[Odesłanie prejudycjalne - Przetwarzanie danych osobowych - Rozporządzenie (UE) 2016/679 - Artykuły 4 i 15 - Zakres prawa dostępu do informacji, o których mowa w art. 15 - Informacje zawarte w plikach dziennika wygenerowanych przez system przetwarzania (log data) - Artykuł 4 - Pojęcie "danych osobowych" - Pojęcie "odbiorców" - Stosowanie w czasie]Język postępowania: fiński
(2023/C 278/06)
(Dz.U.UE C z dnia 7 sierpnia 2023 r.)
Sąd odsyłający
Ita-Suomen hallinto-oikeus
Strony w postępowaniu głównym
Strona skarżąca: J.M
przy udziale: Apulaistietosuojavaltuutettu, Pankki S
Sentencja
1) Artykuł 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) w związku z art. 99 ust. 2 tego rozporządzenia
należy interpretować w ten sposób, że:
ma on zastosowanie do żądania udzielenia dostępu do informacji, o których mowa w tym przepisie, gdy operacje przetwarzania, których dotyczy to żądanie, zostały przeprowadzone przed datą rozpoczęcia stosowania tego rozporządzenia, ale żądanie zostało złożone po tej dacie.
2) Artykuł 15 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
informacje dotyczące operacji przeglądania danych osobowych danej osoby odnoszące się do dat i celów tych operacji stanowią informacje, które osoba ta ma prawo uzyskać od administratora na podstawie tego przepisu. Natomiast przepis ten nie ustanawia takiego prawa w odniesieniu do informacji dotyczących tożsamości pracowników wspomnianego administratora, którzy przeprowadzili te operacje z jego upoważnienia i zgodnie z jego poleceniami, chyba że informacje te są niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie i pod warunkiem że uwzględnione zostaną prawa i wolności tych pracowników.
3) Artykuł 15 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
okoliczność, iż administrator prowadzi działalność bankową regulowaną i że osoba, której dane osobowe jako klienta administratora były przetwarzane, była również pracownikiem tego administratora, nie ma co do zasady wpływu na zakres prawa przysługującego tej osobie na podstawie tego przepisu.