UNIONIN TUOMIOISTUIMEN TUOMIO (ensimmäinen jaosto)

22 päivänä kesäkuuta 2023 (*)

Ennakkoratkaisupyyntö – Henkilötietojen käsittely – Asetus (EU) 2016/679 – 4 ja 15 artikla – 15 artiklassa tarkoitettuihin tietoihin tutustumista koskevan oikeuden laajuus – Tietojenkäsittelyjärjestelmän tuottamiin lokitiedostoihin sisältyvät tiedot (käyttäjälokitiedot) – 4 artikla – Henkilötietojen käsite – Vastaanottajien käsite – Ajallinen soveltaminen

Asiassa C‑579/21,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Itä‑Suomen hallinto‑oikeus (Suomi) on esittänyt 21.9.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 22.9.2021, saadakseen ennakkoratkaisun asiassa, jonka on pannut vireille

J.M.

ja jossa asian käsittelyyn osallistuvat

apulaistietosuojavaltuutettu ja

Pankki S,

UNIONIN TUOMIOISTUIN (ensimmäinen jaosto),

toimien kokoonpanossa: jaoston puheenjohtaja A. Arabadjiev sekä tuomarit P. G. Xuereb, T. von Danwitz, A. Kumin ja I. Ziemele (esittelevä tuomari),

julkisasiamies: M. Campos Sánchez-Bordona,

kirjaaja: hallintovirkamies C. Strömholm,

ottaen huomioon kirjallisessa käsittelyssä ja 12.10.2022 pidetyssä istunnossa esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–        J.M., itse,

–        apulaistietosuojavaltuutettu, edustajanaan A. Talus, tietosuojavaltuutettu,

–        Pankki S, edustajinaan T. Kalliokoski ja J. Lång, asianajajat, sekä E.‑L. Hokkonen, oikeustieteen maisteri,

–        Suomen hallitus, asiamiehinään A. Laine ja H. Leppo,

–        Tšekin hallitus, asiamiehinään A. Edelmannová, M. Smolek ja J. Vláčil,

–        Itävallan hallitus, asiamiehenään A. Posch,

–        Euroopan komissio, asiamiehinään A. Bouchagiar, H. Kranenborg ja I. Söderlund,

kuultuaan julkisasiamiehen 15.12.2022 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

1        Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 15 artiklan 1 kohdan tulkintaa.

2        Tämä pyyntö on esitetty J.M:n vireille panemassa asiassa, jossa J.M. vaatii kumoamaan apulaistietosuojavaltuutetun (Suomi) päätöksen, jolla hylättiin hänen vaatimuksensa siitä, että Pankki S, joka on Suomeen sijoittautunut pankki, määrättäisiin luovuttamaan hänelle eräitä tietoja, jotka koskevat hänen henkilötietoihinsa tehtyjä kyselyjä.

 Asiaa koskevat oikeussäännöt

3        Yleisen tietosuoja-asetuksen johdanto‑osan 4, 10, 11, 26, 39, 58, 60, 63 ja 74 perustelukappaleessa todetaan seuraavaa:

”(4)      Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmiskuntaa. Oikeus henkilötietojen suojaan ei ole absoluuttinen; – –

– –

(10)      Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet [Euroopan] unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. – –

(11)      Henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien sekä henkilötietoja käsittelevien ja henkilötietojen käsittelyä määrittävien velvollisuuksien vahvistamista ja täsmentämistä – –

– –

(26)      – – Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. – –

– –

(39)      Henkilötietojen käsittelyn olisi oltava laillista ja asianmukaista. Luonnollisille henkilöille olisi oltava läpinäkyvää, että heitä koskevia henkilötietoja kerätään ja käytetään ja niihin tutustutaan tai niitä käsitellään muulla tavoin sekä missä määrin henkilötietoja käsitellään tai on määrä käsitellä. Läpinäkyvyyden periaate edellyttää, että kyseisten henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tämä periaate koskee erityisesti rekisteröidyille annettavia tietoja rekisterinpitäjän identiteetistä ja käsittelyn tarkoituksista sekä lisätietoja, joilla varmistetaan kyseisiä luonnollisia henkilöitä koskevien henkilötietojen käsittelyn asianmukaisuus ja läpinäkyvyys, sekä heidän oikeuttaan saada vahvistus ja tieto heitä koskevien henkilötietojen käsittelystä. Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää tällaista käsittelyä koskevia oikeuksiaan. Varsinkin henkilötietojen käsittelyn tarkoitusten olisi oltava nimenomaisia ja laillisia ja ne olisi määriteltävä henkilötietojen keruun yhteydessä. – –

– –

(58)      Läpinäkyvyyden periaatteen mukaisesti yleisölle tai rekisteröidylle tarkoitettujen tietojen on oltava tiiviisti esitettyjä sekä helposti saatavilla ja ymmärrettäviä, ne on ilmaistava selkeällä ja yksinkertaisella kielellä ja lisäksi tarvittaessa ne on havainnollistettava. Tällaiset tiedot voidaan antaa sähköisessä muodossa esimerkiksi internetsivuston kautta silloin kun ne on tarkoitettu yleisölle. Tämä on erityisen tärkeää tilanteissa, joissa rekisteröidyn on toimijoiden suuren määrän ja käytänteiden teknisen monimutkaisuuden vuoksi vaikea tietää ja ymmärtää, kerätäänkö hänen henkilötietojaan tai ketkä niitä keräävät ja mitä tarkoitusta varten; tällainen tilanne voi olla esimerkiksi verkkomainonnan kaltaisissa yhteyksissä. Koska lapset tarvitsevat erityistä suojelua, kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä on käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä.

– –

(60)      Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista. Rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys. – –

– –

(63)      Rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. – – Jokaisella rekisteröidyllä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista, ja jos mahdollista, käsittelyajasta, henkilötietojen vastaanottajista, käsiteltävien henkilötietojen automaattisen käsittelyn logiikasta sekä kyseisen käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. – – Tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai teollis- ja tekijänoikeudet ja erityisesti ohjelmistoja suojaavat tekijänoikeudet. – –

– –

(74)      Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan luettuna. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.”

4        Yleisen tietosuoja-asetuksen 1 artiklan, jonka otsikko on ”Kohde ja tavoitteet”, 2 kohdassa säädetään seuraavaa:

”Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.”

5        Yleisen tietosuoja-asetuksen 4 artiklassa säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

1)      ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön – – liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

2)      ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

– –

7)      ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; – –

– –

9)      ’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. – –

– –

21)      ’valvontaviranomaisella’ jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista,

– –”

6        Yleisen tietosuoja-asetuksen 5 artiklassa, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, säädetään seuraavaa:

”1.      Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)      niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’);

– –

f)      niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (’eheys ja luottamuksellisuus’).

2.      Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”

7        Yleisen tietosuoja-asetuksen 12 artiklassa, jonka otsikko on ”Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten”, säädetään seuraavaa:

”1.      Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä – –. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. – –

– –

5.      – – Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi – –

– –

b)      kieltäytyä suorittamasta pyydettyä toimea.

Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

– –”

8        Yleisen tietosuoja-asetuksen 15 artiklassa, jonka otsikko on ”Rekisteröidyn oikeus saada tutustua tietoihin”, säädetään seuraavaa:

”1.      Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada seuraavat tiedot:

a)      käsittelyn tarkoitukset;

b)      kyseessä olevat henkilötietoryhmät;

c)      vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;

d)      mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e)      rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;

f)      oikeus tehdä valitus [oikeammin: kantelu] valvontaviranomaiselle;

g)      jos henkilötietoja ei kerätä rekisteröidyltä, kaikki saatavilla olevat tiedot tietojen alkuperästä;

h)      jäljempänä 22 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, mukaan lukien profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

– –

3.      Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. – –

4.      Oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.”

9        Yleisen tietosuoja-asetuksen 16 ja 17 artiklassa vahvistetaan rekisteröidyn oikeus saada virheelliset henkilötiedot oikaistuiksi (oikeus tietojen oikaisemiseen) sekä oikeus näiden tietojen poistamiseen tietyissä olosuhteissa (oikeus tietojen poistamiseen eli ”oikeus tulla unohdetuksi”).

10      Yleisen tietosuoja-asetuksen 18 artiklan, jonka otsikko on ”Oikeus käsittelyn rajoittamiseen”, 1 kohdassa säädetään seuraavaa:

”Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:

a)      rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;

b)      käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

c)      rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

d)      rekisteröity on vastustanut henkilötietojen käsittelyä 21 artiklan 1 kohdan nojalla odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.”

11      Yleisen tietosuoja-asetuksen 21 artiklan, jonka otsikko on ”Vastustamisoikeus”, 1 kohdassa säädetään seuraavaa:

”Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.”

12      Yleisen tietosuoja-asetuksen 24 artiklan 1 kohdassa säädetään seuraavaa:

”Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. – –”

13      Yleisen tietosuoja-asetuksen 29 artiklassa, jonka otsikko on ”Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa”, säädetään seuraavaa:

”Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.”

14      Yleisen tietosuoja-asetuksen 30 artiklassa, jonka otsikko on ”Seloste käsittelytoimista”, säädetään seuraavaa:

”1.      Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. – –

– –

4.      Rekisterinpitäjän – – sekä tarvittaessa rekisterinpitäjän – – edustajan on pyydettäessä saatettava seloste valvontaviranomaisen saataville.

– –”

15      Yleisen tietosuoja-asetuksen 58 artiklan, jonka otsikko on ”Valtuudet”, 1 kohdassa säädetään seuraavaa:

”Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:

a)      määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustaja antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;

– –”

16      Yleisen tietosuoja-asetuksen 77 artiklassa, jonka otsikko on ”Oikeus tehdä kantelu valvontaviranomaiselle”, säädetään seuraavaa:

”1.      Jokaisella rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2.      Valvontaviranomaisen, jolle kantelu on tehty, on ilmoitettava kantelun tekijälle sen etenemisestä ja ratkaisusta, mukaan lukien 78 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.”

17      Yleisen tietosuoja-asetuksen 79 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”, 1 kohdassa säädetään seuraavaa:

”Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle.”

18      Yleisen tietosuoja-asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamiseen”, 1 kohdassa säädetään seuraavaa:

”Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.”

19      Yleistä tietosuoja-asetusta on sen 99 artiklan 2 kohdan mukaan sovellettu 25.5.2018 alkaen.

 Pääasia ja ennakkoratkaisukysymykset

20      Ollessaan Pankki S:n toimihenkilö ja asiakas J.M. sai vuonna 2014 tietoonsa, että pankin toimihenkilöt olivat 1.11.–31.12.2013 useita kertoja tarkastelleet hänen asiakastietojaan.

21      Koska J.M., jonka Pankki S oli tällä välin irtisanonut, epäili näiden tietojen tarkastelujen lainmukaisuutta, hän pyysi 29.5.2018 Pankki S:ää ilmoittamaan hänelle hänen asiakastietojaan tarkastelleiden henkilöiden henkilöllisyyden sekä näiden tarkasteluiden tarkat päivämäärät ja tarkoitukset.

22      Pankki S kieltäytyi yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä 30.8.2018 antamassaan vastauksessa ilmoittamasta tietoja tarkastelleiden toimihenkilöiden henkilöllisyyttä sillä perusteella, että nämä tiedot olivat kyseisten toimihenkilöiden henkilötietoja.

23      Tässä vastauksessa Pankki S antoi kuitenkin tarkentavia tietoja tarkasteluista, jotka pankin sisäisen tarkastuksen yksikkö oli suorittanut pankin antamien ohjeiden perusteella. Se selitti, että eräs pankin asiakas, jonka asiakasvastaava J.M. oli, oli sellaisen henkilön velkoja, jonka nimi oli myös J.M., joten pankki halusi selvittää, olivatko pääasian valittaja ja kyseessä oleva velallinen sama henkilö ja oliko siinä tapauksessa voinut olla olemassa mahdollinen epäasiallinen eturistiriitasuhde. Pankki S lisäsi, että asian selvittäminen edellytti J.M:n tietojen käsittelyä ja että jokainen hänen tietojaan käsitellyt pankin henkilöstöön kuuluva oli antanut sisäiselle tarkastukselle lausunnon tietojen käsittelyn syistä. Lisäksi pankki totesi, että näiden tietojen tarkastelujen avulla oli voitu sulkea pois kaikki epäilyt eturistiriidasta J.M:n osalta.

24      J.M. saattoi asian yleisen tietosuoja-asetuksen 4 artiklan 21 alakohdassa tarkoitettuna valvontaviranomaisena toimivan tietosuojavaltuutetun toimiston (Suomi) käsiteltäväksi, jotta Pankki S määrättäisiin luovuttamaan hänelle pyydetyt tiedot.

25      Apulaistietosuojavaltuutettu (Suomi) hylkäsi J.M:n vaatimuksen 4.8.2020 tekemällään päätöksellä. Apulaistietosuojavaltuutettu selitti, että tällaisella vaatimuksella pyrittiin mahdollistamaan J.M:lle pääsy hänen tietojaan käsitelleiden työntekijöiden käyttäjälokitietoihin, vaikka apulaistietosuojavaltuutetun aikaisemman ratkaisukäytännön mukaan käyttäjälokitiedot eivät ole rekisteröityä koskevia henkilötietoja vaan niitä työntekijöitä koskevia henkilötietoja, jotka ovat käsitelleet rekisteröityä koskevia henkilötietoja.

26      J.M. valitti tästä päätöksestä ennakkoratkaisua pyytäneeseen tuomioistuimeen.

27      Kyseinen tuomioistuin muistuttaa, että yleisen tietosuoja-asetuksen 15 artiklassa säädetään rekisteröidyn oikeudesta saada rekisterinpitäjältä pääsy häntä koskeviin käsiteltyihin tietoihin sekä tiedot muun muassa käsittelyn tarkoituksista ja tietojen vastaanottajista. Se pohtii, kuuluuko käsittelytoimien yhteydessä luotujen käyttäjälokitietojen, jotka sisältävät tällaisia tietoja ja erityisesti tiedot rekisterinpitäjän työntekijöiden henkilöllisyydestä, luovuttaminen yleisen tietosuoja-asetuksen 15 artiklan soveltamisalaan, koska nämä tiedostot saattavat osoittautua rekisteröidylle tarpeellisiksi, jotta hän voi arvioida tietojensa käsittelyn lainmukaisuutta.

28      Tässä tilanteessa Itä‑Suomen hallinto‑oikeus (Suomi) päätti lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)      Onko yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaista rekisteröidyn oikeutta päästä tietoihin tulkittava asetuksen 4 artiklan 1 alakohdan mukaisen henkilötietojen [käsitteen] kanssa yhdessä siten, että rekisterinpitäjän keräämät tiedot, joista ilmenee, ketkä rekisteröidyn henkilötietoja ovat käsitelleet, milloin ja missä tarkoituksessa, eivät ole sellaisia tietoja, joihin rekisteröidyllä olisi oikeus saada pääsy, erityisesti siksi, että kyseessä on rekisterinpitäjän työntekijöitä koskevat tiedot?

2)      Mikäli vastaus kysymykseen 1 on kyllä eikä rekisteröidyllä ole yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeutta tutustua kysymyksessä mainittuihin tietoihin, koska niiden ei ole katsottava olevan yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdan mukaisia rekisteröidyn henkilötietoja, tulee asiassa vielä kysymykseen tiedot, jotka rekisteröidyllä on oikeus saada 15 artiklan 1 kohdan [a–h alakohdan] nojalla:

a)      Miten 15 artiklan 1 kohdan a alakohdan mukaista käsittelyn tarkoitusta on rekisteröidyn tarkastusoikeuden laajuuden kannalta tulkittava eli voiko käsittelyn tarkoitus perustaa tarkastusoikeuden rekisterinpitäjän keräämiin käyttäjälokitietoihin, kuten rekisteröidyn henkilötietoja käsitelleiden henkilötietoihin, milloin henkilötietoja on käsitelty sekä missä tarkoituksessa?

b)      Voidaanko pankissa J.M:n asiakastietoja käsitelleet henkilöt tässä yhteydessä tietyin kriteerein määritellä tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdan mukaisiksi henkilötietojen vastaanottajiksi, joista rekisteröidyllä olisi oikeus saada tieto?

3)      Onko asiassa merkitystä sillä, että kysymyksessä on säänneltyä tehtävää hoitava pankki, tai sillä, että J.M. on samaan aikaan sekä työskennellyt että ollut pankin asiakkaana?

4)      Onko edellä esitettyjen kysymysten arvioinnissa merkitystä sillä, että J.M:n tietoja on käsitelty ennen yleisen tietosuoja-asetuksen voimaantuloa?”

 Ennakkoratkaisukysymysten tarkastelu

 Neljäs kysymys

29      Neljännellä kysymyksellään, joka on syytä tutkia aluksi, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, sovelletaanko yleisen tietosuoja-asetuksen 15 artiklaa, luettuna yhdessä kyseisen asetuksen 99 artiklan 2 kohdan kanssa, pyyntöön saada tutustua ensiksi mainitussa säännöksessä tarkoitettuihin tietoihin, kun pyynnössä tarkoitetut käsittelytoimet on suoritettu ennen mainitun asetuksen soveltamisen alkamispäivää mutta pyyntö on esitetty kyseisen päivän jälkeen.

30      Tähän kysymykseen vastaamiseksi on todettava, että yleisen tietosuoja-asetuksen 99 artiklan 2 kohdan mukaan kyseistä asetusta sovelletaan 25.5.2018 alkaen.

31      Nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä ilmenee, että pääasiassa kyseessä olevat henkilötietojen käsittelytoimet suoritettiin 1.11.2013–31.12.2013 eli ennen yleisen tietosuoja-asetuksen soveltamisen alkamispäivää. Ennakkoratkaisupyynnöstä ilmenee kuitenkin myös, että J.M. esitti tietopyyntönsä Pankki S:lle kyseisen päivämäärän jälkeen eli 29.5.2018.

32      Tässä yhteydessä on muistutettava, että menettelysääntöjä katsotaan yleensä voitavan soveltaa sinä päivänä, jona ne tulevat voimaan, toisin kuin aineellisia sääntöjä, joita tavanomaisesti tulkitaan siten, että niitä sovelletaan ennen niiden voimaantuloa syntyneisiin ja lopullisiksi tulleisiin tilanteisiin ainoastaan siinä tapauksessa, että niiden sanamuodosta, tarkoituksesta tai systematiikasta käy selvästi ilmi, että niille on annettava tällainen vaikutus (tuomio 15.6.2021, Facebook Ireland ym., C‑645/19, EU:C:2021:483, 100 kohta oikeuskäytäntöviittauksineen).

33      Nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä ilmenee, että J.M:n pyyntö saada pääasiassa kyseessä olevat tiedot liittyy yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaan, jossa säädetään rekisteröidyn oikeudesta saada tutustua itseään koskeviin käsiteltäviin henkilötietoihin sekä kyseisessä säännöksessä tarkoitettuihin tietoihin.

34      On todettava, että mainittu säännös ei koske rekisteröidyn henkilötietojen käsittelyn lainmukaisuuden edellytyksiä. Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa nimittäin vain täsmennetään, miten laaja on kyseisen henkilön oikeus saada tutustua kyseisessä artiklassa tarkoitettuihin tietoihin.

35      Kuten julkisasiamies on todennut ratkaisuehdotuksensa 33 kohdassa, tästä seuraa, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa annetaan rekisteröidyille menettelyllinen oikeus saada tietoja henkilötietojensa käsittelystä. Koska kyseinen säännös on menettelyä koskeva sääntö, sitä sovelletaan tietoihin tutustumista koskeviin pyyntöihin, jotka on J.M:n pyynnön tavoin esitetty kyseisen asetuksen soveltamisen alkamispäivän jälkeen.

36      Näin ollen neljänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 15 artiklaa, luettuna yhdessä kyseisen asetuksen 99 artiklan 2 kohdan kanssa, on tulkittava siten, että sitä sovelletaan kyseisessä säännöksessä tarkoitettuihin tietoihin tutustumista koskevaan pyyntöön silloin, kun pyynnössä tarkoitetut käsittelytoimet on suoritettu ennen mainitun asetuksen soveltamisen alkamispäivää mutta pyyntö on esitetty kyseisen päivän jälkeen.

 Ensimmäinen ja toinen kysymys

37      Ensimmäisellä ja toisella kysymyksellään, joita on tarkasteltava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaa tulkittava siten, että henkilön henkilötietoihin tehtyihin kyselyihin liittyvät tiedot kyselytoimien ajankohdista ja tarkoituksista sekä näitä toimia suorittaneiden luonnollisten henkilöiden henkilöllisyydestä ovat tietoja, jotka kyseisellä henkilöllä on oikeus saada rekisterinpitäjältä kyseisen säännöksen nojalla.

38      Aluksi on syytä muistuttaa, että vakiintuneen oikeuskäytännön mukaan unionin oikeussäännön tulkinta edellyttää, että huomioon otetaan paitsi sen sanamuoto myös asiayhteys, johon se kuuluu, sekä sen toimen tavoitteet ja tarkoitus, jonka osa se on (tuomio 12.1.2023, Österreichische Post (Henkilötietojen vastaanottajiin liittyvät tiedot), C‑154/21, EU:C:2023:3, 29 kohta).

39      Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan sanamuodosta on ensinnäkin muistutettava, että kyseisessä säännöksessä säädetään, että rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja, jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada tiedot vastaanottajista tai vastaanottajaryhmistä, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa.

40      Tältä osin on korostettava, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaan sisältyvät käsitteet määritellään kyseisen asetuksen 4 artiklassa.

41      Näin ollen ensinnäkin yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa määritellään ”henkilötiedoilla” tarkoitettavan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön – – liittyviä tietoja” ja täsmennetään, että ”tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.

42      Ilmaisun ”kaikki tiedot” käyttäminen kyseiseen säännökseen sisältyvässä henkilötietojen määritelmässä heijastaa unionin lainsäätäjän pyrkimystä antaa laaja merkitys tälle käsitteelle, joka voi kattaa kaikenlaiset tiedot, sekä objektiiviset että subjektiiviset tiedot, jotka ilmaistaan mielipiteen tai arvion muodossa, edellyttäen, että ne ”koskevat” kyseessä olevaa henkilöä (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 23 kohta).

43      Tältä osin on todettu, että tieto koskee tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, kun tieto liittyy tunnistettavissa olevaan henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 24 kohta).

44      Luonnollisen henkilön tunnistettavuuden osalta yleisen tietosuoja-asetuksen johdanto-osan 26 perustelukappaleessa täsmennetään, että on otettava huomioon ”kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista”.

45      Tästä seuraa, että henkilötietojen käsitteen laaja määritelmä kattaa paitsi rekisterinpitäjän keräämät ja säilyttämät tiedot, myös kaikki henkilötietojen käsittelystä saadut tiedot, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä (ks. vastaavasti tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 26 kohta).

46      Toiseksi käsittelyn käsitteestä, sellaisena kuin se on määritelty yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa, on todettava, että käyttäessään ilmaisua ”[kaikenlainen] toiminto” unionin lainsäätäjä on tarkoittanut antaa tälle käsitteelle laajan ulottuvuuden käyttämällä ei‑tyhjentävää luetteloa toimista, joita kohdistetaan tietoihin tai henkilötietoja sisältäviin tietojoukkoihin ja joihin kuuluvat muun muassa kerääminen, tallentaminen, säilyttäminen tai kysely (ks. vastaavasti tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 27 kohta).

47      Kolmanneksi yleisen tietosuoja-asetuksen 4 artiklan 9 alakohdassa täsmennetään, että ”vastaanottajalla” tarkoitetaan ”luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei”.

48      Tältä osin unionin tuomioistuin on katsonut, että rekisteröidyllä on oikeus saada rekisterinpitäjältä tietoja konkreettisista vastaanottajista, joille häntä koskevat henkilötiedot on luovutettu tai luovutetaan (tuomio 12.1.2023, Österreichische Post (Henkilötietojen vastaanottajiin liittyvät tiedot), C‑154/21, EU:C:2023:3, 46 kohta).

49      Näin ollen yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan sanamuodon ja siihen sisältyvien käsitteiden tarkastelusta ilmenee, että rekisteröidylle tässä säännöksessä myönnetylle tiedonsaantioikeudelle on ominaista niiden tietojen laaja ulottuvuus, jotka rekisterinpitäjän on toimitettava rekisteröidylle.

50      Asiayhteydestä, johon yleisen tietosuoja-asetuksen 15 artiklan 1 kohta kuuluu, on seuraavaksi muistutettava ensinnäkin, että kyseisen asetuksen johdanto-osan 63 perustelukappaleen mukaan jokaisella rekisteröidyllä olisi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista, ja jos mahdollista, käsittelyajasta ja henkilötietojen vastaanottajista.

51      Yleisen tietosuoja-asetuksen johdanto-osan 60 perustelukappaleessa todetaan toiseksi, että asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista, ja siinä korostetaan, että rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys. Lisäksi ennakkoratkaisua pyytäneen tuomioistuimen mainitseman läpinäkyvyyden periaatteen mukaan, johon yleisen tietosuoja-asetuksen johdanto-osan 58 perustelukappaleessa viitataan ja joka vahvistetaan nimenomaisesti kyseisen asetuksen 12 artiklan 1 kohdassa, rekisteröidylle tarkoitettujen tietojen on oltava tiiviisti esitettyjä sekä helposti saatavilla ja ymmärrettäviä ja ne on ilmaistava selkeällä ja yksinkertaisella kielellä.

52      Tältä osin yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa täsmennetään, että rekisterinpitäjän on toimitettava tiedot kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa, ellei rekisteröity pyydä niiden antamista suullisesti. Tämän säännöksen, jossa ilmaistaan läpinäkyvyyden periaate, tavoitteena on taata, että rekisteröity kykenee ymmärtämään kaikilta osin tiedot, jotka hänelle toimitetaan (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 38 kohta oikeuskäytäntöviittauksineen).

53      Edellä esitetystä asiayhteyden tarkastelusta seuraa, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohta on yksi säännöksistä, joilla on tarkoitus taata henkilötietojen käsittelyä koskevien menettelytapojen avoimuus rekisteröityyn nähden.

54      Tätä tulkintaa yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa säädetyn tiedonsaantioikeuden laajuudesta tukevat myös tämän asetuksen tavoitteet.

55      Ensinnäkin sen tarkoituksena on sen johdanto-osan 10 ja 11 perustelukappaleessa todetuin tavoin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu unionissa sekä vahvistaa ja täsmentää rekisteröityjen oikeuksia.

56      Kuten lisäksi yleisen tietosuoja-asetuksen johdanto-osan 63 perustelukappaleesta ilmenee, henkilön oikeudella saada pääsy omiin henkilötietoihinsa ja kyseisen asetuksen 15 artiklan 1 kohdassa tarkoitettuihin muihin tietoihin pyritään ensinnäkin siihen, että tällä henkilöllä on mahdollisuus saada tieto käsittelystä ja tarkistaa sen lainmukaisuus. Kuten tämän tuomion 50 kohdassa todetaan, kyseisen perustelukappaleen mukaan tästä seuraa, että jokaisella rekisteröidyllä olisi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista ja, jos mahdollista, käsittelyajasta ja henkilötietojen vastaanottajista ja tietojenkäsittelyn logiikasta.

57      Tältä osin on toiseksi syytä muistuttaa, että unionin tuomioistuin on jo todennut, että yleisen tietosuoja-asetuksen 15 artiklassa säädetyn tiedonsaantioikeuden on taattava se, että rekisteröity voi varmistua henkilötietojensa paikkansapitävyydestä ja siitä, että niitä käsitellään lainmukaisesti (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 34 kohta).

58      Tämä tiedonsaantioikeus on erityisesti tarpeen, jotta rekisteröity voi tarvittaessa käyttää hänelle yleisen tietosuoja-asetuksen 16–18 artiklalla annettuja oikeuksia tietojen oikaisemiseen, tietojen poistamiseen (”oikeus tulla unohdetuksi”) ja käsittelyn rajoittamiseen samoin kuin yleisen tietosuoja-asetuksen 21 artiklassa säädettyä henkilötietojen käsittelyn vastustamista koskevaa oikeutta sekä kyseisen asetuksen 79 ja 82 artiklassa säädettyjä oikeussuojakeinoja, jos hänelle aiheutuu vahinkoa (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 35 kohta oikeuskäytäntöviittauksineen).

59      Näin ollen yleisen tietosuoja-asetuksen 15 artiklan 1 kohta on yksi niistä säännöksistä, joilla pyritään takaamaan henkilötietojen käsittelyä koskevien menettelytapojen läpinäkyvyys rekisteröityyn nähden (tuomio 12.1.2023, Österreichische Post (Henkilötietojen vastaanottajiin liittyvät tiedot), C‑154/21, EU:C:2023:3, 42 kohta), jota ilman hän ei kykenisi arvioimaan tietojensa käsittelyn lainmukaisuutta ja käyttämään muun muassa kyseisen asetuksen 16–18, 21, 79 ja 82 artiklassa säädettyjä oikeuksia.

60      Nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä ilmenee, että J.M. pyysi Pankki S:ää toimittamaan hänelle tietoja kyselytoimista, jotka koskivat hänen henkilötietojaan 1.11.2013–31.12.2013, sekä tiedot näiden kyselyjen päivämääristä, niiden tarkoituksista ja kyselyt suorittaneiden henkilöiden henkilöllisyydestä. Ennakkoratkaisua pyytänyt tuomioistuin täsmentää, että J.M:n pyyntöön vastaaminen olisi mahdollista luovuttamalla kyselytoimien yhteydessä syntyneet käyttäjälokitiedot.

61      Nyt käsiteltävässä asiassa on riidatonta, että kyselytoimet, jotka koskivat pääasian valittajan henkilötietoja, ovat yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua käsittelyä, joten kyseisen asetuksen 15 artiklan 1 kohdan nojalla ne eivät perusta hänelle ainoastaan oikeutta saada tutustua näihin henkilötietoihin vaan myös oikeuden saada näihin kyselytoimiin liittyvät tiedot, jotka mainitaan viimeksi mainitussa säännöksessä.

62      Kun kyse on sellaisista tiedoista, joita J.M. on pyytänyt, ensinnäkin kyselytoimien ajankohtia koskevan tiedon avulla rekisteröidyn on mahdollista saada vahvistus siitä, että hänen henkilötietojaan on todellakin käsitelty tiettynä ajankohtana. Lisäksi yleisen tietosuoja-asetuksen 5 ja 6 artiklassa säädettyjen lainmukaisuuden edellytysten on täytyttävä juuri käsittelyn ajankohtana, joten käsittelyn ajankohta on tieto, jonka perusteella sen lainmukaisuus voidaan tarkistaa. On myös korostettava, että kyseisen asetuksen 15 artiklan 1 kohdan a alakohdassa viitataan nimenomaisesti tietoon käsittelyn tarkoituksista. Mainitun asetuksen 15 artiklan 1 kohdan c alakohdassa säädetään vielä, että rekisterinpitäjän on ilmoitettava rekisteröidylle vastaanottajat, joille hänen henkilötietojaan on luovutettu.

63      Siltä osin kuin on erityisesti kyse kaikkien tällaisten tietojen ilmoittamisesta toimittamalla pääasiassa kyseessä olevia käsittelytoimia koskevat käyttäjälokitiedot, on syytä todeta, että yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan ensimmäisessä virkkeessä säädetään, että rekisterinpitäjän ”on toimitettava jäljennös käsiteltävistä henkilötiedoista”.

64      Tältä osin unionin tuomioistuin on jo todennut, että näin käytetyllä jäljennöksen käsitteellä tarkoitetaan alkuperäiskappaletta vastaavaa toisintoa tai transkriptiota, joten käsiteltävien tietojen puhtaasti yleinen kuvaus tai viittaus henkilötietojen ryhmiin ei vastaa tätä määritelmää. Lisäksi kyseisen asetuksen 15 artiklan 3 kohdan ensimmäisen virkkeen sanamuodosta ilmenee, että tiedoksiantovelvollisuus koskee henkilötietoja, jotka ovat kyseisen käsittelyn kohteena (ks. vastaavasti tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 21 kohta).

65      Jäljennöksen, joka rekisterinpitäjän on toimitettava, on sisällettävä kaikki käsiteltävät henkilötiedot, ja jäljennöksellä on oltava kaikki ominaisuudet, joiden perusteella rekisteröity voi käyttää tehokkaasti yleisen tietosuoja-asetuksen mukaisia oikeuksiaan, ja siinä on näin ollen toistettava nämä tiedot kokonaisuudessaan ja tarkasti (ks. vastaavasti tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 32 ja 39 kohta).

66      Sen takaamiseksi, että näin toimitetut tiedot ovat helposti ymmärrettävissä, kuten yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa, luettuna yhdessä kyseisen asetuksen johdanto-osan 58 perustelukappaleen kanssa, edellytetään, asiakirjojen otteiden tai kokonaisten asiakirjojen tai tietokantojen otteiden, jotka sisältävät muun muassa käsiteltäviä henkilötietoja, toisintaminen voi osoittautua välttämättömäksi, jos käsiteltyjen tietojen kontekstualisointi on tarpeen niiden ymmärrettävyyden varmistamiseksi. Erityisesti silloin, kun henkilötietoja tuotetaan muiden tietojen perusteella tai kun tällaiset tiedot ovat peräisin vapaista kentistä eli siitä, ettei anneta tietoja, mikä paljastaa tietoja rekisteröidystä, asiayhteys, jossa näitä tietoja käsitellään, on välttämätön tekijä, jotta rekisteröity voi saada kyseiset tiedot läpinäkyvässä ja ymmärrettävästi esitetyssä muodossa (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 41 ja 42 kohta).

67      Kuten julkisasiamies on todennut ratkaisuehdotuksensa 88–90 kohdassa, nyt käsiteltävässä tapauksessa lokitiedostot, jotka sisältävät J.M:n pyytämät tiedot, ovat yleisen tietosuoja-asetuksen 30 artiklassa tarkoitettuja selosteita käsittelytoimista. Niiden on katsottava kuuluvan kyseisen asetuksen johdanto-osan 74 perustelukappaleessa mainittuihin toimenpiteisiin, joita rekisterinpitäjä toteuttaa osoittaakseen, että käsittelytoimet ovat mainitun asetuksen mukaisia. Saman asetuksen 30 artiklan 4 kohdassa täsmennetään erityisesti, että ne on pyynnöstä saatettava valvontaviranomaisen saataville.

68      Kun nämä selosteet käsittelytoimista eivät sisällä tämän tuomion 42 ja 43 kohdassa mainitussa oikeuskäytännössä tarkoitettuja tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskevia tietoja, niiden perusteella rekisterinpitäjä voi ainoastaan täyttää velvoitteensa valvontaviranomaiseen nähden, joka pyytää niiden toimittamista.

69      Kun kyse on erityisesti rekisterinpitäjän käyttäjälokitiedoista, jäljennöksen toimittaminen niihin sisältyvistä tiedoista voi osoittautua välttämättömäksi, jotta täytettäisiin velvollisuus antaa rekisteröidylle oikeus tutustua kaikkiin yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitettuihin tietoihin ja taattaisiin asianmukainen ja läpinäkyvä käsittely siten, että hänellä on mahdollisuus toteuttaa kyseiseen asetukseen perustuvat oikeutensa täysimääräisesti.

70      Ensinnäkin nimittäin käyttäjälokitiedot paljastavat, että tietoja on käsitelty, mikä on sellainen tieto, johon rekisteröidyllä on yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oltava oikeus saada tutustua. Lisäksi niistä ilmenee tiedot kyselytoimien toistumistiheydestä ja intensiteetistä, joten ne antavat rekisteröidylle mahdollisuuden varmistua, että suoritetulle käsittelylle on todella ollut rekisterinpitäjän esittämien tarkoitusten mukaiset perusteet.

71      Toiseksi käyttäjälokitiedot sisältävät kyselytoimet suorittaneiden henkilöiden henkilöllisyyttä koskevat tiedot.

72      Nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä ilmenee, että henkilöt, jotka toteuttivat pääasiassa kyseessä olevat kyselytoimet, ovat Pankki S:n työntekijöitä, jotka ovat toimineet sen alaisuudessa ja sen antamien ohjeiden mukaisesti.

73      Vaikka yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdasta seuraa, että rekisteröidyllä on oikeus saada rekisterinpitäjältä tiedot vastaanottajista tai vastaanottajaryhmistä, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa, rekisterinpitäjän työntekijöitä ei voida pitää yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdassa tarkoitettuina vastaanottajina tämän tuomion 47 ja 48 kohdassa mainitussa merkityksessä heidän käsitellessään henkilötietoja rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti, kuten julkisasiamies on todennut ratkaisuehdotuksensa 63 kohdassa.

74      Tältä osin on korostettava, että yleisen tietosuoja-asetuksen 29 artiklan mukaan kukaan rekisterinpitäjän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti.

75      Käyttäjälokitietoihin sisältyvät tiedot henkilöistä, jotka ovat tehneet kyselyjä rekisteröidyn henkilötietoihin, voivat kuitenkin olla yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuihin tietoihin, jotka on palautettu mieliin tämän tuomion 41 kohdassa, kuuluvia tietoja, jotka voivat antaa rekisteröidylle mahdollisuuden tarkistaa, että hänen henkilötietojensa käsittely on tapahtunut lainmukaisesti, ja varmistua muun muassa siitä, että käsittelytoimet on todella toteutettu rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti.

76      Kuitenkin ennakkoratkaisupyynnöstä ilmenee ensinnäkin, että pääasiassa kyseessä olevien kaltaisiin käyttäjälokitietoihin sisältyvien tietojen perusteella voidaan tunnistaa käsittelytoimia suorittaneet työntekijät ja että käyttäjälokitiedot sisältävät kyseisiä työntekijöitä koskevia yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja.

77      Tältä osin on syytä muistuttaa, että yleisen tietosuoja-asetuksen 15 artiklassa säädetyn tiedonsaantioikeuden osalta kyseisen asetuksen johdanto-osan 63 perustelukappaleessa täsmennetään, että ”tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin”.

78      Yleisen tietosuoja-asetuksen johdanto-osan neljännen perustelukappaleen mukaan oikeus henkilötietojen suojaan ei nimittäin ole absoluuttinen, koska sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on oltava oikeassa suhteessa muihin perusoikeuksiin (ks. vastaavasti tuomio 16.7.2020, Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, 172 kohta).

79      Siinäkin tapauksessa, että rekisterinpitäjän työntekijöiden henkilöllisyyttä koskevien tietojen antaminen rekisteröidylle, jonka henkilötietoja on käsitelty, olisi rekisteröidylle tarpeen, jotta hän voisi varmistua henkilötietojensa käsittelyn lainmukaisuudesta, se voi kuitenkin loukata näiden työntekijöiden oikeuksia ja vapauksia.

80      Tästä seuraa, että jos tiedonsaantioikeuden käyttäminen, jolla taataan rekisteröidylle yleisessä tietosuoja-asetuksessa annettujen oikeuksien tehokas vaikutus, ja muiden oikeudet tai vapaudet joutuvat keskenään ristiriitaan, kyseessä olevia oikeuksia ja vapauksia on punnittava keskenään. Mahdollisuuksien mukaan on valittava menettelytavat, joilla ei vaikuteta haitallisesti muiden oikeuksiin tai vapauksiin, samalla kun otetaan huomioon, että – kuten yleisen tietosuoja-asetuksen johdanto-osan 63 perustelukappaleesta ilmenee – tällaiset seikat eivät saa kuitenkaan ”johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa” (ks. vastaavasti tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 44 kohta).

81      Toiseksi ennakkoratkaisupyynnöstä ilmenee kuitenkin, että J.M. ei pyydä hänen henkilötietoihinsa tehtyjä kyselyjä tehneiden Pankki S:n työntekijöiden henkilöllisyyttä koskevia tietoja sillä perusteella, etteivät nämä olisi tosiasiallisesti toimineet rekisterinpitäjän alaisuudessa ja sen antamien ohjeiden mukaisesti, vaan hän näyttää epäilevän Pankki S:n hänelle toimittamien näiden kyselyjen tarkoitusta koskevien tietojen paikkansapitävyyttä.

82      Tässä tilanteessa on niin, että jos rekisteröity katsoo, että rekisterinpitäjän antamat tiedot eivät ole riittäviä hälventämään hänen epäilyjään henkilötietoihinsa kohdistuneen käsittelyn lainmukaisuudesta, hänellä on yleisen tietosuoja-asetuksen 77 artiklan 1 kohdan nojalla oikeus tehdä valvontaviranomaiselle kantelu, ja valvontaviranomaisella on kyseisen asetuksen 58 artiklan 1 kohdan a alakohdan nojalla toimivalta määrätä rekisterinpitäjä antamaan kaikki tiedot, jotka valvontaviranomainen tarvitsee rekisteröidyn tekemän kantelun tutkimiseksi.

83      Edellä todetusta seuraa, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaa on tulkittava siten, että henkilön henkilötietoihin tehtyihin kyselyihin liittyvät tiedot kyselytoimien ajankohdista ja tarkoituksista ovat tietoja, jotka kyseisellä henkilöllä on oikeus saada rekisterinpitäjältä tämän säännöksen nojalla. Mainitussa säännöksessä ei sen sijaan vahvisteta tällaista oikeutta tietoihin, jotka koskevat rekisterinpitäjän niiden työntekijöiden henkilöllisyyttä, jotka ovat suorittaneet kyselytoimet rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti, paitsi jos nämä tiedot ovat välttämättömiä, jotta rekisteröity voi tosiasiallisesti käyttää kyseiseen asetukseen perustuvia oikeuksiaan, ja edellyttäen, että näiden työntekijöiden oikeudet ja vapaudet otetaan huomioon.

 Kolmas kysymys

84      Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannella kysymyksellään lähinnä, onko yhtäältä sillä seikalla, että rekisterinpitäjä harjoittaa pankkitoimintaa säännellyn tehtävän puitteissa, ja toisaalta sillä, että henkilö, jonka henkilötietoja rekisterinpitäjän asiakkaana on käsitelty, on myös ollut tämän rekisterinpitäjän työntekijä, merkitystä määritettäessä kyseiselle henkilölle yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa annetun tiedonsaantioikeuden laajuutta.

85      Aluksi on korostettava, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa säädetyn tiedonsaantioikeuden soveltamisalan osalta missään tämän asetuksen säännöksessä ei tehdä eroa rekisterinpitäjän toiminnan luonteen tai henkilön, jonka henkilötietoja käsitellään, aseman perusteella.

86      Yhtäältä Pankki S:n toiminnan säännellystä luonteesta on todettava, että yleisen tietosuoja-asetuksen 23 artiklan mukaan jäsenvaltiot voivat lainsäädäntötoimenpiteellä rajoittaa muun muassa kyseisen asetuksen 15 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa.

87      Ennakkoratkaisupyynnöstä ei kuitenkaan ilmene, että Pankki S:n toimintaan sovellettaisiin tällaista lainsäädäntöä.

88      Toisaalta siitä seikasta, että J.M. on ollut samanaikaisesti Pankki S:n asiakas ja työntekijä, on todettava, että kun otetaan huomioon sekä yleisen tietosuoja-asetuksen tavoitteet että rekisteröidyllä olevan tiedonsaantioikeuden laajuus, sellaisina kuin ne on mainittu tämän tuomion 49 ja 55–59 kohdassa, sillä asiayhteydellä, jossa kyseinen henkilö pyytää pääsyä yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitettuihin tietoihin, ei voi olla minkäänlaista vaikutusta kyseisen oikeuden laajuuteen.

89      Näin ollen yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaa on tulkittava siten, että sillä seikalla, että rekisterinpitäjä harjoittaa pankkitoimintaa säännellyn tehtävän puitteissa ja että henkilö, jonka henkilötietoja rekisterinpitäjän asiakkaana on käsitelty, on myös ollut tämän rekisterinpitäjän työntekijä, ei lähtökohtaisesti ole merkitystä määritettäessä kyseisellä henkilöllä kyseisen säännöksen nojalla olevan tiedonsaantioikeuden laajuutta.

 Oikeudenkäyntikulut

90      Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (ensimmäinen jaosto) on ratkaissut asian seuraavasti:

1)      Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 15 artiklaa, luettuna yhdessä kyseisen asetuksen 99 artiklan 2 kohdan kanssa,

on tulkittava siten, että

sitä sovelletaan kyseisessä säännöksessä tarkoitettuihin tietoihin tutustumista koskevaan pyyntöön silloin, kun pyynnössä tarkoitetut käsittelytoimet on suoritettu ennen mainitun asetuksen soveltamisen alkamispäivää mutta pyyntö on esitetty kyseisen päivän jälkeen.

2)      Asetuksen 2016/679 15 artiklan 1 kohtaa

on tulkittava siten, että

henkilön henkilötietoihin tehtyihin kyselyihin liittyvät tiedot kyselytoimien ajankohdista ja tarkoituksista ovat tietoja, jotka kyseisellä henkilöllä on oikeus saada rekisterinpitäjältä tämän säännöksen nojalla. Mainitussa säännöksessä ei sen sijaan vahvisteta tällaista oikeutta tietoihin, jotka koskevat rekisterinpitäjän niiden työntekijöiden henkilöllisyyttä, jotka ovat suorittaneet kyselytoimet rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti, paitsi jos nämä tiedot ovat välttämättömiä, jotta rekisteröity voi tosiasiallisesti käyttää kyseiseen asetukseen perustuvia oikeuksiaan, ja edellyttäen, että näiden työntekijöiden oikeudet ja vapaudet otetaan huomioon.

3)      Asetuksen 2016/679 15 artiklan 1 kohtaa

on tulkittava siten, että

sillä seikalla, että rekisterinpitäjä harjoittaa pankkitoimintaa säännellyn tehtävän puitteissa ja että henkilö, jonka henkilötietoja rekisterinpitäjän asiakkaana on käsitelty, on myös ollut tämän rekisterinpitäjän työntekijä, ei lähtökohtaisesti ole merkitystä määritettäessä kyseisellä henkilöllä kyseisen säännöksen nojalla olevan tiedonsaantioikeuden laajuutta.

Julistettiin Luxemburgissa 22 päivänä kesäkuuta 2023.

*      Oikeudenkäyntikieli: suomi.