of de verwerker en in principe conform de instructies van die laatste handelt.
72. Ter terechtzitting is aan de orde geweest of de mogelijkheid om contact op te nemen met de functionaris voor gegevensbescherming of met de toezichthoudende autoriteit een voldoende waarborg vormt vanuit het oogpunt van de verdediging van de rechten van de persoon wiens gegevens zijn verwerkt.
73. Om dat debat te beslechten kan een maximalistisch standpunt worden ingenomen, in die zin dat elke betrokkene het recht heeft om kennis te nemen van de identiteit van de werknemers van de verwerkingsverantwoordelijke die toegang tot zijn gegevens hebben gehad, ook als dat in opdracht en onder leiding van die verwerkingsverantwoordelijke is gebeurd.
74. In mijn opvatting biedt de AVG geen aanknopingspunten om dat standpunt te schragen, onverminderd de mogelijkheid voor een lidstaat om dat recht in zijn nationale wetgeving op te nemen ten aanzien van een of meer specifieke sectoren(28).
75. Het zou mijns inziens niet raadzaam zijn als het Hof de AVG zou amenderen, en daarmee quasi-wetgevende taken op zich zou nemen, om daarin een nieuwe informatieverplichting in te voeren bovenop die van artikel 15, lid 1. Dat zou gebeuren indien de verwerkingsverantwoordelijke zou worden verplicht om, zonder onderscheid, aan de betrokkene niet alleen de identiteit van de ontvanger aan wie de gegevens zijn verstrekt mee te delen, maar ook die van elke werknemer of persoon binnen de onderneming die er rechtmatig toegang toe heeft gekregen.(29)
76. Zoals Pankki ter terechtzitting heeft opgemerkt, vormt de identiteit van individuele werknemers die de verwerking van gegevens van een klant hebben beheerd bijzonder gevoelige informatie uit het oogpunt van hun veiligheid, althans in bepaalde economische sectoren.
77. Die werknemers kunnen – als zwakste schakel in de bedrijfsketen – worden blootgesteld aan pogingen om druk en invloed uit te oefenen door personen die, als klant van de bank, mogelijk belang hebben bij het personaliseren van hun gesprekspartner, die dan niet langer de financiële instelling zelf is, maar een werknemer of enkele van haar werknemers. Dit kan bijvoorbeeld geschieden wanneer er, door de raadpleging van klantgegevens, follow-up wordt gegeven aan transacties om te voldoen aan de verplichtingen waaraan banken zijn onderworpen op het gebied van het voorkomen en bestrijden van criminaliteit op financieel gebied.
78. Uiteraard kan de klant twijfelen aan de onkreukbaarheid of onpartijdigheid van de natuurlijke persoon die namens de verwerkingsverantwoordelijke betrokken is bij de verwerking van zijn gegevens. Die twijfel zou, mits deze redelijk is, het belang van de klant bij het kennisnemen van de identiteit van de werknemer kunnen rechtvaardigen met het oog op de uitoefening van zijn recht om zich tot die werknemer te wenden.
79. Gelet op de gevoeligheid van die informatie botst het belang om kennis te nemen van de identiteit van de werknemer met het niet minder onbetwistbare belang van beheerders van verwerkingen bij het behouden van de vertrouwelijkheid van de identiteit van hun werknemers en met het recht van die werknemers op bescherming van hun eigen gegevens. Het evenwichtspunt wordt naar mijn mening bereikt door bemiddeling van de toezichthoudende autoriteit, als scheidsrechter tussen deze twee met elkaar conflicterende belangen.
80. In omstandigheden als die in casu zal het dus de toezichthoudende autoriteit moeten zijn die, vanuit haar onpartijdige positie, beoordeelt of de twijfels over het handelen van werknemers van de bankinstelling zodanig gegrond en consistent zijn dat het opofferen van de vertrouwelijkheid van hun identiteit gerechtvaardigd is.
3. Toegang tot vermeldingen van de identiteit van werknemers in logbestanden of registers van verwerkingsactiviteiten
81. De beantwoording van de eerste en de tweede prejudiciële vraag zou hier kunnen stoppen, nu is vastgesteld dat de werknemers van de financiële instelling die namens en in opdracht van haar handelen strikt geoordeeld niet de in artikel 15, lid 1, onder c), AVG bedoelde ontvangers zijn.
82. Het lijkt mij echter passend om het antwoord aan te vullen met een analyse van het vermeende recht van de betrokkene om kennis te nemen van de identiteit van de werknemers wanneer die is vastgelegd in de logbestanden of registers van verwerkingsactiviteiten van een entiteit. Hoewel, zoals ik reeds heb opgemerkt, niet al die bestanden of registers noodzakelijkerwijs een identieke inhoud zullen hebben, is algemeen aanvaard dat zij weerspiegelen door wie (van de werknemers van de verwerkingsverantwoordelijke), hoe en wanneer de klantgegevens zijn geraadpleegd.
83. Dit type registers stelt de verwerkingsverantwoordelijke in staat te voldoen aan zijn verplichting om de beginselen van artikel 5, lid 1, AVG in acht te nemen en passende technische en organisatorische maatregelen te treffen om te waarborgen en te kunnen aantonen dat de verwerking voldoet aan de vereisten van die verordening (artikel 24, lid 1, en artikel 25, lid 2, AVG).
84. Binnen de specifieke werkingssfeer van richtlijn (EU) 2016/680(30), die door de Commissie is aangevoerd als voorbeeld(31) van een bijzondere gegevensbeschermingsregeling waar het gaat om strafbare feiten:
– legt artikel 24 elke verwerkingsverantwoordelijke de verplichting op om een register bij te houden van alle categorieën van onder zijn verantwoordelijkheid vallende verwerkingsactiviteiten (lid 1), en elke verwerker om een register bij te houden van alle categorieën van verwerkingsactiviteiten die hij namens een verwerkingsverantwoordelijke heeft verricht (lid 2);
– vereist artikel 25 dat „logbestanden worden bijgehouden van ten minste de volgende verwerkingen in systemen voor geautomatiseerde verwerking: verzameling, wijziging, raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en wissing. De logbestanden van raadpleging en bekendmakingen maken het mogelijk de redenen, de datum en het tijdstip van die handelingen te achterhalen en indien mogelijk de identiteit van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, en de identiteit van de ontvangers van die persoonsgegevens.”(32)
85. Volgens artikel 14 van richtlijn 2016/680 behoort informatie over specifiek de identiteit van de werknemer die de persoonsgegevens heeft verwerkt niet tot de informatie waarop de betrokkene recht heeft.
86. In dezelfde lijn schrijft artikel 30 AVG voor dat er een „register van de verwerkingsactiviteiten” moet bestaan, waarvan de inhoud overeenkomt met die van het logbestand van artikel 25 van richtlijn 2016/680, zij het dat de verwerkingen minder specifiek zijn omschreven.(33) En zoals in die laatste richtlijn, behoort de vastgelegde informatie over de identiteit van de werknemer ook in de AVG niet tot de informatie die op grond van artikel 15 ervan toegankelijk is voor de betrokkene.
87. De reden voor deze asymmetrie tussen de vastgelegde informatie en het recht op toegang daartoe ligt in het verschil tussen de doeleinden die worden gediend door de voorschriften die respectievelijk de registers van de verwerkingsactiviteiten en de toegankelijkheid van de inhoud ervan regelen.
88. De registers waar artikel 30 AVG op ziet, hebben – zoals reeds is aangegeven – tot doel om de rechtmatigheid van de verwerking en de integriteit en veiligheid van de gegevens te waarborgen. De verantwoordelijkheid daarvoor berust in algemene zin bij de toezichthoudende autoriteit, waaraan de verwerkingsverantwoordelijke en de verwerker de registers van de verwerkingsactiviteiten ter beschikking moeten stellen (artikel 30, lid 4, AVG).
89. In de AVG heeft het recht om een klacht in te dienen bij de toezichthoudende autoriteit [artikel 15, lid 1, onder f)], die verantwoordelijk is voor de correcte toepassing van die verordening, als doel om de rechten van natuurlijke personen met betrekking tot de verwerking van hun gegevens te beschermen. Dit wordt bepaald in artikel 51, lid 1, AVG en blijkt ook uit de opsomming van taken die bij artikel 57 van die verordening aan de toezichthoudende autoriteit zijn opgedragen.
90. De algemene taak om toezicht te houden op de uitvoering van de AVG en om de rechten van natuurlijke personen te beschermen rechtvaardigt de bevoegdheden van de toezichthoudende autoriteit, waaronder die om kennis te nemen van de omstandigheden waarin gegevensverwerkingen zijn uitgevoerd in opdracht van een verwerker of een verwerkingsverantwoordelijke. Om een van die omstandigheden gaat het hier: de identiteit van de personen die namens de verwerkingsverantwoordelijke of de verwerker persoonsgegevens van klanten raadplegen.
91. Nergens in de AVG wordt echter vereist dat de vermelding van de identiteit van werknemers in de interne registers van entiteiten – waardoor die entiteiten kunnen weten wie persoonsgegevens van een klant heeft onderzocht en wanneer dit is gebeurd (en waardoor zij deze gegevens in voorkomend geval ter beschikking van de toezichthoudende autoriteit kunnen stellen) – open moet staan voor kennisneming door de klant.
92. Aan de persoon op wie een specifieke verwerking betrekking heeft, moet evenwel de nodige informatie worden verstrekt om hem in staat te stellen de relevante omstandigheden te kennen, zodat hij de rechtmatigheid van de verwerking kan beoordelen en deze in voorkomend geval kan betwisten voor de toezichthoudende autoriteit of uiteindelijk voor de rechterlijke autoriteit.
93. Het voorgaande laat onverlet dat, indien de registers van de verwerkingsactiviteiten daadwerkelijk persoonsgegevens van de betrokkene bevatten (dus niet enkel de identiteit van de werknemers), de betrokkene uiteraard het recht heeft om van de verwerkingsverantwoordelijke bevestiging te krijgen dat zijn persoonsgegevens zijn verwerkt. Daartoe is het niet van belang of die gegevens zich in een register van de verwerkingsactiviteiten of in enig ander bestand of andere interne databank van de entiteit bevinden.
C. Derde prejudiciële vraag
94. De verwijzende rechter wenst te vernemen of het „van belang [is] dat de zaak betrekking heeft op een bank die een gereglementeerde activiteit uitoefent, of dat J. M. tegelijkertijd zowel werkzaam was voor de bank als een klant van haar was”.
95. Volgens mij verandert het feit dat de verwerkingsverantwoordelijke een gereglementeerde activiteit uitoefent niets aan wat ik tot nu toe heb uiteengezet. Dat die verwerkingsverantwoordelijke een bank is en dus is onderworpen aan de specifieke wetgeving voor dit type entiteiten(34), kan echter van belang zijn voor het vaststellen van de rechtmatigheid (de wettelijke basis) van de verwerking, wanneer die verwerking voortvloeit uit de naleving van de wettelijke verplichtingen die zij moet nakomen(35).
96. In beginsel is het evenmin relevant dat de persoon wiens gegevens zijn geraadpleegd een werknemer en daarnaast ook een klant van die bank was. Artikel 15, lid 1, AVG maakt geen onderscheid op basis van de beroepsactiviteit van de betrokkene en het feit dat hij tevens klant van de financiële instelling was.(36)
97. Zeker is dat, zoals de Commissie heeft opgemerkt, artikel 23 AVG de lidstaten de mogelijkheid biedt om de reikwijdte van de verplichtingen en rechten die zijn neergelegd in onder meer artikel 15 AVG, wettelijk te beperken door middel van sectorale bepalingen voor een specifieke categorie van betrokkenen. De verwijzende rechter vermeldt echter geen enkele nationale beperking van deze aard.
V. Conclusie
98. Gelet op een en ander geef ik het Hof in overweging om de Itä-Suomen hallinto-oikeus te antwoorden als volgt:
„Artikel 15, lid 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), juncto artikel 4, punt 1, van die verordening,
moet aldus worden uitgelegd dat
het van toepassing is wanneer het verzoek om toegang tot informatie dat de betrokkene aan de verwerkingsverantwoordelijke heeft gericht, is ingediend na 25 mei 2018;
het de betrokkene niet het recht verleent om, voor wat betreft de informatie waarover de verwerkingsverantwoordelijke beschikt (eventueel via registers of logbestanden), kennis te nemen van de identiteit van de werknemer of werknemers die, handelend onder het gezag en in opdracht van de verwerkingsverantwoordelijke, zijn persoonsgegevens heeft of hebben geraadpleegd.”