Itä-Suomen HAO 21.9.2021 21/0302/2
Hallinto-oikeudessa vireillä olevassa asiassa on tullut esille kysymys luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/657 (yleinen tietosuoja-asetus) 4 artiklan 1 alakohdan ja 15 artiklan 1 kohdan tulkinnasta.
Asiassa on kyse henkilötiedon käsitteen tulkinnasta ja rekisteröidyn oikeudesta tutustua hänestä kerättyihin tietoihin. Hallinto-oikeuden ratkaistavaksi asian saattanut A on työskennellyt pankissa B toimihenkilönä. A on lisäksi ollut pankin B asiakas. A on kertomansa mukaan saanut vuonna 2014 tietoonsa, että hänen omia asiakastietojaan on tarkasteltu ajalla 1.11.–31.12.2013, kun hän on työskennellyt pankissa. A on epäillyt, etteivät tietojen tarkastelun perusteet ole olleet täysin lainmukaisia. Hän on 29.5.2018 päivätyllä asiakirjalla pyytänyt pankkia B luovuttamaan hänelle tiedot, joista ilmenee hänen asiakastietojaan 1.11.–31.12.2013 käsitelleiden henkilöiden henkilöllisyys sekä tieto siitä, missä tarkoituksessa hänen asiakastietojaan on käsitelty.
Pankki on rekisterinpitäjänä 30.8.2018 A:lle antamassaan vastauksessa kieltäytynyt antamasta tietoa niiden toimihenkilöiden nimistä, jotka ovat käsitelleet hänen asiakastietojaan. Pankin näkemyksen mukaan yleisen tietosuoja-asetuksen 15 artiklan mukainen omien tietojen tarkastusoikeus ei koske pankin tietojärjestelmän lokitietoja. Pankin mukaan pyydetyt tiedot ovat pankin tietoja käsitelleen toimihenkilön henkilötietoja, ei asiakkaan.
A:lle antamassaan vastauksessa pankki on mahdollisten väärinkäsitysten poistamiseksi todennut rekisterinpitäjänä antavansa lisäselvitystä lokitietoihin liittyen. Pankin selvityksen mukaan A:n tietoja on käsitellyt pyydetyllä ajanjaksolla neljä pankin henkilökuntaan kuuluvaa ja tietojen käsittely on liittynyt pankin toisen asiakkaan käsittelyyn, johon A:lla on havaittu asiaa käsiteltäessä olleen liityntä. Toisen asiakkaan tiedoista on käynyt ilmi, että A-nimisellä henkilöllä on ollut häneen velallisasemassa oleva velkasuhde. Koska A on ollut samaan aikaan pankissa kyseisen asiakkaan asiakasvastaava, pankissa on jouduttu selvittämään, onko kyseinen velallinen ollut A ja onko siinä tapauksessa voinut olla mahdollinen epäasiallinen eturistiriitasuhde. Pankki on todennut, että se ei epäile A:ta vuonna 2013 pankissa tehtyyn tietojen käsittelyyn liittyen mistään väärinkäytöksestä.
A on saattanut asian kansallisen valvontaviranomaisen eli tietosuojavaltuutetun toimiston käsiteltäväksi ja pyytänyt, että tietosuojavaltuutettu määrää pankin luovuttamaan pyydetyt tiedot. Mikäli henkilöllä ei olisi oikeutta saada kyseisiä tietoja, ei rekisteröidyllä olisi A:n mukaan tosiasiallisia keinoja riitauttaa sitä, onko häntä koskevia tietoja käsitelty asianmukaisesti.
Apulaistietosuojavaltuutettu on päätöksellään 4.8.2020 hylännyt A:n vaatimuksen saada pääsy pyytämiinsä pankin tietoihin. Apulaistietosuojavaltuutettu ei ole siten antanut rekisterinpitäjänä toimivalle pankille yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdassa tarkoitettua määräystä noudattaa A:n pyyntöä, joka on koskenut asetukseen perustuvien rekisteröidyn oikeuksien käyttöä. Apulaistietosuojavaltuutettu on päätöksessään viitannut aiempaan ratkaisukäytäntöönsä, jonka mukaan käyttäjälokitiedot eivät ole asiakkaita itseään koskevia tietoja vaan niitä työntekijöitä koskevia tietoja, jotka ovat asiakastietoja käsitelleet.
A on Itä-Suomen hallinto-oikeudelle toimittamassaan valituksessa vaatinut apulaistietosuojavaltuutetun päätöksen kumoamista. Hallinto-oikeus katsoi, että yleisellä tietosuoja-asetuksella turvattu yksityisyyden kunnioittaminen edellyttää, että henkilötietoja käsitellään tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädetyllä tavalla lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi, sekä saman kohdan f alakohdan mukaisesti niin, että varmistetaan henkilötietojen asianmukainen turvallisuus muun muassa suojaamalla ne luvattomalta ja lainvastaiselta käsittelyltä. Edelleen saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”). Pystyäkseen täyttämään osoitusvelvollisuutensa rekisterinpitäjän on toteutettava tietosuoja-asetuksen 24 artiklan 1 kohdan mukaisesti tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tietosuoja-asetusta. Näistä syistä rekisterinpitäjät keräävät lokitietoja rekisteröityjen henkilötietoja käsitelleistä henkilöistä sekä henkilötietojen käsittelyn.
Rekisteröidyllä on 15 artiklan mukaan oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä tiedot käsittelyn tarkoituksesta, kyseessä olevista henkilöryhmistä ja vastaanottajista tai vastaanottajaryhmistä. Kyseisen artiklan perusteella jää kuitenkin epäselväksi, onko rekisterinpitäjän asetuksen 24 artiklan 1 kohdan mukaisen velvollisuutensa nojalla keräämiä tietoja, joista ilmenee rekisteröityneen henkilötietoja käsitelleiden henkilöiden henkilöllisyys sekä henkilötietojen käsittelyn ajankohdat, pidettävä 15 artiklan 1 kohdan mukaisina tietoina, joihin rekisteröidyllä on oikeus päästä vai ainoastaan henkilötietoja käsitelleiden henkilöiden henkilötietoina, joihin rekisteröidyllä ei ole oikeutta tutustua.
Yleisen tietosuoja-asetuksen johdanto-osan 9 kohdassa on todettu, että tietosuojadirektiivin 95/46/EY tavoitteet ja periaatteet ovat edelleen pätevät, mutta sen avulla ei ole pystytty estämään tietosuojan täytäntöönpanon hajanaisuutta eri puolilla unionia, oikeudellista epävarmuutta tai laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy luonnollisten henkilöiden suojelun kannalta huomattavia riskejä. Edelleen johdanto-osan 10 kohdassa on todettu, että luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa.
Asiassa nousee esiin kysymys A:n tosiasiallisesta mahdollisuudesta varmistua henkilötietojensa käsittelyn laillisuudesta. Käyttäjälokitiedot ja niiden kerääminen kertovat myös käsittelyn kohteena olevan henkilötietojen tarkastelusta (sisältö-tekijä) ja niiden käyttö voi todennäköisesti vaikuttaa hänen yksityisyyden suojan mukaisiin oikeuksiinsa (vaikutus-tekijä). Rekisteröidyn henkilötietojen tarkastusoikeus on keskeinen osa yleisen tietosuoja-asetuksen rekisteröidylle takaamia oikeuksia ja tämän oikeuden käyttäminen usein edeltää muiden tietosuoja-asetuksen mukaisten oikeuksien käyttämistä, kuten luvussa VIII säädettyjä oikeussuojakeinoja. Asiassa tulee arvioitavaksi tietoja käsitelleen asema suhteessa tarkastusoikeuttaan käyttävän rekisteröidyn asemaan. Mikäli rekisteröidyn oikeus tutustua rekisterinpitäjän keräämiin erilaisiin tietoihin eroaa eri jäsenvaltiossa, saattaa se rekisteröidyt asuinpaikkansa ja kansalaisuutensa perusteella eriarvoiseen asemaan.
Itä-Suomen hallinto-oikeus on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle SEUT 267 artiklan nojalla seuraavat ennakkoratkaisukysymykset:
1. Onko yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaista rekisteröidyn oikeutta päästä tietoihin tulkittava asetuksen 4 artiklan 1 alakohdan mukaisen henkilötietojen kanssa yhdessä siten, että rekisterinpitäjän keräämiä tietoja, joista ilmenee, ketkä rekisteröidyn henkilötietoja ovat käsitelleet, milloin ja missä tarkoituksessa, eivät ole sellaisia tietoja, joihin rekisteröidyllä olisi oikeus saada pääsy, erityisesti siksi, että kyseessä on rekisterinpitäjän työntekijöitä koskevat tiedot?
2. Mikäli vastaus kysymykseen 1 on kyllä eikä rekisteröidyllä ole yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeutta tutustua kysymyksessä mainittuihin tietoihin, koska niiden ei ole katsottava olevan yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdan mukaisia rekisteröidyn henkilötietoja, tulee asiassa vielä kysymykseen tiedot, jotka rekisteröidyllä on oikeus saada 15 artiklan 1 kohdan alakohtien nojalla:
a) Miten 15 artiklan 1 kohdan a alakohdan mukaista käsittelyn tarkoitusta on rekisteröidyn tarkastusoikeuden laajuuden kannalta tulkittava eli voiko käsittelyn tarkoitus perustaa tarkastusoikeuden rekisterinpitäjän keräämiin käyttäjälokitietoihin, kuten rekisteröidyn henkilötietoja käsitelleiden henkilötietoihin, milloin henkilötietoja on käsitelty sekä missä tarkoituksessa?
b) Voidaanko pankissa A:n asiakastietoja käsitelleet henkilöt tässä yhteydessä tietyin kriteerein määritellä tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdan mukaisiksi henkilötietojen vastaanottajiksi, joista rekisteröidyllä olisi oikeus saada tieto?
3. Onko asiassa merkitystä sillä, että kysymyksessä on säänneltyä tehtävää hoitava pankki, tai sillä että A on samaan aikaan sekä työskennellyt että ollut pankin asiakkaana?
4. Onko edellä esitettyjen kysymysten arvioinnissa merkitystä sillä, että A:n tietoja on käsitelty ennen yleisen tietosuoja-asetuksen voimaantuloa?
Saatuaan unionin tuomioistuimen ennakkoratkaisun yllä oleviin kysymyksiin hallinto-oikeus antaa lopullisen päätöksen asiassa.
Lainkohdat: Yleinen tietosuoja-asetus 4 art. 1 alakohta, 5 art. 1 kohta a alakohta ja 2 kohta, 15 art. 1 kohta ja 24 art. 1 kohta
Kokoonpano:
Asian ovat ratkaisseet hallinto-oikeuden jäsenet ylituomari Petri Saukko sekä hallinto-oikeustuomarit Timo Tervonen ja Olli Rautsi, joka on myös esitellyt asian.