Hallinto-oikeus pyytänyt ennakkoratkaisua Euroopan unionin tuomioistuimelta siihen liittyen, onko pankin annettava asiakkaalle tieto siitä, kuka on käsitellyt hänen tietojaan

Itä-Suomen hallinto-oikeus on 21.9.2021 päivätyssä lykkäyspäätöksessään esittänyt Euroopan unionin tuomioistuimelle (jäljempänä ”EUT”) kourallisen ennakkoratkaisukysymyksiä liittyen rekisteröidyn tarkastusoikeuden laajuuden tulkintaan tilanteessa, jossa rekisteröidyn esittämän tarkastuspyynnön piiriin sisältyy häntä koskevien henkilötietojen lisäksi myös toisia rekisteröityjä koskevia henkilötietoja. Rekisteröity on tietosuojalakien mukainen nimitys ihmiselle.

Tapauksen ytimessä on siis kyse rekisteröidyn tosiasiallisesta mahdollisuudesta varmistua tarkastusoikeuttaan käyttämällä henkilötietojensa käsittelyn lainmukaisuudesta, jossa arvioitavaksi tulee tarkastusoikeutta käyttävän rekisteröidyn asema suhteessa henkilötietoja käsitelleeseen rekisteröityyn, unohtamatta rekisterinpitäjän osoitusvelvollisuuden merkitystä asiassa. Rekisterinpitäjä tarkoittaa henkilöä, joka vastaa rekisteröidyn henkilötietojen käsittelystä.

Tapauksen tausta ja merkitys

Hallinto-oikeuden esittämät ennakkoratkaisukysymykset koskevat vireillä olevaa tapausta, jossa pankissa työskennellyt rekisteröity on pyytänyt saada kyseiseltä pankilta tietoonsa häneen liittyvien henkilötietojen käsittelyä koskevat lokitiedot, sisältäen henkilöllisyyttä koskevat tiedot niistä rekisteröidyistä, jotka ovat kyseisiä tietoja käsitelleet, mukaan lukien tiedot käsittelyn tarkoituksista. Pankki suostui kertomaan käsittelyn taustalla olleet tarkoitukset, mutta kieltäytyi luovuttamasta henkilötietoja niistä toimihenkilöistä, jotka olivat käsitelleet pyynnön esittäneen rekisteröidyn tietoja.

Pankin kieltäydyttyä luovuttamasta pyydettyjä tietoja saattoi tietopyynnön esittänyt rekisteröity asian tietosuojavaltuutetun toimiston käsiteltäväksi. Apulaistietosuojavaltuutettu ratkaisi 20.8.2020 päivätyllä päätöksellään asian pankin eduksi viitaten päätöksessään aikaisempaan ratkaisukäytäntöönsä, jonka mukaisesti käyttäjälokitiedot eivät ole asiakkaita itseään koskevia tietoja, vaan niitä työntekijöitä koskevia tietoja, jotka ovat kyseisiä asiakastietoja käsitelleet.

Apulaistietosuojavaltuutetun hylkäävän päätöksen jälkeen tietopyynnön esittänyt rekisteröity toimitti valituksensa asiasta Itä-Suomen hallinto-oikeuteen, vaatien apulaistietosuojavaltuutetun päätöksen kumoamista ja käyttäjälokitietojen luovuttamista. Oikeustilan ollessa tältä osin kuitenkin epäselvä, päätyi hallinto-oikeus lykkäämään asian käsittelyä, ja esitti seuraavat asiaa koskevat ennakkoratkaisukysymykset EUT:lle:

1. Onko yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaista rekisteröidyn oikeutta päästä tietoihin tulkittava asetuksen 4 artiklan 1 alakohdan mukaisen henkilötietojen kanssa yhdessä siten, että rekisterinpitäjän keräämiä tietoja, joista ilmenee, ketkä rekisteröidyn henkilötietoja ovat käsitelleet, milloin ja missä tarkoituksessa, eivät ole sellaisia tietoja, joihin rekisteröidyllä olisi oikeus saada pääsy, erityisesti siksi, että kyseessä on rekisterinpitäjän työntekijöitä koskevat tiedot?
2. Mikäli vastaus kysymykseen 1 on kyllä eikä rekisteröidyllä ole yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeutta tutustua kysymyksessä mainittuihin tietoihin, koska niiden ei ole katsottava olevan yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdan mukaisia rekisteröidyn henkilötietoja, tulee asiassa vielä kysymykseen tiedot, jotka rekisteröidyllä on oikeus saada 15 artiklan 1 kohdan alakohtien nojalla: a) Miten 15 artiklan 1 kohdan a alakohdan mukaista käsittelyn tarkoitusta on rekisteröidyn tarkastusoikeuden laajuuden kannalta tulkittava eli voiko käsittelyn tarkoitus perustaa tarkastusoikeuden rekisterinpitäjän keräämiin käyttäjälokitietoihin, kuten rekisteröidyn henkilötietoja käsitelleiden henkilötietoihin, milloin henkilötietoja on käsitelty sekä missä tarkoituksessa? b) Voidaanko pankissa A:n asiakastietoja käsitelleet henkilöt tässä yhteydessä tietyin kriteerein määritellä tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdan mukaisiksi henkilötietojen vastaanottajiksi, joista rekisteröidyllä olisi oikeus saada tieto?
3. Onko asiassa merkitystä sillä, että kysymyksessä on säänneltyä tehtävää hoitava pankki, tai sillä että A on samaan aikaan sekä työskennellyt että ollut pankin asiakkaana?
4. Onko edellä esitettyjen kysymysten arvioinnissa merkitystä sillä, että A:n tietoja on käsitelty ennen yleisen tietosuoja-asetuksen voimaantuloa?

EUT ei ole vielä ennättänyt antamaan vastauksia kysymyksiin.

Lopuksi

Jäämme suurella mielenkiinnolla odottamaan EUT:n vastauksia hallinto-oikeuden kysymyksiin, sillä niillä saattaa olla suurikin vaikutus nykyiseen oikeustilaan. Mikäli EUT katsoisi, että rekisteröidyllä olisi oikeus saada lokitiedoilla pääsy myös muiden rekisteröityjen tietoihin, olisi pankkien kaltaisilla massoittain lokitietoja keräävillä toimijoilla edessään liuta uudelleenarviointeja ja -strukturointeja henkilötietojen käsittelytoimissaan.

Uutisen laadintaan osallistui lakimiesharjoittelijamme Jere Lehtimäki.

16.11.2021 MAX