Oliko pankin pyydettäessä luovutettava käyttäjälokista tiedot pyytäjän tietojen käsittelytoimien ajankohdista sekä käsittelijöiden henkilöllisyydestä?
19.1.2024 | OikeusuutisetItä-Suomen HAO: Yleinen tietosuoja-asetus – Oikeus saada tutustua tietoihin – Rekisterinpitäjän lokitiedot – Käsittelytoimien ajankohdat – Käsittelytoimien tarkoitus – Työntekijöiden henkilöllisyys
Valittaja oli pyytänyt Pankki S:n luovuttamaan hänelle tiedot, joista ilmenee hänen asiakastietojaan ajalla 1.11.– 31.12.2013 käsitelleiden henkilöiden nimet ja asemat, käsittelytoimien päivämäärät ja missä tarkoituksessa asiakastietoja oli käsitelty.
Pankki S oli rekisterinpitäjänä 30.8.2018 kieltäytynyt antamasta tietoa niiden toimihenkilöiden nimistä, jotka ovat käsitelleet valittajan asiakastietoja. Asian selventämiseksi ja mahdollisten väärinkäsitysten poistamiseksi valittajalle oli kuitenkin annettu selvitys lokitietoihin liittyen. Selvityksen mukaan pankkiryhmän sisäisen tarkastuksen perusteella neljä pankin henkilökuntaan kuuluvaa henkilöä oli käsitellyt valittajan tietoja neljänä päivänä marras- ja joulukuussa 2013. Tietojen käsittely oli liittynyt pankin toisen asiakkaan asian käsittelyyn, johon valittajalla oli havaittu asiaa käsiteltäessä olleen liityntä. Pankissa oli jouduttu havainnon johdosta selvittämään, oliko kyseessä ollut mahdollinen epäasiallinen eturistiriitasuhde. Tarkastajan antaman lausunnon mukaan tehdyssä selvityksessä ei ole havaittu sellaisia tili- ja asiakastietojen kyselyitä, joilla ei olisi yhteyttä palvelutapahtumaan tai muuhun asianmukaiseen tehtävään.
Apulaistietosuojavaltuutettu oli valituksenalaisella päätöksellään hylännyt valittajan pyynnön saada pääsy Pankki S:n tietoihin, joista ilmenivät ajalla 1.11.– 31.12.2013 valittajan asiakastietoja käsitelleiden henkilöiden nimet ja asemat, käsittelytoimien ajankohdat ja missä tarkoituksessa asiakastietoja oli käsitelty. Päätöksessä apulaistietosuojavaltuutettu oli katsonut valittajan vaatimusten vastaavan tosiasiallisesti pyyntöä päästä käyttäjälokitietoihin. Päätöksen perustelujen mukaan käyttäjälokitiedot eivät olleet asiakkaita koskevia tietoja vaan niitä työntekijöitä koskevia tietoja, jotka olivat asiakastietoja käsitelleet. Näin ollen kysymyksessä olevat lokitiedot eivät olleet sellaisia valittajaa koskevia tietoja, joihin hänellä olisi oikeus saada pääsy.
Hallinto-oikeudella oli asiaa ratkaistessaan käytettävissään Pankki S:n lokitiedot, joista ilmenivät muun ohella valittajan pyytämät tämän asiakastietoihin tehtyjen kyselytoimien ajankohdat sekä tietoja käsitelleiden toimihenkilöiden henkilöllisyys. Lokitiedoista ei sen sijaan ilmennyt käsittelyn tarkoitus yleisen tietosuoja-asetuksen 15 (1) artiklan a alakohdan tarkoittamalla tavalla. Asiassa oli siten kysymys siitä, oliko valittajalle luovutettava Pankki S:n käyttäjälokista tiedot käsittelytoimien ajankohdista sekä käsittelijöiden henkilöllisyydestä valittajan yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetun oikeuden toteuttamiseksi. Erikseen oli myös arvioitava, oliko Pankki S ilmoittanut valittajalle tämän tekemän pyynnön johdosta tietojen käsittelyn tarkoituksesta yleisen tietosuoja-asetuksen edellyttämällä tavalla.
Unionin tuomioistuin oli hallinto-oikeuden ennakkoratkaisupyynnön johdosta antamassaan tuomiossa C-579/21 muun ohella todennut, että henkilötietojen käsitteen laaja määritelmä kattaa paitsi rekisterinpitäjän keräämät ja säilyttämät tiedot, myös kaikki henkilötietojen käsittelystä saadut tiedot, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä, ja vahvistanut, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaa on tulkittava siten, että henkilön henkilötietoihin tehtyihin kyselyihin liittyvät tiedot kyselytoimien ajankohdista ja tarkoituksista ovat tietoja, jotka kyseisellä henkilöllä on oikeus saada rekisterinpitäjältä tämän säännöksen nojalla. Mainitussa säännöksessä ei sen sijaan vahvisteta tällaista oikeutta tietoihin, jotka koskevat rekisterinpitäjän niiden työntekijöiden henkilöllisyyttä, jotka ovat suorittaneet kyselytoimet rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti, paitsi jos nämä tiedot ovat välttämättömiä, jotta rekisteröity voi tosiasiallisesti käyttää kyseiseen asetukseen perustuvia oikeuksiaan, ja edellyttäen, että näiden työntekijöiden oikeudet ja vapaudet otetaan huomioon.
Hallinto-oikeus kumosi apulaistietosuojavaltuutetun päätöksen ja palautti asian valtuutetulle uudelleen käsiteltäväksi. Apulaistietosuojavaltuutetun oli annettava jäljempänä johtopäätöksistä ilmenevä määräys sen jälkeen, kun hallinto-oikeuden päätös oli saanut lainvoiman. Hallinto-oikeus perusteli päätöstään keskeisesti seuraavin perustein:
Ks. https://asianajajaliitto.fi/2023/06/eu-tuomioistuin-jokaisella-on-oikeus-saada-tietaa-henkilotietoihinsa-tehtyjen-kyselyjen-ajankohta-ja-syyt/