Yleinen tietosuoja-asetus - Oikeus saada tutustua tietoihin - Rekisterinpitäjän lokitiedot - Käsittelytoimien ajankohdat - Käsittelytoimien tarkoitus - Työntekijöiden henkilöllisyys

Taltio:	2891/2023
Diaarinumero:	2034/03.04.04.04.01/2020
Antopäivä:	22.12.2023

Diaarinumero: 2034/03.04.04.04.01/2020
Taltionumero: 2891/2023
Antopäivä: 22.12.2023

Valittaja oli pyytänyt Pankki S:n luovuttamaan hänelle tiedot, joista ilmenee hänen asiakastietojaan ajalla 1.11. - 31.12.2013 käsitelleiden henkilöiden nimet ja asemat, käsittelytoimien päivämäärät ja missä tarkoituksessa asiakastietoja oli käsitelty.

Pankki S oli rekisterinpitäjänä 30.8.2018 kieltäytynyt antamasta tietoa niiden toimihenkilöiden nimistä, jotka ovat käsitelleet valittajan asiakastietoja. Asian selventämiseksi ja mahdollisten väärinkäsitysten poistamiseksi valittajalle oli kuitenkin annettu selvitys lokitietoihin liittyen. Selvityksen mukaan pankkiryhmän sisäisen tarkastuksen perusteella neljä pankin henkilökuntaan kuuluvaa henkilöä oli käsitellyt valittajan tietoja neljänä päivänä marras- ja joulukuussa 2013. Tietojen käsittely oli liittynyt pankin toisen asiakkaan asian käsittelyyn, johon valittajalla oli havaittu asiaa käsiteltäessä olleen liityntä. Pankissa oli jouduttu havainnon johdosta selvittämään, oliko kyseessä ollut mahdollinen epäasiallinen eturistiriitasuhde. Tarkastajan antaman lausunnon mukaan tehdyssä selvityksessä ei ole havaittu sellaisia tili- ja asiakastietojen kyselyitä, joilla ei olisi yhteyttä palvelutapahtumaan tai muuhun asianmukaiseen tehtävään.

Apulaistietosuojavaltuutettu oli valituksenalaisella päätöksellään hylännyt valittajan pyynnön saada pääsy Pankki S:n tietoihin, joista ilmenivät ajalla 1.11. - 31.12.2013 valittajan asiakastietoja käsitelleiden henkilöiden nimet ja asemat, käsittelytoimien ajankohdat ja missä tarkoituksessa asiakastietoja oli käsitelty. Päätöksessä apulaistietosuojavaltuutettu oli katsonut valittajan vaatimusten vastaavan tosiasiallisesti pyyntöä päästä käyttäjälokitietoihin. Päätöksen perustelujen mukaan käyttäjälokitiedot eivät olleet asiakkaita koskevia tietoja vaan niitä työntekijöitä koskevia tietoja, jotka olivat asiakastietoja käsitelleet. Näin ollen kysymyksessä olevat lokitiedot eivät olleet sellaisia valittajaa koskevia tietoja, joihin hänellä olisi oikeus saada pääsy.

Hallinto-oikeudella oli asiaa ratkaistessaan käytettävissään Pankki S:n lokitiedot, joista ilmenivät muun ohella valittajan pyytämät tämän asiakastietoihin tehtyjen kyselytoimien ajankohdat sekä tietoja käsitelleiden toimihenkilöiden henkilöllisyys. Lokitiedoista ei sen sijaan ilmennyt käsittelyn tarkoitus yleisen tietosuoja-asetuksen 15 (1) artiklan a alakohdan tarkoittamalla tavalla. Asiassa oli siten kysymys siitä, oliko valittajalle luovutettava Pankki S:n käyttäjälokista tiedot käsittelytoimien ajankohdista sekä käsittelijöiden henkilöllisyydestä valittajan yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetun oikeuden toteuttamiseksi. Erikseen oli myös arvioitava, oliko Pankki S ilmoittanut valittajalle tämän tekemän pyynnön johdosta tietojen käsittelyn tarkoituksesta yleisen tietosuoja-asetuksen edellyttämällä tavalla.

Unionin tuomioistuin oli hallinto-oikeuden ennakkoratkaisupyynnön johdosta antamassaan tuomiossa C-579/21 muun ohella todennut, että henkilötietojen käsitteen laaja määritelmä kattaa paitsi rekisterinpitäjän keräämät ja säilyttämät tiedot, myös kaikki henkilötietojen käsittelystä saadut tiedot, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä, ja vahvistanut, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaa on tulkittava siten, että henkilön henkilötietoihin tehtyihin kyselyihin liittyvät tiedot kyselytoimien ajankohdista ja tarkoituksista ovat tietoja, jotka kyseisellä henkilöllä on oikeus saada rekisterinpitäjältä tämän säännöksen nojalla. Mainitussa säännöksessä ei sen sijaan vahvisteta tällaista oikeutta tietoihin, jotka koskevat rekisterinpitäjän niiden työntekijöiden henkilöllisyyttä, jotka ovat suorittaneet kyselytoimet rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti, paitsi jos nämä tiedot ovat välttämättömiä, jotta rekisteröity voi tosiasiallisesti käyttää kyseiseen asetukseen perustuvia oikeuksiaan, ja edellyttäen, että näiden työntekijöiden oikeudet ja vapaudet otetaan huomioon.

Hallinto-oikeus kumosi apulaistietosuojavaltuutetun päätöksen ja palautti asian valtuutetulle uudelleen käsiteltäväksi. Apulaistietosuojavaltuutetun oli annettava jäljempänä johtopäätöksistä ilmenevä määräys sen jälkeen, kun hallinto-oikeuden päätös oli saanut lainvoiman. Hallinto-oikeus perusteli päätöstään keskeisesti seuraavin perustein:

Käsittelyn ajankohdat

Unionin tuomioistuin oli tuomion kohdassa 69 todennut, että kun kyse on erityisesti rekisterinpitäjän käyttäjälokitiedoista, jäljennöksen toimittaminen niihin sisältyvistä tiedoista voi osoittautua välttämättömäksi, jotta täytettäisiin velvollisuus antaa rekisteröidylle oikeus tutustua kaikkiin yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitettuihin tietoihin ja taattaisiin asianmukainen ja läpinäkyvä käsittely siten, että hänellä on mahdollisuus toteuttaa kyseiseen asetukseen perustuvat oikeutensa täysimääräisesti.

Kun unionin tuomioistuin oli vahvistanut antamassaan tuomiossa, että tiedot kyselytoimien ajankohdista ovat sellaisia tietoja, jotka henkilöllä on oikeus saada rekisterinpitäjältä yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla, eikä asiassa ollut ilmennyt, että valittajan henkilötietojen käsittelyn ajankohtia olisi ollut mahdollista saada muualta kuin Pankki S:n käyttäjälokin tiedoista, hallinto-oikeus katsoi, että käyttäjälokin tietojen antaminen käsittelyn ajankohtia koskevilta osin oli välttämätöntä, jotta valittaja voi muun muassa kyselytoimien toistumistiheyden ja intensiteetin perusteella varmistua siitä, että suoritetulle käsittelylle oli ollut rekisterinpitäjän esittämien tarkoitusten mukaiset perusteet. Asiassa ei ollut ilmennyt, että valittajan henkilötietojen käsittelyn päivämääriä koskevat tiedot paljastaisivat pankin liikesalaisuuksiksi katsottavia tietoja, ja että niiden antaminen olisi siten ristiriidassa pankin oikeuksien tai vapauksien kanssa, tai että valittajan tiedonsaantioikeutta olisi tältä osin muutoinkaan rajoitettava yleisen tietosuoja-asetuksen 23 artiklan nojalla säädetyn tietosuojalain 34 §:n 1 momentissa mainituilla perusteilla. Valittajan pyyntöä ei voitu pitää myöskään yleisen tietosuoja-asetuksen 12 artiklan 5 kohdassa tarkoitetulla tavalla ilmeisen perusteettomana tai kohtuuttomana.

Yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan ensimmäisen virkkeen mukaan rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Unionin oikeuskäytännön mukaan yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan ensimmäiseen virkkeen sanamuodon mukaan säännöksellä annetaan rekisteröidylle oikeus saada alkuperäistä vastaava toisinto laajassa merkityksessään ymmärretyistä henkilötiedoistaan, joihin kohdistetaan toimintoja, jotka on luokiteltava rekisterinpitäjän suorittamaksi käsittelyksi. Näin käytetyllä jäljennöksen käsitteellä tarkoitetaan alkuperäiskappaletta vastaavaa toisintoa tai transkriptiota, joten käsiteltävien tietojen puhtaasti yleinen kuvaus tai viittaus henkilötietojen ryhmiin ei vastaa tätä määritelmää. Ilmaisu ”jäljennös” ei liity asiakirjaan sellaisenaan, vaan sen sisältämiin henkilötietoihin, joiden on oltava täydelliset. Jäljennöksen on näin ollen sisällettävä kaikki käsiteltävät henkilötiedot ja siinä on toistettava nämä tiedot kokonaisuudessaan ja tarkasti (ks. tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C-487/21, EU:C:2023:369, kohdat 21, 28, 32 ja 39).

Unionin tuomioistuimen tässä asiassa antaman tuomion kohdan 66 mukaan sen takaamiseksi, että jäljennöksenä toimitetut tiedot ovat helposti ymmärrettävissä, asiakirjojen otteiden tai kokonaisten asiakirjojen tai tietokantojen otteiden, jotka sisältävät muun muassa käsiteltäviä henkilötietoja, toisintaminen voi osoittautua välttämättömäksi, jos käsiteltyjen tietojen kontekstualisointi on tarpeen niiden ymmärtämiseksi.

Valittaja oli asiaa hallinto-oikeudessa käsiteltäessä pyytänyt päivämäärien lisäksi hänen henkilötietojensa käsittelyn tarkkoja ajankohtia ajalla 1.11. - 31.12.2013. Nyt kyseessä olevassa asiassa pankin toimittamista käyttäjälokitiedoista ilmenivät käsittelytoimien ajankohdat kellonaikojen tarkkuudella. Valittajalle oli kuitenkin ilmoitettu vain se, kuinka monena päivänä valittajan henkilötietoja oli mainitulla aikavälillä käsitelty. Hallinto-oikeus katsoi edellä jäljennöksen käsitteestä todettu huomioon ottaen, ettei pankin ilmoitus siitä, kuinka monena päivänä tietoja oli pyydetyllä aikavälillä käsitelty, ollut riittävä toisinto kyselytietojen sisältämistä valittajan pyytämistä henkilötietojen käsittelytoimien ajankohdista.

Hallinto-oikeus katsoi, että tiedot käyttäjälokitiedoista ilmenevistä käsittelytoimien tarkoista ajankohdista oli luovutettava valittajalle selvässä ja ymmärrettävässä muodossa, jotta valittajan olisi mahdollista käyttää yleisen tietosuoja-asetuksen mukaisia oikeuksiaan. Kun otettiin huomioon, ettei tietosuoja-asetuksen 15 artiklan 3 kohdassa tarkoitettu jäljennöksen käsite lähtökohtaisesti liity asiakirjaan, sen osaan tai tietokannan otteeseen sellaisenaan, hallinto-oikeus katsoi, ettei tietojen luovuttaminen kuitenkaan edellyttänyt tietojen luovuttamista hallinto-oikeudelle toimitetun lokitietotulosteen muodossa, mikäli se ei olisi tarpeen valittajalle luovutettavien tietojen ymmärrettävyyden varmistamiseksi.

Käsittelijöiden henkilöllisyys

Unionin tuomioistuin oli tuomion kohdassa 73 todennut, että rekisterinpitäjän työntekijöitä ei voida pitää yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdassa tarkoitettuina vastaanottajina heidän käsitellessään henkilötietoja rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti.

Pankki S:n selvityksen mukaan valittajan tietoja pyydetyllä aikavälillä käsitelleet henkilöt olivat olleet sen henkilökuntaan kuuluvia henkilöitä, eikä heidän tekemissään tili- ja asiakastietojen kyselyissä ollut havaittu sellaisia kyselyitä, joilla ei olisi ollut yhteyttä palvelutapahtumaan tai muuhun asianmukaiseen tehtävään. Tähän nähden hallinto-oikeus katsoi, ettei valittajan henkilötietojen käsittelijöitä voitu pitää yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdassa tarkoitettuina vastaanottajina, eikä valittajalla ollut mainitun kohdan perusteella oikeutta saada hänen tietojaan käsitelleiden henkilöiden henkilöllisyyttä tietoonsa.

Unionin tuomioistuin oli tuomion kohdassa 75 todennut, että käyttäjälokitietoihin sisältyvät tiedot henkilöistä, jotka ovat tehneet kyselyjä rekisteröidyn henkilötietoihin, voivat kuitenkin olla yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuihin tietoihin kuuluvia tietoja, jotka voivat antaa rekisteröidylle mahdollisuuden tarkistaa, että hänen henkilötietojensa käsittely on tapahtunut lainmukaisesti, ja varmistua muun muassa siitä, että käsittelytoimet on todella toteutettu rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti. Tuomion kohdassa 79 oli todettu, että siinäkin tapauksessa, että rekisterinpitäjän työntekijöiden henkilöllisyyttä koskevien tietojen antaminen rekisteröidylle, jonka henkilötietoja on käsitelty, olisi rekisteröidylle tarpeen, jotta hän voisi varmistua henkilötietojensa käsittelyn lainmukaisuudesta, se voi kuitenkin loukata näiden työntekijöiden oikeuksia ja vapauksia. Tuomion kohdassa 80 oli todettu, että tästä seuraa, että jos tiedonsaantioikeuden käyttäminen, jolla taataan rekisteröidylle yleisessä tietosuoja-asetuksessa annettujen oikeuksien tehokas vaikutus, ja muiden oikeudet tai vapaudet joutuvat keskenään ristiriitaan, kyseessä olevia oikeuksia ja vapauksia on punnittava keskenään.

Asiassa oli siten ensin arvioitava, olivatko tiedot valittajan henkilötietojen käsittelijöiden henkilöllisyydestä sellaisia yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuihin tietoihin kuuluvia tietoja, jotka antaisivat valittajalle mahdollisuuden tarkistaa, että hänen henkilötietojensa käsittely oli tapahtunut lainmukaisesti, ja varmistua muun muassa siitä, että käsittelytoimet oli todella toteutettu rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti.

Valittaja ei ollut kiistänyt, eikä asiassa ollut muutoinkaan ilmennyt, etteivätkö valittajan henkilötietoja käsitelleet henkilöt olisi olleet Pankki S:n työntekijöitä ja toimineet pankin ohjeistuksen mukaisesti. Valittaja oli sen sijaan väittänyt, ettei työntekijöillä ollut ollut lainmukaista oikeutta käsitellä hänen tietojaan pankin ilmoittamilla perusteilla. Tähän nähden hallinto-oikeus totesi, että valittajan henkilötietoja käsitelleiden henkilöiden henkilöllisyyttä koskevia tietoja ei voitu pitää sellaisina yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuihin tietoihin kuuluvina tietoina, joiden saaminen olisi ollut välttämätöntä valittajan yleisen tietosuoja-asetuksen mukaisten oikeuksien käyttämiseksi. Näin ollen asiassa ei ollut tarpeen erikseen punnita lokitiedoista ilmenevien henkilöiden oikeuksia ja vapauksia sekä valittajan tietosuoja-asetuksen mukaisia oikeuksia keskenään.

Valittajalle ilmoitettua tietoa siitä, että valittajan pyytämällä aikavälillä hänen tietojaan olivat katsoneet neljä Pankki S:n työntekijää sen ilmoittamassa tarkoituksessa, oli pidettävä valittajan yleisen tietosuoja-asetukseen perustuvien oikeuksien käyttämiseksi riittävänä. Mikäli valittaja katsoisi, että hänen henkilötietojaan oli käsitelty ilman lainmukaista perustetta, hänellä olisi mahdollisuus saattaa asia tältä osin valvontaviranomaisen käsiteltäväksi.

Käsittelyn tarkoitus

Valittajan henkilötietojen käsittelyn tarkoitukset eivät ilmenneet Pankki S:n käyttäjälokitiedoista. Käsittelyn tarkoituksia ei voitu siten nyt kyseessä olevassa asiassa pitää yleisen tietosuoja-asetuksen 4 artiklassa tarkoitettuna ’käsittelynä’ ja näin ollen katsoa kuuluvan henkilötiedon laajan määritelmän piiriin. Unionin oikeuskäytännön mukaan yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa tarkoitettu jäljennöksen saamista koskeva oikeus koskee vain henkilötietoja. Oikeus jäljennöksen saamiseen ei sen sijaan koske 15 artiklan a - h alakohdissa tarkoitettuja tietoja, joihin käsittelyn tarkoitus lukeutuu (ks. tuomio 4.5.2023 Österreichische Datenschutzbehörde ja CRIF, C-487/21, EU:C:2023:369, 53 kohta).

Valittajalle oli 30.8.2018 päivätyllä asiakirjalla ilmoitettu, että valittajan tietojen käsittely ajalla 1.11. - 31.12.2013 oli liittynyt pankin toisen asiakkaan asian käsittelyyn, johon valittajalla oli havaittu olevan liityntä. Toisen asiakkaan tiedoista oli käynyt ilmi, että valittajan nimisellä henkilöllä oli häneen velallisasemassa oleva velkasuhde. Koska valittaja oli ollut samaan aikaan kyseisen asiakkaan asiakasvastaava, pankissa oli jouduttu havainnon johdosta selvittämään, oliko valittaja ollut kyseinen velallinen ja oliko kyseessä voinut olla mahdollinen epäasiallinen eturistiriitasuhde. Valittajalle oli samansisältöisesti kerrottu käsittelyn tarkoituksesta sähköpostitse 27.11.2017 ja 9.1.2018.

Hallinto-oikeus katsoi, että valittajalle oli ilmoitettu hänen tietojensa käsittelyn tarkoitus yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa tarkoitetulla tavalla läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Valittajalla oli hänelle ilmoitettujen käsittelyn tarkoitusten perusteella mahdollista arvioida, oliko hänen tietojaan voitu käsitellä pankin ilmoittamassa tarkoituksessa, ja siten arvioida käsittelyn lainmukaisuutta. Asiassa ei ollut ilmennyt muuta valittajan henkilötietojen käsittelyä nyt kysymyksessä olevana ajanjaksona. Mikäli valittaja katsoisi, ettei tietoja ollut voitu käsitellä pankin ilmoittamaa tarkoitusta varten, valittajalla olisi mahdollisuus saattaa asia valvontaviranomaisen käsiteltäväksi. Näin ollen sillä, että valittajalla oli eri käsitys tietojen käsittelyn tarkoituksista tai sillä, mikä taho Pankki S:n valittajalle toimittaman selvityksen oli tosiasiassa laatinut, ei ollut merkitystä sen arvioinnissa, oliko valittajalle yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan a alakohdan mukaisesti ilmoitettu hänen henkilötietojensa käsittelyn tarkoitus.

Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan a alakohdan mukainen tieto käsittelyn tarkoituksesta ei edellytä käsittelyn oikeusperusteen ilmoittamista, eikä valittajan yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan a alakohdan mukainen oikeus saada tieto käsittelyn tarkoituksista ollut jäänyt toteutumatta myöskään siitä syystä, ettei valittajalle ollut erikseen ilmoitettu, mihin tietosuojasääntelyn tai muun lain kohtaan valittajan tietojen käsittely oli perustunut.

Johtopäätös

Hallinto-oikeus kumosi apulaistietosuojavaltuutetun päätöksen ja palautti asian apulaistietosuojavaltuutetulle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen antamiseksi Pankki S:lle. Valittajalla oli oikeus saada tieto valittajan henkilötietojen käsittelyn ajankohdista sillä tarkkuudella kuin ne ilmenivät Pankki S:n käyttäjälokitiedoista. Valittajalla ei ollut sen sijaan oikeutta saada tietoa käsittelytoimia suorittaneiden pankin toimihenkilöiden henkilöllisyydestä.

Sovellettavat oikeusohjeet

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus), sellaisena kuin se on oikaistuna EUVL:ssä L 74, 4.3.2021 4 artikla 1 ja 2 kohta, 5 artikla 1 kohta a ja f alakohta ja 2 kohta, 12 artikla 1 kohta ja 5 kohta b alakohta sekä 15 artikla 1, 3 ja 4 kohta

Tietosuojalaki 34 §:n 1 mom.

Asian ovat ratkaisseet hallinto-oikeustuomarit Timo Tervonen, Heli Mäki-Rautila ja Olli Rautsi, joka on myös esitellyt asian.

Äänestetty 2 - 1

Perusteluista eri mieltä ollut hallinto-oikeustuomari Olli Rautsi katsoi valittajalla olevan oikeus saada tieto itseään koskevista Pankki S:n käyttäjälokitiedoista ajalta 1.11. - 31.12.2023. Tieto oli annettava Pankki S:n hallinto-oikeudelle toimittaman käyttäjälokitietotulosteen muodossa, mutta anonymisoituna siten, että Pankki S:n työntekijöiden nimien tilalla käytettäisiin heidät toisistaan erottavia merkkejä (esim. A, B, C…).

Haettu muutosta.