Itä-Suomen HaO pyytää EUT:n ennakkoratkaisua rekisteröidyn tiedonsaantioikeudesta. Onko pankin annettava asiakkaalle tieto kuka on käsitellyt hänen tietojaan?

Hallinto-oikeudessa vireillä olevassa asiassa on tullut esille kysymys luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/657 (yleinen tietosuoja-asetus) 4 artiklan 1 alakohdan ja 15 artiklan 1 kohdan tulkinnasta.

Asiassa on kyse henkilötiedon käsitteen tulkinnasta ja rekisteröidyn oikeudesta tutustua hänestä kerättyihin tietoihin. Hallinto-oikeuden ratkaistavaksi asian saattanut A on työskennellyt pankissa B toimihenkilönä. A on lisäksi ollut pankin B asiakas. A on kertomansa mukaan saanut vuonna 2014 tietoonsa, että hänen omia asiakastietojaan on tarkasteltu ajalla 1.11.–31.12.2013, kun hän on työskennellyt pankissa. A on epäillyt, etteivät tietojen tarkastelun perusteet ole olleet täysin lainmukaisia. Hän on 29.5.2018 päivätyllä asiakirjalla pyytänyt pankkia B luovuttamaan hänelle tiedot, joista ilmenee hänen asiakastietojaan 1.11.–31.12.2013 käsitelleiden henkilöiden henkilöllisyys sekä tieto siitä, missä tarkoituksessa hänen asiakastietojaan on käsitelty.

Pankki on rekisterinpitäjänä 30.8.2018 A:lle antamassaan vastauksessa kieltäytynyt antamasta tietoa niiden toimihenkilöiden nimistä, jotka ovat käsitelleet hänen asiakastietojaan. Pankin näkemyksen mukaan yleisen tietosuoja-asetuksen 15 artiklan mukainen omien tietojen tarkastusoikeus ei koske pankin tietojärjestelmän lokitietoja. Pankin mukaan pyydetyt tiedot ovat pankin tietoja käsitelleen toimihenkilön henkilötietoja, ei asiakkaan.

– – –

Itä-Suomen hallinto-oikeus on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle SEUT 267 artiklan nojalla seuraavat ennakkoratkaisukysymykset:

1. Onko yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaista rekisteröidyn oikeutta päästä tietoihin tulkittava asetuksen 4 artiklan 1 alakohdan mukaisen henkilötietojen kanssa yhdessä siten, että rekisterinpitäjän keräämiä tietoja, joista ilmenee, ketkä rekisteröidyn henkilötietoja ovat käsitelleet, milloin ja missä tarkoituksessa, eivät ole sellaisia tietoja, joihin rekisteröidyllä olisi oikeus saada pääsy, erityisesti siksi, että kyseessä on rekisterinpitäjän työntekijöitä koskevat tiedot?
2. Mikäli vastaus kysymykseen 1 on kyllä eikä rekisteröidyllä ole yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeutta tutustua kysymyksessä mainittuihin tietoihin, koska niiden ei ole katsottava olevan yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdan mukaisia rekisteröidyn henkilötietoja, tulee asiassa vielä kysymykseen tiedot, jotka rekisteröidyllä on oikeus saada 15 artiklan 1 kohdan alakohtien nojalla:

   a) Miten 15 artiklan 1 kohdan a alakohdan mukaista käsittelyn tarkoitusta on rekisteröidyn tarkastusoikeuden laajuuden kannalta tulkittava eli voiko käsittelyn tarkoitus perustaa tarkastusoikeuden rekisterinpitäjän keräämiin käyttäjälokitietoihin, kuten rekisteröidyn henkilötietoja käsitelleiden henkilötietoihin, milloin henkilötietoja on käsitelty sekä missä tarkoituksessa?
   b) Voidaanko pankissa A:n asiakastietoja käsitelleet henkilöt tässä yhteydessä tietyin kriteerein määritellä tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdan mukaisiksi henkilötietojen vastaanottajiksi, joista rekisteröidyllä olisi oikeus saada tieto?

3. Onko asiassa merkitystä sillä, että kysymyksessä on säänneltyä tehtävää hoitava pankki, tai sillä että A on samaan aikaan sekä työskennellyt että ollut pankin asiakkaana?

4. Onko edellä esitettyjen kysymysten arvioinnissa merkitystä sillä, että A:n tietoja on käsitelty ennen yleisen tietosuoja-asetuksen voimaantuloa?

Saatuaan unionin tuomioistuimen ennakkoratkaisun yllä oleviin kysymyksiin hallinto-oikeus antaa lopullisen päätöksen asiassa.

Itä-Suo­men HAO 21.9.2021 21/​0302/​2