12.6.2025

Päätös, jota muutoksenhaut koskevat

Itä-Suomen hallinto-oikeus 22.12.2023 nro 2891/2023

Korkeimman hallinto-oikeuden ratkaisu

1. A:n valituslupahakemus hylätään. Korkein hallinto-oikeus ei siten anna ratkaisua hänen valitukseensa.

2. Pankki S:n valituslupahakemus hylätään siltä osin kuin asiassa on kysymys henkilötietojen käsittelyn tarkoituksista. Korkein hallinto-oikeus ei siten anna ratkaisua pankki S:n valitukseen tältä osin.

3. Korkein hallinto-oikeus myöntää pankki S:lle valitusluvan siltä osin kuin asiassa on kysymys henkilötietojen käsittelytoimien ajankohdista ja tutkii asian tältä osin.

Itä-Suomen hallinto-oikeuden päätös kumotaan käsittelytoimien ajankohtia koskevan ratkaisun osalta ja asia palautetaan tältä osin apulaistietosuojavaltuutetulle uudelleen käsiteltäväksi. Apulaistietosuojavaltuutetun on annettava pankki S:lle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukainen määräys siitä, että A:lle on annettava tieto hänen henkilötietojensa käsittelyn ajankohdista päivämäärien tarkkuudella.

Asian tausta

(1)  Apulaistietosuojavaltuutettu on päätöksellään 4.8.2020 ratkaissut A:n toimenpidepyynnön saada pääsy pankki S:n tietoihin, joista ilmenevät ajalla 1.11. — 31.12.2013 A:n asiakastietoja pankissa käsitelleiden henkilöiden henkilöllisyys, käsittelyn tarkoitus ja tietojen tarkastelun ajankohdat. Apulaistietosuojavaltuutettu on päätöksenään todennut, että määräystä oikeudesta saada pääsy tietoihin ei anneta.

(2) Päätöksen perusteluissa on todettu, että toimenpidepyyntö vastaa tosiasiallisesti pyyntöä saada pääsy käyttäjälokitietoihin. Perustelujen mukaan yleistä tietosuoja-asetusta sovellettaessa lokitietojen on katsottava olevan nimenomaan niitä työntekijöitä koskevia tietoja, jotka ovat asiakastietoja käsitelleet. Näin ollen kysymyksessä olevat lokitiedot eivät ole sellaisia A:ta koskevia tietoja, joihin hänellä olisi yleisen tietosuoja-asetuksen 15 artiklassa säädetty oikeus saada pääsy.

(3)  A:n  valitettua apulaistietosuojavaltuutetun päätöksestä  Itä-Suomen hallinto-oikeudelle hallinto-oikeus on välipäätöksellään 21.9.2021 päättänyt pyytää unionin tuomioistuimelta ennakkoratkaisua muun muassa seuraaviin kysymyksiin:

1. Onko yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaista rekisteröidyn oikeutta päästä tietoihin tulkittava asetuksen 4 artiklan 1 alakohdan mukaisen henkilötietojen [käsitteen] kanssa yhdessä siten, että rekisterinpitäjän keräämät tiedot, joista ilmenee, ketkä rekisteröidyn henkilötietoja ovat käsitelleet, milloin ja missä tarkoituksessa, eivät ole sellaisia tietoja, joihin rekisteröidyllä olisi oikeus saada pääsy, erityisesti siksi, että kyseessä on rekisterinpitäjän työntekijöitä koskevat tiedot?

2. Mikäli vastaus kysymykseen 1 on kyllä, eikä rekisteröidyllä ole yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeutta tutustua kysymyksessä mainittuihin tietoihin, koska niiden ei ole katsottava olevan yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdan mukaisia rekisteröidyn henkilötietoja, tulee asiassa vielä kysymykseen tiedot, jotka rekisteröidyllä on oikeus saada 15 artiklan 1 kohdan [a — h alakohdan] nojalla: a) Miten 15 artiklan 1 kohdan a alakohdan mukaista käsittelyn tarkoitusta on rekisteröidyn tarkastusoikeuden laajuuden kannalta tulkittava eli voiko käsittelyn tarkoitus perustaa tarkastusoikeuden rekisterinpitäjän keräämiin käyttäjälokitietoihin, kuten rekisteröidyn henkilötietoja käsitelleiden henkilötietoihin, milloin henkilötietoja on käsitelty sekä missä tarkoituksessa?

(4)  Unionin tuomioistuin on hallinto-oikeuden ennakkoratkaisupyynnön johdosta 22.6.2023 antamassaan tuomiossa asiassa C-579/21 katsonut muun ohella, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaa on tulkittava siten, että henkilön henkilötietoihin tehtyihin kyselyihin liittyvät tiedot kyselytoimien ajankohdista ja tarkoituksista ovat tietoja, jotka kyseisellä henkilöllä on oikeus saada rekisterinpitäjältä tämän säännöksen nojalla. Mainitussa säännöksessä ei sen sijaan vahvisteta tällaista oikeutta tietoihin, jotka koskevat rekisterinpitäjän niiden työntekijöiden henkilöllisyyttä, jotka ovat suorittaneet kyselytoimet rekisterinpitäjän alaisuudessa ja sen ohjeiden mukaisesti, paitsi jos nämä tiedot ovat välttämättömiä, jotta rekisteröity voi tosiasiallisesti käyttää kyseiseen asetukseen perustuvia oikeuksiaan, ja edellyttäen, että näiden työntekijöiden oikeudet ja vapaudet otetaan huomioon (ratkaisulausuman 2 kohta ja perustelujen 83 kohta).

(5)  Itä-Suomen hallinto-oikeus on päätöksellään 22.12.2023 kumonnut apulaistietosuojavaltuutetun päätöksen ja palauttanut asian valtuutetulle uudelleen käsiteltäväksi. Apulaistietosuojavaltuutetun on annettava päätöksen johtopäätöksistä ilmenevä määräys sen jälkeen, kun hallinto-oikeuden päätös on saanut lainvoiman.

(6) Hallinto-oikeuden päätöksen perustelujen johtopäätöksissä on muun ohella todettu, että asia on palautettava apulaistietosuojavaltuutetulle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen antamiseksi pankki S:lle. A:lla on oikeus saada tieto valittajan henkilötietojen käsittelyn ajankohdista sillä tarkkuudella kuin ne ilmenevät pankki S:n käyttäjälokitiedoista. A:lla ei ole sen sijaan oikeutta saada tietoa käsittelytoimia suorittaneiden pankin toimihenkilöiden henkilöllisyydestä.

(7) Päätöksen perusteluissa on muun ohella myös katsottu, että A:n yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan a alakohdan mukainen oikeus saada tieto käsittelyn tarkoituksista ei ole jäänyt toteutumatta.

Asian ovat ratkaisseet hallinto-oikeuden jäsenet Timo Tervonen, Heli Mäki- Rautila ja Olli Rautsi (osaksi eri mieltä).

Vaatimukset ja selvitykset korkeimmassa hallinto-oikeudessa

(8)  A:n on katsottava pyytäneen lupaa valittaa hallinto-oikeuden päätöksestä siltä osin kuin se koskee henkilötietojen käsittelijöiden henkilöllisyyksiä ja käsittelyn tarkoituksia.

(9)  Pankki S on pyytänyt lupaa valittaa hallinto-oikeuden päätöksestä siltä osin kuin se koskee henkilötietojen käsittelytoimien ajankohtia ja käsittelyn tarkoituksia. Pankki S on valituksessaan vaatinut, että hallinto-oikeuden päätöstä muutetaan ja vahvistetaan, ettei A:lla ole yleisen tietosuoja-asetuksen 15 artiklan perusteella oikeutta saada tietoa hänen henkilötietojensa käsittelyn ajankohdista sillä tarkkuudella kuin ne ilmenevät pankki S:n käyttäjälokitiedoista, vaan että riittävää on, että tieto annetaan käsittelyn päivämääristä. Vaikka ajankohtatiedot annettaisiin A:lle päivätasoa tarkemmin, se ei lisäisi hänen mahdollisuuttaan käyttää yleisen tietosuoja-asetuksen mukaisia oikeuksiaan. Lokitietojen antaminen voisi myös paljastaa tietoturvan kannalta sensitiivisiä tietoja siitä, mitä seikkoja ja millä tarkkuudella organisaatiossa lokitetaan ja mitä ei lokiteta. Pankki S on myös vaatinut vahvistettavaksi, että pankin A:lle toimittamat tiedot henkilötietojen käsittelyn tarkoituksista ovat ylittäneet yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan a alakohdassa edellytetyn.

(10)  Apulaistietosuojavaltuutettu on pankki S:n valituslupahakemuksen ja valituksen johdosta antamassaan lausumassa esittänyt, että pankki S:lle myönnetään valituslupa siltä osin kuin hallinto-oikeuden päätös koskee henkilötietojen käsittelytoimien ajankohtia. Apulaistietosuojavaltuutettu on katsonut, että A:n oikeuksien ja vapauksien toteutumiseksi riittää, että pankki S toimittaa hänelle päivämäärät, jolloin hänen henkilötietojaan on pankissa käsitelty hänen pyytämällään aikavälillä.

(11)  A on pankki S:n valituslupahakemuksen ja valituksen ja apulaistietosuojavaltuutetun lausuman johdosta antamassaan lausumassa todennut muun ohella, että pankki S:n on toimitettava pankin käyttäjälokista ilmenevät tiedot A:n henkilötietojen käsittelyn ajankohdista. Unionin tuomioistuimen asiassa C-579/21 antaman tuomion mukaan lokitiedot tulee antaa sellaisenaan, jotta niistä käy ilmi kyselyjen toistumistiheys ja intensiteetti.

Korkeimman hallinto-oikeuden ratkaisun perustelut

1. A:n valituslupahakemuksen hylkääminen

(12) Oikeudenkäynnistä hallintoasioissa annetun lain 111 §:n 1 momentin mukaan valituslupa on myönnettävä, jos:
1) lain soveltamisen kannalta muissa samanlaisissa tapauksissa tai oikeuskäytännön yhtenäisyyden vuoksi on tärkeätä saattaa asia korkeimman hallinto-oikeuden ratkaistavaksi;
2) asian saattamiseen korkeimman hallinto-oikeuden ratkaistavaksi on erityistä aihetta asiassa tapahtuneen ilmeisen virheen vuoksi; tai
3) valitusluvan myöntämiseen on muu painava syy.

(13) Sen perusteella, mitä A on esittänyt ja mitä asiakirjoista muutoin ilmenee, asian saattamiseen korkeimman hallinto-oikeuden ratkaistavaksi ei ole valitusluvan myöntämisen perustetta.

2. Pankki S:n valituslupahakemuksen osittainen hylkääminen

(14) Sen perusteella, mitä pankki S on esittänyt ja mitä asiakirjoista muutoin ilmenee, asian saattamiseen korkeimman hallinto-oikeuden ratkaistavaksi ei ole oikeudenkäynnistä hallintoasioissa annetun lain 111 §:n 1 momentissa tarkoitettua valitusluvan myöntämisen perustetta siltä osin kuin asiassa on kysymys henkilötietojen käsittelyn tarkoituksista.

3. Hallinto-oikeuden päätöksen osittainen kumoaminen ja asian palauttaminen apulaistietosuojavaltuutetulle uudelleen käsiteltäväksi

Kysymyksenasettelu

(15) Asiassa on kysymys siitä, onko A:lla oikeus saada tieto hänen asiakastietoihinsa pankki S:ssä tehtyjen kyselyjen ajankohdista kellonaikojen tarkkuudella. Tämä kysymys tulee arvioitavaksi yleisessä tietosuoja-asetuksessa säädetyn ja unionin tuomioistuimen asiassa C‑579/21 antaman tuomion perusteella.

(16) Hallinto-oikeus on katsonut, että A:lla on oikeus saada tieto henkilötietojensa käsittelyn ajankohdista sillä tarkkuudella kuin ne ilmenevät pankki S:n käyttäjälokitiedoista eli kellonaikojen tarkkuudella. Rekisterinpitäjä pankki S on esittänyt riittävää olevan, että A saa tiedot henkilötietojensa käsittelyn päivämääristä.

(17) Asiassa ei ole arvioitavana, onko A:n henkilötietojen käsittely pankki S:ssä ollut lainmukaista.

Oikeusohjeet

(18) Yleisen tietosuoja-asetuksen (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15 — 22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. (---).

(19) Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada seuraavat tiedot: a) käsittelyn tarkoitukset; (---).

(20) Yleisen tietosuoja-asetuksen johdanto-osan 63 perustelukappaleen mukaan rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. (---). Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista, ja jos mahdollista, käsittelyajasta, henkilötietojen vastaanottajista, käsiteltävien henkilötietojen automaattisen käsittelyn logiikasta sekä kyseisen käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. (---). Tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai henkinen omaisuus ja erityisesti ohjelmistojen tekijänoikeudet. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. (---).

Oikeudellinen arviointi ja johtopäätös

(21) Unionin tuomioistuimen asiassa C-579/21 antaman tuomion mukaan yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaa on tulkittava siten, että henkilön henkilötietoihin tehtyihin kyselyihin liittyvät tiedot kyselytoimien ajankohdista ovat tietoja, jotka kyseisellä henkilöllä on oikeus saada rekisterinpitäjältä mainitun säännöksen nojalla (83 kohta).

(22) Tuomiossa on viitattu siihen, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohta on yksi niistä säännöksistä, joilla pyritään takaamaan henkilötietojen käsittelyä koskevien menettelytapojen läpinäkyvyys rekisteröityyn nähden, mitä ilman hän ei kykenisi arvioimaan tietojensa käsittelyn lainmukaisuutta ja käyttämään muun muassa asetuksen 16 — 18, 21, 79 ja 82 artiklassa säädettyjä oikeuksia (59 kohta). Korkein hallinto-oikeus toteaa, että kysymystä siitä, millä tarkkuudella henkilöllä on oikeus saada tiedot hänen henkilötietojaan koskevien kyselyjen ajankohdista, on arvioitava ottaen huomioon yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan edellä mainittu tarkoitus.

(23) A:n henkilötietoja koskevien pankki S:ssä tehtyjen kyselyjen ajankohdat ilmenevät pankin käyttäjälokitiedoista. Unionin tuomioistuimen tuomiossa on todettu, että lokitiedostot, jotka sisältävät A:n pyytämät tiedot, ovat yleisen tietosuoja-asetuksen 30 artiklassa tarkoitettuja selosteita käsittelytoimista. Niiden on katsottava kuuluvan asetuksen johdanto-osan 74 perustelukappaleessa mainittuihin toimenpiteisiin, joita rekisterinpitäjä toteuttaa osoittaakseen, että käsittelytoimet ovat asetuksen mukaisia. Asetuksen 30 artiklan 4 kohdassa täsmennetään erityisesti, että ne on pyynnöstä saatettava valvontaviranomaisen saataville (67 kohta).

(24) Edelleen tuomiossa on todettu, että kun kyse on erityisesti rekisterinpitäjän käyttäjälokitiedoista, jäljennöksen toimittaminen niihin sisältyvistä tiedoista voi osoittautua välttämättömäksi, jotta täytettäisiin velvollisuus antaa rekisteröidylle oikeus tutustua kaikkiin yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitettuihin tietoihin ja taattaisiin asianmukainen ja läpinäkyvä käsittely siten, että hänellä on mahdollisuus toteuttaa kyseiseen asetukseen perustuvat oikeutensa täysimääräisesti (69 kohta). Edelleen tuomiossa on todettu, että käyttäjälokitiedot paljastavat, että tietoja on käsitelty, mikä on sellainen tieto, johon rekisteröidyllä on yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oltava oikeus saada tutustua. Lisäksi niistä ilmenee tiedot kyselytoimien toistumistiheydestä ja intensiteetistä, joten ne antavat rekisteröidylle mahdollisuuden varmistua, että suoritetulle käsittelylle on todella ollut rekisterinpitäjän esittämien tarkoitusten mukaiset perusteet (70 kohta). Korkein hallinto-oikeus toteaa, että edellä tarkoitetut seikat on otettava huomioon arvioitaessa sitä, millä tarkkuudella henkilöllä on oikeus saada tiedot hänen henkilötietojaan koskevien kyselyjen ajankohdista.

(25) Käyttäjälokitiedoista ilmenee, että A:n asiakastietoihin on pankki S:ssä tehty kyselyjä aikavälillä 1.11. — 31.12.2013 useampana eri päivänä. Pankki S:n A:lle 30.8.2018 antaman selvityksen mukaan A:n tietoja on käsitellyt neljä pankin henkilökuntaan kuuluvaa henkilöä. Selvityksessä on edelleen todettu, että A:n tietojen käsittely on liittynyt pankin toisen asiakkaan asian käsittelyyn, johon A:lla on havaittu asiaa käsiteltäessä olleen liityntä. Toisen asiakkaan tiedoista on käynyt ilmi, että A:n nimisellä henkilöllä on ollut asiakkaaseen velkasuhde. Koska A on ollut samaan aikaan kyseisen asiakkaan asiakasvastaava, pankissa on jouduttu havainnon johdosta selvittämään, onko A ollut kyseinen velallinen ja onko siinä tapauksessa kyseessä voinut olla mahdollinen epäasiallinen eturistiriitasuhde. Asian selvittäminen on edellyttänyt myös A:n tietojen käsittelyä. Jokainen A:n tietoja käsitellyt pankin henkilökuntaan kuuluva on antanut pankkiryhmän sisäiselle tarkastukselle lausunnon A:n tietojen käsittelyn syistä. Selvityksessä on vielä todettu, että sisäisen tarkastuksen tarkastaja on antanut selvityksen perusteella lausunnon, jonka mukaan "tehdyssä selvityksessä ei havaittu sellaisia tili- ja asiakastietojen kyselyitä, joilla ei olisi yhteyttä palvelutapahtumaan tai muuhun asianmukaiseen tehtävään".

(26) A:n asiakastietoihin pankki S:ssä tehtyjen kyselyjen ajankohdat ilmenevät pankin käyttäjälokitiedoista sekä päivämäärinä että tarkkoina kellonaikoina.

(27) Unionin tuomioistuimen tuomiossa asiassa C-579/21 on todettu ennakkoratkaisupyynnöstä ilmenevän, että A oli pyytänyt pankkia toimittamaan tiedot hänen henkilötietojaan 1.11.2013 — 31.12.2013 koskevien kyselyjen päivämääristä (60 kohta). Tähän nähden ja tuomion perusteluja kokonaisuutena arvioiden korkein hallinto-oikeus katsoo, ettei tuomiosta voida tehdä sitä johtopäätöstä, että A:lla olisi yleisen tietosuoja-asetuksen 15 artiklan perusteella oikeus saada tieto hänen henkilötietojensa käsittelyn ajankohdista juuri kellonaikojen tarkkuudella, vaikka kellonajat ilmenevätkin lokitiedoista.

(28) Kun otetaan huomioon se selvitys, jonka pankki S on A:lle hänen henkilötietojensa käsittelystä jo antanut, korkein hallinto-oikeus katsoo, että A voi arvioida tietojensa käsittelyn lainmukaisuutta ja käyttää yleiseen tietosuoja-asetukseen perustuvia oikeuksiaan täysimääräisesti, kun hän saa jo saamiensa tietojen lisäksi lokitietoihin sisältyvät tiedot päivämääristä, jolloin hänen asiakastietoihinsa on pankki S:ssä tehty kyselyjä.

(29) Korkein hallinto-oikeus toteaa myös, että jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan yleistä tietosuoja-asetusta, rekisteröidyllä on sanotun asetuksen 77 artiklan 1 kohdan ja tietosuojalain 21 §:n nojalla oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi. Tietosuojavaltuutetulla on sanotun asetuksen 58 artiklan 1 kohdan a alakohdan nojalla toimivalta määrätä rekisterinpitäjä antamaan tietosuojavaltuutetulle kaikki tiedot, jotka valtuutettu tarvitsee asian tutkimiseksi.

(30) Edellä lausutun vuoksi hallinto-oikeuden päätös on kumottava käsittelytoimien ajankohtia koskevan ratkaisun osalta ja asia on tältä osin palautettava apulaistietosuojavaltuutetulle uudelleen käsiteltäväksi. Apulaistietosuojavaltuutetun on annettava pankki S:lle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukainen määräys siitä, että A:lle on annettava tieto hänen henkilötietojensa käsittelyn ajankohdista päivämäärien tarkkuudella.

Asian ovat ratkaisseet oikeusneuvokset Outi Suviranta, Petri Helander, Taina Pyysaari, Toni Kaarresalo ja Robert Utter. Asian esittelijä Mikko Rautamaa.