Korkein hallinto-oikeus: Pankin asiakkaalla oli oikeus saada tieto henkilötietojen käsittelyn ajankohdista päivämäärän tarkkuudella
Korkein hallinto-oikeus on antanut ennakkopäätöksen, jonka mukaan pankin asiakkaalla ei ollut oikeutta saada tietoa lokitiedoista kellonajan tarkkuudella. Päätöksessä arvioitiin, kuinka yksityiskohtaisia tietoja rekisteröity tarvitsee, jotta hän voi arvioida tietojensa käsittelyn lainmukaisuutta ja käyttää tietosuojaoikeuksiaan.
Korkeimmassa hallinto-oikeudessa oli arvioitavana, millä tarkkuudella pankin on annettava tieto asiakastietojen käsittelyn ajankohdista. Korkein hallinto-oikeus totesi, että henkilö voi tässä tapauksessa arvioida tietojensa käsittelyn lainmukaisuutta ja käyttää tietosuoja-asetukseen perustuvia oikeuksiaan täysimääräisesti, kun hän saa tiedot päivämääristä, jolloin hänen asiakastietoihinsa on tehty kyselyjä.
Korkeimman hallinto-oikeuden mukaan kysymystä siitä, millä tarkkuudella henkilöllä on oikeus saada tiedot, on arvioitava ottaen huomioon se, mihin tarkoituksiin henkilötietoja käsitellään.
Asiakkaalla oli oikeus saada tiedot henkilötietojensa käsittelyn ajankohdista ja tarkoituksista, mutta ei työntekijöiden henkilöllisyydestä
Asiakas oli pyytänyt pankilta tietoa siitä, milloin ja missä tarkoituksessa hänen asiakastietojaan on käsitelty ja ketkä pankin työntekijät ovat käsitelleet hänen tietojaan. Pankki oli antanut asiakkaalle selvityksen, jossa ilmoitettiin, että tietoja oli käsitelty neljänä päivänä tietyllä ajanjaksolla. Pankki ei luovuttanut tietoa työntekijöiden henkilöllisyydestä.
Henkilö kanteli pankin menettelystä tietosuojavaltuutetun toimistolle. Apulaistietosuojavaltuutettu hylkäsi pyynnön ja totesi, ettei pankin tarvitse antaa kantelijalle pääsyä tietoihin työntekijöiden henkilöllisyydestä. Kantelija valitti päätöksestä, jolloin Itä-Suomen hallinto-oikeus pyysi EU:n tuomioistuimelta ennakkoratkaisua muun muassa siitä, onko rekisteröidyllä oikeus saada tietää, milloin hänen henkilötietojaan on käsitelty.
EU-tuomioistuin katsoi päätöksessään, että rekisteröidyllä on oikeus saada tiedot henkilötietoihin tehtyjen kyselyiden ajankohdista ja tarkoituksista tarkastusoikeuden nojalla. Tuomioistuin totesi, että rekisteröidyllä ei ole oikeutta saada tietoonsa työntekijöiden henkilöllisyyttä, jos tiedot eivät ole välttämättömiä tietosuojaoikeuksien käyttämiseksi. Tapauskohtaisessa arvioinnissa on huomioitava myös työntekijöiden oikeudet ja vapaudet.
Itä-Suomen hallinto-oikeus antoi tämän jälkeen päätöksen asiakkaan oikeudesta saada tieto henkilötietojen käsittelyn ajankohdista sillä tarkkuudella kuin ne ilmenevät pankin käyttäjälokitiedoista. Hallinto-oikeus päätti myös, että henkilöllä ei ollut oikeutta saada tietoja työntekijöistä, jotka ovat tarkastelleet hänen asiakastietojaan.
Korkein hallinto-oikeus kumosi Itä-Suomen hallinto-oikeuden päätöksen ajankohtia koskevan ratkaisun osalta ja palautti asian tietosuojavaltuutetun toimiston käsiteltäväksi. Seuraavaksi tietosuojavaltuutetun toimiston on annettava pankille määräys siitä, että asiakkaalle annetaan tieto hänen henkilötietojensa käsittelyn ajankohdista päivämäärien tarkkuudella.
Lisätietoja:
Korkeimman hallinto-oikeuden päätös KHO:2025:51 korkeimman hallinto-oikeuden verkkosivuilla
Tietosuojavaltuutetun toimiston tiedote 3.1.2024: Hallinto-oikeus: Henkilöllä ei ole oikeutta saada tietoja työntekijöistä, jotka ovat tarkastelleet hänen asiakastietojaan
Tietosuojavaltuutetun toimiston tiedote 22.6.2023: EU-tuomioistuin: tarkastusoikeuden nojalla on oikeus saada tietää henkilötietojen tarkastelun ajankohta ja tarkoitukset
Euroopan unionin tuomioistuimen ratkaisu C-579/21 ja tiivistelmä tuomioistuimen verkkosivuilla