Hallinto-oikeus: Henkilöllä ei ole oikeutta saada tietoja työntekijöistä, jotka ovat tarkastelleet hänen asiakastietojaan
Itä-Suomen hallinto-oikeus on antanut päätöksen, joka koskee tarkastusoikeutta lokitietoihin. Hallinto-oikeus piti voimassa apulaistietosuojavaltuutetun kannan käyttäjälokitietojen luovuttamisesta ja palautti päätöksen tietosuojavaltuutetun toimistolle määräyksen antamista varten. Hallinto-oikeus toteaa, että henkilötietojen käsittelyn tarkat ajankohdat on ilmoitettava tietoa pyytäneelle henkilölle. Henkilöllä ei sen sijaan ole oikeutta saada henkilöllisyystietoja työntekijöistä, jotka ovat tarkastelleet hänen tietojaan.
Pankin työntekijä, joka oli myös pankin asiakas, vaati saada tietoonsa henkilöt, jotka olivat tarkastelleet hänen asiakastietojaan pankin sisäisessä tarkastuksessa. Pankki kieltäytyi ilmoittamasta työntekijöiden henkilöllisyyttä sillä perusteella, että tietojen katselusta syntyneet lokitiedot olivat kyseisten työntekijöiden henkilötietoja. Pankki kertoi kuitenkin syyn siihen, miksi asiakastietoja oli katseltu.
Henkilö kanteli pankin menettelystä tietosuojavaltuutetun toimistolle. Apulaistietosuojavaltuutettu hylkäsi pyynnön ja totesi, ettei pankin tarvitse antaa tietoja työntekijöiden henkilöllisyydestä. Kantelija valitti päätöksestä hallinto-oikeuteen. Itä-Suomen hallinto-oikeus pyysi EU:n tuomioistuimelta ennakkoratkaisua siitä, oliko rekisteröidyllä oikeus saada tiedot käyttäjälokeista yleisen tietosuoja-asetuksen mukaisen tarkastusoikeuden perusteella.
Henkilötietoja käsitelleistä työntekijöistä ei lähtökohtaisesti ole oikeutta saada tietoa
Unionin tuomioistuin linjasi, että jokaisella on oikeus saada tietää henkilötietoihinsa tehtyjen kyselyjen ajankohdat ja syyt, eli tietyt lokitiedoista ilmenevät tiedot. Tarkastusoikeuden nojalla ei kuitenkaan lähtökohtaisesti ole oikeutta saada tietoja henkilöistä, jotka ovat käsitelleet tietoja työnantajansa alaisuudessa ja työnantajan ohjeiden mukaisesti.
Unionin tuomioistuimen ennakkoratkaisun perusteella Itä-Suomen hallinto-oikeus totesi, että pankin on toimitettava käyttäjälokeista tiedot asiakastietojen katselun tarkoista ajankohdista. Pankilla ei sen sijaan ole velvollisuutta antaa tietoja pankin työntekijöistä, jotka olivat tarkastelleet asiakkaan tietoja.
Hallinto-oikeus palautti päätöksen tietosuojavaltuutetun toimistolle uudelleen arvioitavaksi, jotta tietosuojavaltuutettu voi määrätä pankin antamaan henkilölle tiedot käsittelyajankohdista. Määräys on annettava sen jälkeen, kun hallinto-oikeuden päätös on lainvoimainen. Päätöksestä voi valittaa korkeimpaan hallinto-oikeuteen, jos korkein hallinto-oikeus myöntää valitusluvan.
Ks. EUT:n tuomio asiassa C-579/21
Lähde: Tietosuojavaltuutetun toimiston tiedote
Kirjoittaja Juridiikan ja talouden uutiskirjeen toimitus
Juridiikan ja talouden uutiskirje
Juridiikan ja talouden uutiskirje kokoaa uutiset ja ajankohtaiset sisällöt talouden, verotuksen ja juridiikan eri osa-alueista yhteen kirjeeseen. Voit räätälöidä kirjeen sisällön sinua kiinnostavista aihealueista. Uutiskirje ilmestyy joka arkipäivä.