4.8.2020

Rekisteröidyn oikeus tutustua lokitietoihin

Asia

Rekisteröidyn oikeus päästä tietoihin

Rekisterinpitäjä

Pankki

Hakijan vaatimukset perusteluineen

Hakija on kertonut, että rekisterinpitäjä ei ole toteuttanut hänen oikeuttaan saada pääsy tietoihin. Hakija on pyytänyt rekisterinpitäjää luovuttamaan hänelle tiedot, joista ilmenee aikavälillä 1.11.2013 – 31.12.2013 hänen asiakastietojaan käsitelleiden henkilöiden henkilöllisyys. Lisäksi hakija on pyytänyt tietoa siitä, missä tarkoituksessa hänen asiakastietojaan on käsitelty aikavälillä 1.11.2013 – 31.12.2013.

Hakijalta saatu selvitys

Hakija on toimenpidepyynnössään kertonut, että hakija työskentelee pankissa toimihenkilönä. Vuonna 2014 hakija sai tietoonsa, että hänen asiakastietojaan on tarkasteltu aikavälillä 1.11.2013 – 31.12.2013. Hakijan mukaan hänellä on perusteltu aihe epäillä, etteivät tarkastelun perusteet olisi olleet täysin lainmukaisia. Hakija katsoo toimenpidepyynnössään, että hänellä on oikeuksiensa selvittämiseksi ja toteuttamiseksi jo aiemmin voimassa olleen lainsäädännön ja uuden EU:n yleisen tietosuoja-asetuksen nojalla oikeus saada tieto siitä, ketkä hänen asiakastietojaan ovat käsitelleet ja missä tarkoituksessa.

Hakija on vedonnut asiassa korkeimman hallinto-oikeuden ratkaisuun KHO 2014:69 sekä oikeuskirjallisuuteen koskien tiedonsaantioikeutta salassa pidettävistä lokitiedoista viranomaisten toiminnan julkisuudesta annetun lain (621/1999) perusteella. Hakija on todennut muun muassa, että viranomaistoiminnan asianosaisjulkisuutta voidaan soveltaa analogisesti kyseenä olevassa asiassa. Hakija on todennut, että mikäli henkilöllä ei olisi oikeutta saada tietoa niistä henkilöistä, jotka ovat tietoja tarkastelleet, ei rekisteröidyllä olisi tosiasiallisia keinoja riitauttaa sitä, että häntä koskevia tietoja ei ole käsitelty asianmukaisesti. Lisäksi hakija on todennut muun muassa, että yleinen tietosuoja-asetus ilmentää läpinäkyvyyden periaatetta, jonka mukaisesti rekisterinpitäjän tulee voida osoittaa, että henkilötietoja on käsitelty lainmukaisesti ja muutoin asianmukaisesti.

Tietosuojavaltuutetun toimisto on pyytänyt hakijalta asiassa täydennystä 3.7.2020. Hakija on vastannut täydennyspyyntöön 5.7.2020. Hakijan toimittamasta täydennyksestä ilmenee, että hakija on 29.5.2018 tehnyt rekisterinpitäjälle omien tietojen tarkastuspyynnön. Rekisterinpitäjä on antanut 30.8.2018 hakijalle vastauksen, jossa rekisterinpitäjä toteaa, että yleisen tietosuoja-asetuksen 15 artiklan mukainen omien tietojen tarkastusoikeus ei rekisterinpitäjän näkemyksen mukaisesti koske pankin toiminnassa käytetyn tietojärjestelmän lokitietoja. Vastauksessa on todettu, että kyseiset lokitiedot ovat pankin tietoja käsitelleen toimihenkilön henkilötietoja, ei asiakkaan. Tämän vuoksi rekisterinpitäjä ei ole luovuttanut hakijalle tietoa niistä toimihenkilöistä, jotka ovat käsitelleet hakijan henkilötietoja.

Rekisterinpitäjän hakijalle antamasta vastauksesta ilmenee, että asiaan liittyen on toteutettu pankin sisäinen tarkastus. Vastauksen mukaisesti tarkastuksessa on selvitetty, onko hakijan asiakastietoja tarkasteltu 1.11.–31.12.2013 palvelutapahtumaan tai muuhun asianmukaiseen tehtävään liittyen. Rekisterinpitäjän antaman vastauksen mukaisesti tehdyssä selvityksessä ei havaittu sellaisia tili- ja asiakastietojen kyselyitä, joilla ei olisi yhteyttä palvelutapahtumaan tai muuhun asianmukaiseen tehtävään. Lisäksi rekisterinpitäjä on vastauksessaan kertonut, kuinka monta pankin toimihenkilöä on käsitellyt hakijan asiakastietoja sekä mihin tietojen käsittely on liittynyt.

Hakija on todennut toimittamassaan täydennyksessä, että hakija ei pyydä tarkastettavakseen lokitietoja, vaan hänen tietojaan tarkastelleiden henkilöiden nimet ja asemat pankissa sekä tietojen tarkastelun ajankohdat.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Hakijan toimenpidepyynnön mukaisesti asiakastietojen tarkastelu on tapahtunut 1.11.2013 – 31.12.2013 ja hakija on kertonut pyytäneensä tietoja ensimmäisen kerran vuonna 2014. Hakijalle ei kuitenkaan kertomansa mukaan luovutettu tuolloin hänen pyytämiään tietoja. Hakija on toimittanut rekisterinpitäjälle 29.5.2018 uuden kirjallisen tarkastusoikeutta koskevan pyynnön ja asia on saatettu vireille tietosuojavaltuutetun toimistossa 30.10.2018.

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta. Asiassa on kysymys rekisteröidyn oikeudesta päästä tietoihin (tarkastusoikeus).

Apulaistietosuojavaltuutetun on ratkaistava, tuleeko rekisterinpitäjälle antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukainen määräys noudattaa rekisteröidyn pyyntöä saada pääsy käyttäjälokin tietoihin.

Apulaistietosuojavaltuutetun päätös

Määräystä oikeudesta saada pääsy tietoihin ei anneta.

Perustelut

Yleisen tietosuoja-asetuksen 15 artiklassa on säädetty rekisteröidyn oikeudesta saada pääsy tietoihin. Artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä artiklassa luetellut tiedot. Rekisteröidyllä on siis tämä niin sanottu tarkastusoikeus niihin tietoihin, jotka koskevat häntä itseään.

Apulaistietosuojavaltuutettu katsoo, että hakijan toimenpidepyyntö vastaa tosiasiallisesti pyyntöä saada pääsy käyttäjälokitietoihin.

Tietosuojavaltuutettu on ratkaisukäytännössään katsonut, että käyttäjälokitiedot eivät ole asiakkaita koskevia tietoja, vaan niitä työntekijöitä koskevia tietoja, jotka ovat asiakastietoja käsitelleet. Näin ollen rekisteröidyn henkilötietolain mukaisen tarkastusoikeuden ei katsottu ulottuvan käyttäjälokin tietoihin. Lokitietojen tarkastusoikeus on ilman erityislainsäädäntöä (esimerkiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki) ollut näin vain rekisterin henkilötietoja käsitelleillä henkilöillä itsellään (näin esimerkiksi EOA 1433/4/05, antopäivä 8.2.2007). Sanotusta huolimatta asiakkaalla on kuitenkin tarkastusoikeuden nojalla ollut oikeus tarkastaa varsinaiset asiakastietonsa ja niihin mahdollisesti sisältyneet merkinnät.

Edelleen yleistä tietosuoja-asetusta sovellettaessa on katsottava lokitietojen olevan nimenomaan niitä työntekijöitä koskevia tietoja, jotka ovat asiakastietoja käsitelleet. Näin ollen kysymyksessä olevat lokitiedot eivät ole sellaisia hakijaa koskevia tietoja, joihin hänellä olisi edellä mainitussa artiklassa 15 säädetty oikeus saada pääsy.

Apulaistietosuojavaltuutetun toimivallasta ja korkeimman hallinto-oikeuden ratkaisusta KHO:2014:69

Apulaistietosuojavaltuutettu ratkaisee tarkastusoikeutta koskevat asiat edellä mainitusti yleisessä tietosuoja-asetuksessa ja tietosuojalaissa säädetyn pohjalta. Mainituista säädöksistä on erotettava viranomaisten toiminnan julkisuudesta annettu laki (julkisuuslaki, 621/1999), jonka soveltamiseen liittyvät kysymykset ja arviointi eivät lähtökohtaisesti kuulu apulaistietosuojavaltuutetun toimivaltaan. Kukin viranomainen tekee itsenäisesti päätöksensä liittyen julkisuuslaissa säädettyihin tiedonsaantioikeuksiin.

Edellä kuvatusta huolimatta todettakoon, että korkein hallinto-oikeus on ratkaisussaan KHO:2014:69 nimenomaisesti todennut, että lokitiedot eivät koskeneet lokitietoja pyytänyttä itseään vaan tietojärjestelmien käyttäjiä. Todettakoon lisäksi, että ratkaisussa oli kysymys asianosaisasemaan liittyvästä tiedonsaantioikeudesta ja sen laajuudesta. Julkisuuslain (621/1999) 11 §:n 1 momentin sanamuodon perusteella tiedonsaantioikeuden edellytyksenä on, että tieto tietojärjestelmän käyttämisestä voi tai on voinut vaikuttaa lokitiedon pyytäjää koskevan asian käsittelyyn. Apulaistietosuojavaltuutettu on kuitenkin tehnyt tämän päätöksen ilman kysymyksessä olevia käyttäjälokin tietoja. Nämä tiedot eivät siis ole edes voineet vaikuttaa asian käsittelyyn tietosuojavaltuutetun toimistossa.

Todettakoon myös, että toimenpidepyynnössä kuvattu tietojen tarkastelu on tapahtunut vuonna 2013. Muun muassa hallintolain (434/2003) 53 b §:n mukaisesti kahta vuotta vanhemmasta asiasta tehtyä hallintokantelua ei tutkita, ellei siihen ole erityistä syytä.

Edellä esitetyillä perusteilla apulaistietosuojavaltuutettu ei anna rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdassa tarkoitettua määräystä hakijan kysymyksessä olevan pyynnön noudattamisesta.

Sovelletut lainkohdat

Perustelussa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.