–

за RW, от R. Haupt, Rechtsanwalt,

–

за Österreichische Post AG, от R. Marko, Rechtsanwalt,

–

за австрийското правителство, от G. Kunnert, A. Posch и J. Schmoll, в качеството на представители,

–

за чешкото правителство, от M. Smolek и J. Vláčil, в качеството на представители,

–

за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от M. Russo, avvocato dello Stato,

–

за латвийското правителство, от J. Davidoviča, I. Hūna и K. Pommere, в качеството на представители,

–

за румънското правителство, от L.‑E. Baţagoi, E. Gane и A. Wellman, в качеството на представители,

–

за шведското правителство, от H. Eklinder, J. Lundberg, C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev и O. Simonsson, в качеството на представители,

–

за Европейската комисия, от F. Erlbacher и H. Kranenborg, в качеството на представители,

1

Преюдициалното запитване се отнася до тълкуването на член 15, параграф 1, буква в) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1) (наричан по-нататък „ОРЗД“).

2

Запитването е отправено в рамките на спор между RW и Österreichische Post AG (наричано по-нататък „Österreichische Post“) във връзка с искане за достъп до лични данни на основание член 15, параграф 1, буква в) от ОРЗД.

3

Съображения 4, 9, 10, 39, 63 и 74 от ОРЗД гласят следното:

[…]

[…]

[…]

[…]

4

Член 1 от ОРЗД, озаглавен „Предмет и цели“, предвижда в параграф 2:

„С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни“.

5

Член 5 от ОРЗД е озаглавен „Принципи, свързани с обработването на лични данни“ и предвижда:

„1.   Личните данни са:

[…]

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

6

Член 12 от този регламент, озаглавен „Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни“, предвижда следното:

„1.   Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.

2.   Администраторът съдейства за упражняването на правата на субекта на данните по членове 15—22. В случаите, посочени в член 11, параграф 2, администраторът не отказва да предприеме действия по искане на субекта на данните за упражняване на правата му по членове 15—22, освен ако докаже, че не е в състояние да идентифицира субекта на данните.

[…]

5.   Информацията по членове 13 и 14 и всяка комуникация и действия по членове 15—22 и член 34 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може или:

Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

[…]“.

7

Член 13 от ОРЗД, озаглавен „Информация, предоставяна при събиране на лични данни от субекта на данните“, предвижда в параграф 1:

„Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

[…]

[…]“.

8

Член 14 от ОРЗД, озаглавен „Информация, предоставяна, когато личните данни не са получени от субекта на данните“, предвижда в параграф 1:

„Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

[…]

[…]“.

9

Съгласно член 15 от ОРЗД, озаглавен „Право на достъп на субекта на данните“:

„1.   Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

2.   Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 във връзка с предаването.

3.   Администраторът предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

4.   Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица“.

10

Член 16 от ОРЗД, озаглавен „Право на коригиране“, гласи:

„Субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация“.

11

Съгласно член 17 от ОРЗД, озаглавен „Право на изтриване (право „да бъдеш забравен“)“:

„1.   Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

2.   Когато администраторът е направил личните данни обществено достояние и е задължен съгласно параграф 1 да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

[…]“.

12

Член 18 от ОРЗД, озаглавен „Право на ограничаване на обработването“, предвижда в параграф 1:

„Субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното:

[…]“.

13

Член 19 от ОРЗД гласи:

„Администраторът съобщава за всяко извършено в съответствие с член 16, член 17, параграф 1 и член 18 коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това“.

14

Съгласно член 21 от ОРЗД, озаглавен „Право на възражение“:

„1.   Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

2.   Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

3.   Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

4.   Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по параграфи 1 и 2, което му се представя по ясен начин и отделно от всяка друга информация.

5.   В контекста на използването на услугите на информационното общество и независимо от Директива 2002/58/ЕО [на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63)] субектът на данните може да упражнява правото си на възражение чрез автоматизирани средства, като се използват технически спецификации.

6.   Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, субектът на данните има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от публичен интерес“.

15

Член 79 от ОРЗД, озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“, предвижда в параграф 1:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

16

Член 82 от ОРЗД, озаглавен „Право на обезщетение и отговорност за причинени вреди“, предвижда в параграф 1:

„Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

17

На 15 януари 2019 г. RW се обръща към Österreichische Post, за да получи достъп на основание член 15 от ОРЗД до свързаните с него лични данни, които се съхраняват или са се съхранявали в миналото от това дружество, а в случай на разкриване на данните на трети лица — до самоличността на тези получатели.

18

В отговор на това искане Österreichische Post само посочва, че използва данни, доколкото е разрешено от закона, в рамките на дейността си на издател на телефонни указатели и че предлага тези лични данни на търговски партньори за маркетингови цели. Освен това за по-подробна информация и относно други цели на обработването на данните това дружество препраща към уебсайт. То не е информирало RW за самоличността на конкретните получатели на данните.

19

RW предявява иск срещу Österreichische Post пред австрийските юрисдикции, като иска то да бъде задължено да му посочи по-специално самоличността на получателя/ите на така разкритите негови лични данни.

20

В хода на така започналото съдебно производство Österreichische Post уведомява RW, че личните му данни са обработени с маркетингови цели и са изпращани на клиенти, сред които рекламодатели в областта на продажбите по пощата и стационарната търговия, предприятия в областта на информационните технологии, публикуващи адресни данни предприятия и сдружения, като благотворителни организации, неправителствени организации (НПО) или политически партии.

21

Първоинстанционният и въззивният съд отхвърлят иска на RW с мотива, че доколкото член 15, параграф 1, буква в) от ОРЗД се позовава на „получателите или категориите получатели“, тази разпоредба предоставя на администратора възможността да посочи само на субекта на данни категориите получатели, без да трябва да посочва поименно конкретните получатели, на които са предадени личните данни.

22

RW подава ревизионна жалба до запитващата юрисдикция Oberster Gerichtshof (Върховен съд, Австрия).

23

Тази юрисдикция иска да се установи как трябва да се тълкува член 15, параграф 1, буква в) от ОРЗД, доколкото според нея текстът на тази разпоредба не позволява ясно да се установи дали тя предоставя на субекта на данните правото на достъп до информацията относно конкретните получатели на разкритите данни, или администраторът разполага със свобода на преценка относно начина, по който възнамерява да предприеме действия по искане за достъп до информацията относно получателите.

24

Посочената юрисдикция обаче отбелязва, че ratio legis на споменатата разпоредба по-скоро подкрепя тълкуването, че субектът на данните е този, който има избор да поиска информация за категориите получатели или за конкретните получатели на личните му данни. Според нея всяко тълкуване в обратен смисъл би засегнало сериозно ефективността на способите за защита, с които разполага субектът на данните, за да защити своите данни. Всъщност, в случай че администраторите имат избор да посочват на субектите на данни конкретните получатели или само категориите получатели, има опасност на практика почти никой от тях да не предоставя информация относно конкретните получатели.

25

Освен това според Oberster Gerichtshof, за разлика от член 13, параграф 1, буква д) и член 14, параграф 1, буква д) от ОРЗД, които предвиждат задължение за администратора да предостави посочената в тези разпоредби информация, член 15, параграф 1 от този регламент набляга на обхвата на правото на достъп на субекта на данните, което според запитващата юрисдикция цели също да покаже, че субектът на данните има право на избор дали да поиска информация за конкретните получатели или за категориите получатели.

26

Накрая, запитващата юрисдикция добавя, че предвиденото в член 15, параграф 1 от ОРЗД право на достъп се отнася не само до обработваните в момента лични данни, но и до всички данни, обработвани в миналото. В това отношение тя уточнява, че съображенията, съдържащи се в решение от 7 май 2009 г., Rijkeboer (C‑553/07, EU:C:2009:293), основани на целта на правото на достъп, предвидено в Директива № 95/46, могат да бъдат приложени към правото на достъп по член 15 от ОРЗД, още повече че от съображения 9 и 10 от този регламент може да се заключи, че законодателят на Съюза не е възнамерявал да намали нивото на защита в сравнение с посочената директива.

27

При тези обстоятелства Oberster Gerichtshof (Върховен съд) решава да спре производството и да постави на Съда следния преюдициален въпрос:

„Трябва ли член 15, параграф 1, буква в) от [ОРЗД] да се тълкува в смисъл, че правото на достъп на субекта на данните се ограничава до информация за категориите получатели, ако конкретните получатели все още не са известни към момента на предвиденото разкриване, но това право задължително трябва да обхваща и получателите на тази информация, когато данните вече са били разкрити?“.

28

С преюдициалния си въпрос запитващата юрисдикция иска по същество да се установи дали член 15, параграф 1, буква в) от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на достъп на субекта на данните до свързаните с него лични данни включва — когато тези данни са или ще бъдат разкрити пред получатели — задължението на администратора да уведоми този субект за конкретната самоличност на тези получатели.

29

В самото начало следва да се припомни, че съгласно постоянната съдебна практика тълкуването на разпоредба от правото на Съюза изисква да се вземе предвид не само нейният текст, но и контекстът, в който тя се вписва, както и целите на правната уредба, от която тя е част (решение от 15 март 2022 г., Autorité des marchés financier, C‑302/20, EU:C:2022:190, т. 63). Освен това, когато една разпоредба от правото на Съюза подлежи на различни тълкувания, предимство трябва да се отдаде на това, което може да запази нейното полезно действие (решение от 7 март 2018 г., Cristal Union,C‑31/17, EU:C:2018:168, т. 41 и цитираната съдебна практика).

30

Що се отнася най-напред до текста на член 15, параграф 1, буква в) от ОРЗД, следва да се припомни, че според тази разпоредба субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и до информацията относно получателите или категориите получатели, пред които са или ще бъдат разкрити тези лични данни.

31

В това отношение следва да се отбележи, че понятията „получатели“ и „категории получатели“, съдържащи се в тази разпоредба, се използват едно след друго, без да е възможно да се изведе предимство на едното спрямо другото.

32

Ето защо трябва да се отбележи, че текстът на член 15, параграф 1, буква в) от ОРЗД не позволява да се определи еднозначно дали субектът на данните би имал право да бъде информиран за конкретната самоличност на получателите на данните, когато свързаните с него лични данни са или ще бъдат разкрити.

33

По-нататък, що се отнася до контекста, в който се вписва член 15, параграф 1, буква в) от ОРЗД, важно е да се припомни, на първо място, че съображение 63 от този регламент предвижда, че субектът на данните трябва да има правото да е запознат и да получава информация по-специално относно самоличността на получателите на тези лични данни, и не уточнява, че това право би могло да се ограничи само до категориите получатели, както отбелязва генералният адвокат в точка 23 от заключението си.

34

На второ място, следва също да се припомни, че за да бъде спазено правото на достъп, всяко обработване на лични данни на физически лица трябва да е в съответствие с принципите, прогласени в член 5 от ОРЗД (вж. в този смисъл решение от 16 януари 2019 г., Deutsche Post,C‑496/17, EU:C:2019:26, т. 57).

35

Сред тези принципи обаче е принципът на прозрачност, посочен в член 5, параграф 1, буква а) от ОРЗД, който изисква, както следва от съображение 39 от този регламент, субектът на данните да разполага с информация за начина, по който се обработват неговите лични данни, и тази информация да е леснодостъпна и разбираема.

36

На трето място, следва да се отбележи, както подчертава генералният адвокат в точка 21 от заключението си, че за разлика от членове 13 и 14 от ОРЗД, които предвиждат задължение за администратора да предостави на субекта на данните информация относно категориите получатели или конкретните получатели на свързаните с него лични данни, когато тези данни се събират или не се събират от субекта на данните, член 15 от ОРЗД предвижда истинско право на достъп в полза на субекта на данните, така че последният трябва да има избор да получи или информация за конкретните получатели, пред които данните са или ще бъдат разкрити, когато това е възможно, или информация за категориите получатели.

37

На четвърто място, Съдът вече е постановил, че упражняването на това право на достъп трябва да позволи на субекта на данните да провери не само дали свързаните с него данни са точни, но и дали се обработват законосъобразно (вж. по аналогия решения от 17 юли 2014 г., YS и др., C‑141/12 и C‑372/12, EU:C:2014:2081, т. 44, и от 20 декември 2017 г., Nowak, C‑434/16, EU:C:2017:994, т. 57), по-специално дали са били разкрити пред оправомощени получатели (вж. по аналогия решение от 7 май 2009 г., Rijkeboer, С‑553/07, EU:C:2009:293, т. 49).

38

В частност това право на достъп е необходимо, за да може субектът на данните евентуално да упражни правото си на коригиране, правото си на изтриване (право „да бъдеш забравен“), правото си на ограничаване на обработването, които са му признати съответно в членове 16, 17 и 18 от ОРЗД (вж. по аналогия решения от 17 юли 2014 г., YS и др., С‑141/12 и С‑372/12, EU:C:2014:2081, т. 44, и от 20 декември 2017 г., Nowak, C‑434/16, EU:C:2017:994, т. 57), както и правото си на възражение срещу обработване на неговите лични данни, предвидено в член 21 от ОРЗД, и правото си на иск в случай на претърпени вреди, предвидено в членове 79 и 82 от ОРЗД (вж. по аналогия решение от 7 май 2009 г., Rijkeboer, С‑553/07, EU:C:2009:293, т. 52).

39

Така, за да се гарантира полезното действие на всички права, посочени в предходната точка от настоящото решение, субектът на данни трябва да има, по-специално, право да бъде информиран за самоличността на конкретните получатели, в случай че личните му данни вече са били разкрити.

40

Това тълкуване се потвърждава, на пето и последно място, от прочита на член 19 от ОРЗД, който предвижда в първото си изречение, че по принцип администраторът съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, а във второто си изречение — че този администратор информира субекта на данните относно тези получатели, ако субектът на данните поиска това.

41

Така член 19, второ изречение от ОРЗД изрично предоставя на субекта на данните правото да бъде информиран за конкретните получатели на свързаните с него данни от администратора в рамките на задължението на последния да информира всички получатели за упражняването на правата, с които този субект разполага съгласно член 16, член 17, параграф 1 и член 18 от ОРЗД.

42

От направения по-горе анализ на контекста следва, че член 15, параграф 1, буква в) от ОРЗД е една от разпоредбите, предназначени да гарантират прозрачността на реда и условията за обработване на личните данни по отношение на субекта на данните, и позволява на това лице, както отбелязва генералният адвокат в точка 33 от заключението си, да упражнява прерогативите, предвидени по-специално в членове 16—19, 21, 79 и 82 от ОРЗД.

43

Ето защо следва да се приеме, че информацията, предоставяна на субекта на данните по силата на правото на достъп, предвидено в член 15, параграф 1, буква в) от ОРЗД, трябва да бъде възможно най-точна. По-специално, това право на достъп включва възможността субектът на данните да получи от администратора информация за конкретните получатели, пред които данните са или ще бъдат разкрити, или, алтернативно, да избере да се ограничи до това да поиска информация относно категориите получатели.

44

Накрая, що се отнася до преследваната от ОРЗД цел, трябва да се отбележи, че както следва от съображение 10 от този регламент, той има за цел по-специално да гарантира високо ниво на защита на физическите лица в Съюза (решение от 6 октомври 2020 г., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 207). В това отношение, както по същество отбелязва генералният адвокат в точка 14 от заключението си, създадената с ОРЗД обща правна рамка изпълнява изискванията, произтичащи от основното право на защита на личните данни, защитено с член 8 от Хартата на основните права на Европейския съюз, и по-специално изискванията, изрично предвидени в параграф 2 от този член (вж. в този смисъл решение от 9 март 2017 г., Manni, C‑398/15, EU:C:2017:197, т. 40).

45

Тази цел обаче е в подкрепа на тълкуването на член 15, параграф 1 от ОРЗД, съдържащо се в точка 43 от настоящото решение.

46

Ето защо от преследваната от ОРЗД цел следва също, че субектът на данните има право да получи от администратора информация за конкретните получатели, пред които са или ще бъдат разкрити свързаните с него лични данни.

47

При това положение е важно накрая да се подчертае, че както следва от съображение 4 от ОРЗД, правото на защита на личните данни не е абсолютно право. Всъщност това право трябва да бъде разглеждано във връзка с функцията си в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност, както Съдът по същество потвърждава в точка 172 от решение от 16 юли 2020 г., Facebook Ireland и Schrems (C‑311/18, EU:C:2020:559).

48

Следователно може да се приеме, че при определени обстоятелства не е възможно да се предостави информация за конкретни получатели. Поради това правото на достъп може да бъде ограничено до информацията за категориите получатели, ако е невъзможно да се разкрие самоличността на конкретните получатели, по-специално когато те все още не са известни.

49

Освен това следва да се припомни, че по силата на член 12, параграф 5, буква б) от ОРЗД администраторът може, в съответствие с принципа на отговорност, посочен в член 5, параграф 2 от този регламент, както и в съображение 74 от него, да откаже да предприеме действия по исканията на субекта на данните, когато те са явно неоснователни или прекомерни, като се има предвид, че същият този администратор трябва да докаже явната неоснователност или прекомерност на посочените искания.

50

В случая от акта за преюдициално запитване е видно, че Österreichische Post е отхвърлило искането на RW, предявено на основание член 15, параграф 1 от ОРЗД, да му предостави данни за самоличността на получателите, пред които е разкрило свързаните с него лични данни. Запитващата юрисдикция следва да провери дали с оглед на обстоятелствата по главното производство Österreichische Post е доказало, че това искане е явно неоснователно или прекомерно.

51

С оглед на всички изложени по-горе съображения на преюдициалния въпрос следва да се отговори, че член 15, параграф 1, буква в) от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на достъп на субекта на данните до свързаните с него лични данни включва — когато тези данни са или ще бъдат разкрити пред получатели — задължението на администратора да уведоми това лице за самоличността на тези получатели, освен ако е невъзможно да се установят получателите или администраторът докаже, че исканията за достъп на субекта на данните са явно неоснователни или прекомерни по смисъла на член 12, параграф 5 от ОРЗД, като в тези случаи администраторът може да посочи на субекта на данните само категориите получатели, за които става въпрос.

52

Тъй като за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (първи състав) реши:

Член 15, параграф 1, буква в) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

следва да се тълкува в смисъл, че:

предвиденото в тази разпоредба право на достъп на субекта на данните до свързаните с него лични данни включва — когато тези данни са или ще бъдат разкрити пред получатели — задължението на администратора да уведоми това лице за самоличността на тези получатели, освен ако е невъзможно да се установят получателите или администраторът докаже, че исканията за достъп на субекта на данните са явно неоснователни или прекомерни по смисъла на член 12, параграф 5 от Регламент 2016/679, като в тези случаи администраторът може да посочи на субекта на данните само категориите получатели, за които става въпрос.