JULKISASIAMIEHEN RATKAISUEHDOTUS

MANUEL CAMPOS SÁNCHEZ-BORDONA

15 päivänä joulukuuta 2022 (1)

Asia C‑579/21

J. M.,

muina asianosaisina

Apulaistietosuojavaltuutettu ja

Pankki S

(Ennakkoratkaisupyyntö – Itä-Suomen hallinto-oikeus (Suomi))

Ennakkoratkaisupyyntö – Henkilötietojen käsittely – Asetus (EU) 2016/679 – Käsittelytoimia koskevaan selosteeseen sisältyvät tiedot – Oikeus tutustua tietoihin – Henkilötietojen käsite – Vastaanottajan käsite – Rekisterinpitäjän henkilökunta

1.        Rahalaitoksen toimihenkilö, joka oli samalla sen asiakas, pyysi kyseistä rahalaitosta antamaan hänelle tietoja niiden henkilöiden henkilöllisyydestä, jotka olivat tarkastelleet hänen henkilötietojaan sisäisen tarkastuksen yhteydessä. Koska rahalaitos kieltäytyi antamasta kyseisiä tietoja, henkilö käytti asianmukaisia muutoksenhakukeinoja ja valitti lopulta Itä-Suomen hallinto-oikeuteen (Suomi).

2.        Itä-Suomen hallinto-oikeus on pyytänyt unionin tuomioistuimelta ennakkoratkaisua asetuksen (EU) 2016/679(2) tulkinnasta. Ennakkoratkaisupyyntöön vastatessaan unionin tuomioistuimen on lausuttava rekisteröidyn oikeudesta saada tiettyjä hänen henkilötietojensa käsittelyyn liittyviä tietoja.

I       Asiaa koskevat oikeussäännöt

A       Unionin oikeus – Yleinen tietosuoja-asetus

3.        Yleisen tietosuoja-asetuksen johdanto-osan 11 perustelukappaleessa todetaan seuraavaa:

”Henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien sekä henkilötietoja käsittelevien ja henkilötietojen käsittelyä määrittävien velvollisuuksien vahvistamista ja täsmentämistä samoin kuin samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa.”

4.        Sen 4 artiklassa (”Määritelmät”) säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

1)      ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

2)      ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

– –

9)      ’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. – –”

5.        Sen 15 artiklan (”Rekisteröidyn oikeus saada tutustua tietoihin”) 1 kohdassa säädetään seuraavaa:

”Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada seuraavat tiedot:

a)      käsittelyn tarkoitukset;

b)      kyseessä olevat henkilötietoryhmät;

c)      vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;

d)      mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e)      rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;

f)      oikeus tehdä valitus [kantelu] valvontaviranomaiselle;

g)      jos henkilötietoja ei kerätä rekisteröidyltä, kaikki saatavilla olevat tiedot tietojen alkuperästä;

h)      jäljempänä 22 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, mukaan lukien profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.”

6.        Sen 24 artiklan (”Rekisterinpitäjän vastuu”) 1 kohdassa säädetään seuraavaa:

”Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.”

7.        Asetuksen 25 artiklan (”Sisäänrakennettu ja oletusarvoinen tietosuoja”) 2 kohdassa säädetään seuraavaa:

”Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.”

8.        Sen 29 artiklassa (”Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa”) säädetään seuraavaa:

”Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.”

9.        Sen 30 artiklassa (”Seloste käsittelytoimista”) säädetään seuraavaa:

”1.      Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:

a)      rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;

b)      käsittelyn tarkoitukset;

c)      kuvaus rekisteröityjen ryhmistä ja henkilötietojen ryhmistä;

d)      henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

– –

f)      mikäli mahdollista, suunnitellut määräajat eri tietoryhmiin kuuluvien tietojen poistamiseksi;

g)      mikäli mahdollista, yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

2.      Kunkin henkilötietojen käsittelijän ja tarvittaessa henkilötietojen käsittelijän edustajan on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:

a)      henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan sekä tietosuojavastaavan nimi ja yhteystiedot;

b)      kunkin rekisterinpitäjän lukuun suoritettavien käsittelyiden ryhmät;

c)      tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle – –;

d)      mikäli mahdollista, yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

3.      Edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

4.      Rekisterinpitäjän tai henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyydettäessä saatettava seloste valvontaviranomaisen saataville.

5.      Edellä 1 ja 2 kohdassa tarkoitetut velvollisuudet eivät koske yritystä tai yhteisöä, jossa on alle 250 työntekijää, paitsi jos sen suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu – – erityisiin tietoryhmiin tai – – rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.”

10.      Sen 58 artiklan (”Valtuudet”) 1 kohdassa säädetään seuraavaa:

”Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:

a)      määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustaja antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;

– –”

B       Kansallinen oikeus

1.     Tietosuojalaki (1050/2018)(3)

11.      Tietosuojalain 30 §:n mukaan työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta säädetään yksityisyyden suojasta työelämässä annetussa laissa (759/2004).(4)

12.      Tietosuojalain 34 §:n 1 momentin mukaan rekisteröidyllä ei ole yleisen tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin, jos:

1)      tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä;

2)      tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille; tai

3)      henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi.

13.      Tietosuojalain 34 §:n 2 momentissa säädetään, että jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 1 momentin mukaan jäävät yleisen tietosuoja-asetuksen 15 artiklassa tarkoitetun oikeuden ulkopuolelle, rekisteröidyllä on oikeus saada tietää muut häntä koskevat tiedot.

14.      Sen 34 §:n 3 momentin mukaan rekisteröidylle on ilmoitettava rajoituksen syyt, ellei tämä vaaranna rajoituksen tarkoitusta.

15.      Tietosuojalain 34 §:n 4 momentissa säädetään, että jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.

2.     Laki yksityisyyden suojasta työelämässä (759/2004)

16.      Kyseisen lain 2 luvussa olevan 4 §:n 2 momentin mukaan työnantajan on ilmoitettava työntekijälle etukäteen tätä koskevien tietojen hankkimisesta luotettavuuden selvittämistä varten. Jos työnantaja hankkii työntekijän henkilöluottotietoja, työnantajan tulee lisäksi ilmoittaa työntekijälle, mistä rekisteristä luottotiedot hankitaan. Jos työntekijää koskevia tietoja on kerätty muualta kuin työntekijältä itseltään, työnantajan on ilmoitettava työntekijälle saamistaan tiedoista ennen kuin niitä käytetään työntekijää koskevassa päätöksenteossa. Rekisterinpitäjän velvollisuudesta toimittaa rekisteröidylle tietoja sekä rekisteröidyn oikeudesta saada pääsy tietoihin säädetään yleisen tietosuoja-asetuksen III luvussa.

II     Tosiseikat, pääasia ja ennakkoratkaisukysymykset

17.      J. M. sai vuonna 2014 tietoonsa, että hänen henkilötietojaan Suur-Savon Osuuspankin (jäljempänä Pankki S) asiakkaana oli tarkasteltu 1.11.–31.12.2013. J. M. oli ollut kyseisenä aikana paitsi Pankki S:n asiakas myös sen toimihenkilö.

18.      Koska J. M. epäili, etteivät tietojen tarkastelun perusteet olleet täysin lainmukaisia, hän pyysi Pankki S:ää luovuttamaan hänelle tiedot, joista ilmenevät hänen tietojaan edellä mainitulla ajanjaksolla käsitelleiden toimihenkilöiden henkilöllisyys sekä käsittelyn tarkoitus.

19.      Pankki S oli tällä välin irtisanonut J. M:n, joka oli perustellut pyyntöään erityisesti sillä, että halusi selvittää irtisanomisensa perusteita.

20.      Pankki S kieltäytyi 30.8.2018 rekisterinpitäjänä antamasta J. M:lle niiden toimihenkilöiden nimiä, jotka olivat käsitelleet hänen henkilötietojaan. Se väitti, ettei yleisen tietosuoja-asetuksen 15 artiklan mukainen oikeus koske päivälokeja tai sisäisiä käyttäjälokeja, joista ilmenee, keillä toimihenkilöillä on ollut pääsy asiakkaiden tiedot sisältävään tietojärjestelmään ja milloin. Sitä paitsi pyydetyt tiedot olivat kyseisten toimihenkilöiden henkilötietoja, eivät J. M:n henkilötietoja.

21.      Väärinkäsitysten poistamiseksi Pankki S antoi J. M:lle seuraavat lisäselvitykset:

–        Sen sisäinen tarkastus on selvittänyt vuonna 2014 J. M:n asiakastietojen käsittelyä 1.11.–31.12.2013.

–        Kyseinen selvitys liittyi Pankki S:n toisen asiakkaan tietojen käsittelyyn, ja näiden tietojen perusteella kyseisellä toisella asiakkaalla oli J. M:ään suhde, joka voisi herättää epäilyn eturistiriitasuhteesta. Käsittelyn tarkoituksena oli siis selventää tätä tilannetta.(5)

22.      J. M. saattoi asian kansallisen valvontaviranomaisen (tietosuojavaltuutetun toimisto, Suomi) käsiteltäväksi ja pyysi, että Pankki S määrättäisiin luovuttamaan pyydetyt tiedot.

23.      Apulaistietosuojavaltuutettu hylkäsi J. M:n vaatimuksen 4.8.2020.

24.      J. M. teki valituksen Itä-Suomen hallinto-oikeuteen ja väitti, että hänellä on yleisen tietosuoja-asetuksen nojalla oikeus saada tieto niiden henkilöiden henkilöllisyydestä ja asemasta, jotka ovat tarkastelleet hänen tietojaan asianomaisessa rahalaitoksessa.

25.      Tässä tilanteessa ennakkoratkaisua pyytänyt tuomioistuin esittää unionin tuomioistuimelle seuraavat kysymykset:

”1)      Onko yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaista rekisteröidyn oikeutta päästä tietoihin tulkittava asetuksen 4 artiklan 1 alakohdan mukaisen henkilötietojen [käsitteen] kanssa yhdessä siten, että rekisterinpitäjän keräämät tiedot, joista ilmenee, ketkä rekisteröidyn henkilötietoja ovat käsitelleet, milloin ja missä tarkoituksessa, eivät ole sellaisia tietoja, joihin rekisteröidyllä olisi oikeus saada pääsy, erityisesti siksi, että kyseessä on rekisterinpitäjän työntekijöitä koskevat tiedot?

2)      Mikäli vastaus kysymykseen 1 on kyllä eikä rekisteröidyllä ole yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeutta tutustua kysymyksessä mainittuihin tietoihin, koska niiden ei ole katsottava olevan yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdan mukaisia rekisteröidyn henkilötietoja, tulee asiassa vielä kysymykseen tiedot, jotka rekisteröidyllä on oikeus saada 15 artiklan 1 kohdan [a–h] alakohtien nojalla:

a)      Miten 15 artiklan 1 kohdan a alakohdan mukaista käsittelyn tarkoitusta on rekisteröidyn tarkastusoikeuden laajuuden kannalta tulkittava eli voiko käsittelyn tarkoitus perustaa tarkastusoikeuden rekisterinpitäjän keräämiin käyttäjälokitietoihin, kuten rekisteröidyn henkilötietoja käsitelleiden henkilötietoihin, milloin henkilötietoja on käsitelty sekä missä tarkoituksessa?

b)      Voidaanko pankissa J.M:n asiakastietoja käsitelleet henkilöt tässä yhteydessä tietyin kriteerein määritellä tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdan mukaisiksi henkilötietojen vastaanottajiksi, joista rekisteröidyllä olisi oikeus saada tieto?

3)      Onko asiassa merkitystä sillä, että kysymyksessä on säänneltyä tehtävää hoitava pankki, tai sillä, että J.M. on samaan aikaan sekä työskennellyt että ollut pankin asiakkaana?

4)      Onko edellä esitettyjen kysymysten arvioinnissa merkitystä sillä, että J.M:n tietoja on käsitelty ennen yleisen tietosuoja-asetuksen voimaantuloa?”

III  Asian käsittelyn vaiheet unionin tuomioistuimessa

26.      Ennakkoratkaisupyyntö kirjattiin saapuneeksi unionin tuomioistuimeen 22.9.2021.

27.      Kirjallisia huomautuksia ovat esittäneet J. M., Pankki S ja Itävallan, Tšekin ja Suomen hallitukset sekä Euroopan komissio.

28.      Istunnossa, joka pidettiin 12.10.2022, olivat edustettuina J. M., tietosuojavaltuutetun toimisto, Pankki S, Suomen hallitus ja komissio.

IV     Asian tarkastelu

29.      Koska ennakkoratkaisua pyytänyt tuomioistuin pyytää tulkitsemaan useita yleisen tietosuoja-asetuksen säännöksiä, on ensin selvitettävä, voidaanko kyseistä asetusta soveltaa ajallisista syistä oikeusriidassa. Neljäs ennakkoratkaisukysymys koskee tätä seikkaa.

A       Tietosuoja-asetuksen sovellettavuus (neljäs ennakkoratkaisukysymys)

30.      Yleinen tietosuoja-asetus tuli sen 99 artiklan 1 kohdan mukaan voimaan 24.5.2016. Sen soveltaminen alkoi kuitenkin vasta 25.5.2018.(6)

31.      J. M:n henkilötietoja tarkasteltiin 1.11.–31.12.2013 eli ennen yleisen tietosuoja-asetuksen voimaantuloa ja soveltamisen alkamista.

32.      Tässä yhteydessä merkityksellinen päivämäärä on kuitenkin 29.5.2018, jona J. M. pyysi riidanalaisia tietoja tietosuoja-asetuksen 15 artiklan 1 kohdan (jota alettiin soveltaa 25.5.2018) nojalla.

33.      Kuten Itävallan hallitus on huomauttanut, yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa annetaan rekisteröidyille menettelyllinen oikeus saada tietoja henkilötietojensa käsittelystä (oikeus saada tutustua tietoihin).(7) Tämän luonteisena sitä sovelletaan sen voimaantulosta lähtien.(8) J. M. saattoi näin ollen vedota siihen pyytäessään tietoja Pankki S:ltä.

34.      Ennen yleisen tietosuoja-asetuksen voimaantuloa kerättyjen tietojen käsittelyn lainmukaisuutta arvioitaessa on otettava tosin huomioon tuolloin voimassa ollut aineellinen lainsäädäntö eli direktiivi 95/46/EY(9) ja yleinen tietosuoja-asetus,(10) siltä osin kuin sitä voidaan soveltaa taannehtivasti.

35.      Koska on riidatonta, että pyydetyt tiedot olivat rekisterinpitäjän hallussa, kun J. M. pyysi saada tutustua niihin (kyseinen oikeus on taattu yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa), viimeksi mainittua asetusta voitiin soveltaa.(11)

36.      Sillä seikalla, että riidanalaisia tietoja käsiteltiin ennen yleisen tietosuoja-asetuksen voimaantuloa, ei siten ole merkitystä siltä kannalta, päätetäänkö rekisteröidyn yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla pyytämät tiedot antaa tutustuttaviksi.

B       Ensimmäinen ja toinen ennakkoratkaisukysymys

37.      Ensimmäinen ja toinen ennakkoratkaisukysymys voidaan tutkia yhdessä. Niistä nousee esille olennaisilta osin kysymys siitä, vastaavatko Pankki S:n keräämät ja käsittelemät J. M:n henkilötiedot tietoja, jotka rekisteröidyllä on oikeus saada yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla.

1.     Toimihenkilön henkilöllisyys ja rekisteröidyn henkilötiedot

38.      Muistutan, että J. M:n pyytämät tiedot koskevat niiden toimihenkilöiden henkilöllisyyttä, jotka olivat tarkastelleet hänen asiakastietojaan vuonna 2013, sekä näiden asiakastietojen käsittelyajankohtaa ja käsittelyn tarkoitusta.

39.      Istunnossa vahvistettiin, että J. M. on rajannut vaatimuksensa koskemaan vain kyseisten toimihenkilöiden henkilöllisyyden tietoonsa saamista. Oikeusriidassa ei epäillä nimenomaisesti sitä, etteikö pankkilaitos olisi käsitellyt hänen tietojaan laillisin perustein.(12)

40.      Tämän perusteella on todettava seuraavaa:

–        Ennakkoratkaisupyynnöstä käy ilmi, että J. M. oli tietoinen käsittelyn ajankohdasta jo pyynnön esittäessään.

–        Pankki S oli ilmoittanut käsittelyn tarkoituksen J. M:lle edellä esitetyn mukaisesti.(13)

41.      Tarkastelussa keskitytään siten ainoastaan tietoihin, jotka koskevat J. M:n henkilötietoja käsitelleiden Pankki S:n toimihenkilöiden henkilöllisyyttä.

42.      Kyseiset tiedot koskevat tosiasiassa yhtä käsittelytoimiin liittyvää yksityiskohtaa, eivät varsinaisesti rekisteröidyn henkilötietoja yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitetussa merkityksessä.(14)

43.      On selvää, että henkilö, jonka tietoja on tarkasteltu, on J. M.(15) Kun hän oli saanut Pankki S:ltä vahvistuksen siitä, että hänen tietojaan oli käsitelty,(16)tiedot, jotka hänellä oli yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeus saada, olivat niitä, jotka luetellaan kyseisen säännöksen a–h alakohdassa.(17) Nämä tiedot luovuttamalla rekisteröidyn annetaan käyttää itselleen kuuluvia oikeuksia(18) tietojenkäsittelyn lainmukaisuuden takaavien mekanismien puitteissa.

44.      Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdasta ilmenee, että siinä tarkoitetut tiedot koskevat tietojenkäsittelyyn liittyviä olosuhteita.

45.      Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa rekisteröidylle annetaan näet oikeus saada rekisterinpitäjältä

–        ensinnäkin ”vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja”

–        toiseksi, kun käsittelyn olemassaolo on vahvistettu, ”– – oikeus saada tutustua henkilötietoihin sekä saada seuraavat tiedot”,(19) jotka siis luetellaan kyseisen säännöksen a–h alakohdassa.

46.      Artiklassa erotetaan toisistaan yhtäältä henkilötiedot ja toisaalta tiedot, joita tarkoitetaan sen 1 kohdan alakohdissa.

47.      Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan a–h alakohdan perusteella rekisteröidylle annettavia tietoja ei näin ollen pidä sekoittaa kyseisen asetuksen 4 artiklan 1 alakohdassa tarkoitettuihin rekisteröidyn henkilötietoihin.

48.      Kyseessä eivät siis ole henkilötiedot, vaan seuraaviin liittyvät tiedot:

–        ”käsittelyn tarkoitukset” (a alakohta);

–        ”kyseessä olevat henkilötietoryhmät” (b alakohta);

–        ”suunniteltu säilytysaika” (d alakohta);

–        e, f ja g alakohdassa luetellut rekisteröidyn oikeudet;(20)

–        automaattisen päätöksenteon olemassaolo (h alakohta).

49.      Kaikissa näissä tapauksissa tieto koskee joko tiettyjä rekisteröidyn oikeuksia tai erityisesti toteutettuun käsittelyyn liittyviä seikkoja, kuten käsittelyn tarkoitusta (joka on samalla sen syy) ja kohdetta (käsitellyt henkilötietoryhmät).

50.      Tietoihin, jotka koskevat vastaanottajia, joille rekisteröidyn henkilötietoja on luovutettu tai on tarkoitus luovuttaa (yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohta), liittyy enemmän käsitteellisiä ongelmia, joita tarkastelen tuonnempana.

51.      Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa säädetään lyhyesti sanottuna oikeudesta saada tietoja varsinaisesta tietojenkäsittelytapahtumasta ja siihen liittyvistä olosuhteista. Kyseisiin tietoihin on lisättävä tieto niistä oikeuksista, joita rekisteröidylle kuuluu käsittelyn kohteena olevien henkilötietojen osalta, kuten oikeus tehdä kantelu valvontaviranomaiselle.

52.      Pelkkä käsittelyn olemassaolo ja sen olosuhteet eivät mielestäni ole yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja.

53.      Käsittely voi varmasti johtaa päätöksiin, jotka vaikuttavat rekisteröityyn, kuten ennakkoratkaisua pyytänyt tuomioistuin on todennut.(21) Tämä lopputulos ei riipu kuitenkaan siitä pääasiassa riitautetusta tiedosta, kuka luonnollinen henkilö tai ketkä luonnolliset henkilöt ovat varsinaisesti tarkastelleet henkilötietoja Pankki S:n lukuun ja tämän vastuulla.

54.      J. M:llä on siten oikeus siihen, että Pankki S antaa sille rekisterinpitäjänä tiedon hallussaan olevista henkilötiedoista, jotka on saatu joko J. M:ltä itseltään (yleisen tietosuoja-asetuksen 13 artikla) tai muualta (yleisen tietosuoja-asetuksen 14 artikla). J. M:llä on myös oikeus – tällä kertaa yleisen tietosuoja-asetuksen 15 artiklan nojalla – saada tietoja kunkin sellaisen käsittelyn olemassaolosta ja olosuhteista, joissa kyseisiä henkilötietoja on käsitelty, mutta näin ei ole siksi, että nämä tiedot ovat itsessään henkilötietoja, vaan siksi, että yleisen tietosuoja-asetuksen 15 artiklassa nimenomaisesti näin säädetään.(22)

55.      Selitän jäljempänä tarkemmin, että käsiteltävässä asiassa olennaista on se, ettei J. M:n henkilötietoja tarkastelleiden toimihenkilöiden henkilöllisyys ole J. M:n henkilötieto.

56.      Tästä erillinen kysymys on se, sisältyykö lokitietoihin tai selosteisiin, joihin viittaan jäljempänä, suoraan tai välillisesti rekisteröidyn henkilötietoja, jotka eivät ole niitä tietoja, joista käy ilmi, ketkä toimihenkilöt ovat tarkastelleet asianomaisia tietoja. Sisältyykö vai ei, riippuu pitkälti asianomaisten lokitietojen tai selosteiden sisällöstä. Toistan kuitenkin, että koska alkuperäinen oikeusriita rajautuu koskemaan Pankki S:n toimihenkilöiden henkilöllisyyttä, kyseessä eivät ole J. M:n henkilötiedot vaan kyseisten toimihenkilöiden henkilötiedot.

2.     Oikeus saada tietoja vastaanottajista, joille henkilötiedot luovutettiin

57.      Ennakkoratkaisua pyytänyt tuomioistuin haluaa tietää, onko J. M:llä yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan a ja c alakohdan perusteella oikeus saada Pankki S:ltä tietoja hänen henkilötietojaan käsitelleistä toimihenkilöistä, vaikka kyseessä eivät ole J. M:n henkilötiedot.

58.      Edellä mainitun a alakohdan mukaisesti rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus käsittelyn tarkoituksista. Kyseisessä alakohdassa (jota on tässä tapauksessa noudatettu, koska Pankki S ilmoitti J. M:lle käsittelyn tarkoituksen) ei kuitenkaan anneta perusteita sen määrittämiseksi, ketkä ovat J. M:n henkilötietojen vastaanottajia.

59.      Kysymys on sitä vastoin järkevä siltä osin, kuin siinä pyydetään tulkitsemaan yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohtaa. Muistutan, että kyseisen alakohdan mukaan rekisteröidyllä on oikeus saada tietoja ”[vastaanottajista tai vastaanottajaryhmistä] – –, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa”.

60.      Yleisen tietosuoja-asetuksen 4 artiklan 9 alakohdan mukaan ”vastaanottajalla” tarkoitetaan puolestaan ”luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei”.

61.      Virkkeen loppuosa (”oli kyseessä kolmas osapuoli tai ei”) voi aiheuttaa väärinkäsityksiä kyseisen säännöksen henkilöllisestä soveltamisalasta, kuten istunnossa varoiteltiin. Pintapuolisessa ja mielestäni virheellisessä tulkinnassa voitaisiin päätyä siihen näkemykseen, että vastaanottajalla tarkoitetaan niiden kaikkien kolmansien osapuolten lisäksi, joille Pankki S on luovuttanut J. M:n henkilötietoja, myös jokaista toimihenkilöä, joka on varsinaisesti tarkastellut kyseisiä tietoja Pankki S:n muodostaman oikeushenkilön nimissä ja sen ohjeita noudattaen.

62.      Yleisen tietosuoja-asetuksen 4 artiklan 10 alakohdan mukaan ”kolmannella osapuolella” tarkoitetaan ”luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena”.(23)

63.      Tämän perusteella vastaanottajan käsite ei nähdäkseni kata oikeushenkilön toimihenkilöitä, jotka tarkastelevat asiakkaan henkilötietoja kyseisen oikeushenkilön johtoelinten lukuun käyttäessään tämän oikeushenkilön tietojärjestelmää. Kun kyseiset toimihenkilöt toimivat rekisterinpitäjän välittömän vastuun alaisena, ne eivät ole yksin tämän perusteella asianomaisten henkilötietojen vastaanottajia.(24)

64.      Voi käydä kuitenkin niin, ettei toimihenkilö noudata rekisterinpitäjän vahvistamia menettelyjä vaan tarkastelee omasta aloitteestaan asiakkaiden ja muiden toimihenkilöiden tietoja laittomasti. Tällöin epärehellinen toimihenkilö ei ole toiminut rekisterinpitäjän lukuun eikä tämän nimissä.

65.      Tällöin epärehellistä toimihenkilöä voidaan pitää vastaanottajana, jolle on luovutettu (kuvaannollisesti) – joskin hänen omasta toimestaan ja siten laittomasti – rekisteröidyn henkilötietoja,(25) tai häntä voidaan pitää jopa (erillisenä) rekisterinpitäjänä.(26)

66.      Ennakkoratkaisupyyntöön sisältyvästä tosiseikkojen kuvauksesta ja Pankki S:n istunnossa esittämistä väitteistä käy ilmi, että Pankki S antoi toimihenkilöilleen luvan tutustua J. M:n henkilötietoihin sen vastuun alaisina. Kyseiset toimihenkilöt noudattivat siis rekisterinpitäjän ohjeita ja toimivat tämän lukuun. Tämän perusteella heitä ei voida pitää yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdassa tarkoitettuina vastaanottajina.(27)

67.      Kokonaan toinen kysymys on se, että kyseisten toimihenkilöiden tunnistetiedot ja ajankohta, jona kukin heistä on tarkastellut asiakkaan henkilötietoja, (eli jäljempänä käsittelemissäni tiedostoissa ja selosteissa olevien, asiaankuuluvien merkintöjen sisältö) on annettava valvontaviranomaisten saataville, jotta näiden toimihenkilöiden toiminnan sääntöjenmukaisuus voidaan tarkastaa.

68.      Tämä vahvistetaan yleisen tietosuoja-asetuksen 29 artiklassa, jossa mainitaan ”rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin”. Nämä henkilöt voivat käsitellä mainittuja tietoja vain työnantajansa ohjeita noudattaen, ja työnantaja on varsinainen rekisterinpitäjä (tai henkilötietojen käsittelijä).

69.      Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan tarkoituksena on antaa rekisteröidylle mahdollisuus käyttää (puolustaa) tehokkaasti niitä oikeuksia, jotka kuuluvat hänelle hänen henkilötietojensa osalta. Tämän vuoksi rekisteröidylle on ilmoitettava, kuka on rekisterinpitäjä, ja tarvittaessa, keille vastaanottajille kyseisiä tietoja on luovutettu. Näiden tietojen perusteella rekisteröity voi ottaa yhteyttä rekisterinpitäjän lisäksi vastaanottajiin, jotka ovat saaneet tietoonsa hänen tietojaan.

70.      Rekisteröidyllä voi olla tietenkin epäilyksiä siitä, onko tiettyjen henkilöiden osallistuminen hänen henkilötietojensa käsittelyyn rekisterinpitäjän tai henkilötietojen käsittelijän lukuun ja näiden alaisuudessa sääntöjenmukaista.

71.      Kuten Tšekin hallitus tuo esille ja kuten komissio huomautti istunnossa, rekisteröity voi ottaa tällöin yhteyttä tietosuojavastaavaan (yleisen tietosuoja-asetuksen 38 artiklan 4 kohta) tai tehdä kantelun valvontaviranomaiselle (yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan f alakohta ja 77 artikla). Sen sijaan hänelle ei anneta oikeutta vaatia suoraan sellaisen toimihenkilön henkilötietoja (tietoa henkilöllisyydestä), joka toimii rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa lähtökohtaisesti viimeksi mainitun ohjeita noudattaen.

72.      Istunnossa keskusteltiin siitä, onko mahdollisuus saattaa asia tietosuojavastaavan tai valvontaviranomaisen käsiteltäväksi riittävä tae sen henkilön oikeuksien puolustamisen kannalta, jonka henkilötietoja on käsitelty.

73.      Tätä ongelmaa ratkottaessa voidaan omaksua maksimalistinen näkemys, jonka mukaan kenellä tahansa rekisteröidyllä on oikeus saada tietoonsa hänen henkilötietojaan tarkastelleiden rekisterinpitäjän toimihenkilöiden henkilöllisyys myös siinä tapauksessa, että kyseinen tarkastelu on tapahtunut asianomaisen rekisterinpitäjän puolesta ja johdolla.

74.      Yleinen tietosuoja-asetus ei nähdäkseni puolla tällaista näkemystä, sanotun rajoittamatta kuitenkaan sitä, että jäsenvaltio voi omaksua tällaisen näkemyksen kansallisessa lainsäädännössään yhdellä tai useammalla erityisalalla.(28)

75.      Unionin tuomioistuimen ei olisi mielestäni asiallista asettua lähestulkoon lainsäätäjän asemaan ja muuttaa yleistä tietosuoja-asetusta lisäämällä siihen uuden tiedonantovelvoitteen, joka on päällekkäinen sen 15 artiklan 1 kohdassa säädettyjen velvoitteiden kanssa. Näin kävisi, jos rekisterinpitäjä velvoitettaisiin erotuksetta antamaan rekisteröidylle tieto vastaanottajan, jolle kyseiset henkilötiedot on luovutettu, henkilöllisyyden sijaan minkä tahansa sellaisen toimihenkilön tai yrityksen sisäpiiriin kuuluvan henkilön henkilöllisyydestä, jolla on ollut laillinen pääsy kyseisiin tietoihin.(29)

76.      Kuten Pankki S huomautti istunnossa, asiakkaan henkilötietojen käsittelystä huolehtineiden yksittäisten toimihenkilöiden henkilöllisyys on erityisen arkaluonteinen tieto toimihenkilöiden turvallisuuden kannalta ainakin tietyillä talouden aloilla.

77.      Pankkilaitoksen asiakkaan kaltaiset henkilöt, joilla voi olla intressi saada yhteystahonsa personoitua yhdeksi tai useammaksi rahalaitoksen toimihenkilöksi varsinaisen rahalaitoksen sijaan, voisivat yrittää painostaa kyseisiä toimihenkilöitä tai vaikuttaa heihin yritystoimintaketjun heikoimpina lenkkeinä. Näin voisi käydä esimerkiksi silloin, kun liiketoimia seurataan asiakastietojen perusteella pankeille rahoitusalan rikosten ehkäisemisen ja torjunnan alalla asetettujen velvoitteiden täyttämiseksi.

78.      On totta, että asiakas voi epäillä henkilötietojensa käsittelyyn rekisterinpitäjän lukuun osallistuneen luonnollisen henkilön rehellisyyttä tai puolueettomuutta. Tällainen epäilys, jos se on perustelu, voi oikeuttaa asiakkaan intressin saada tietoonsa toimihenkilön henkilöllisyys, jotta asiakas voi käyttää oikeuttaan toteuttaa toimenpiteitä tätä vastaan.

79.      Kyseisten tietojen arkaluonteisuuden vuoksi toimihenkilön henkilöllisyyden tietoon saamista koskevan intressin vastapainona ovat rekisterinpitäjien yhtä kiistaton intressi pitää toimihenkilöidensä henkilöllisyys salassa sekä toimihenkilöiden oikeus henkilötietojensa suojaan. Tasapainoinen ratkaisu löytyy nähdäkseni valvontaviranomaisen välityksellä sen punnitessa näitä vastakkaisia intressejä.

80.      Käsiteltävän asian kaltaisessa tilanteessa valvontaviranomaisen on siis puolueettomasta asemastaan käsin arvioitava, ovatko pankkilaitoksen palveluksessa olevien toimihenkilöiden toimintaan kohdistuvat epäilyt niin perusteltuja ja johdonmukaisia, että kyseisten toimihenkilöiden henkilöllisyyden salassa pitämisestä on oikeutettua luopua.

3.     Tiedostoista tai käsittelytoimia koskevista selosteista ilmenevien, toimihenkilöiden henkilöllisyyttä koskevien merkintöjen saaminen tietoon

81.      Ensimmäiseen ja toiseen ennakkoratkaisukysymykseen vastaaminen voitaisiin jättää tähän, nyt kun on todettu, että rahalaitoksen lukuun ja sen ohjeita noudattaen toimivat rahalaitoksen toimihenkilöt eivät ole varsinaisesti yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdassa mainittuja vastaanottajia.

82.      Vastausta on kuitenkin aiheellista täydentää tutkimalla rekisteröidyn väitettyä oikeutta saada tietää toimihenkilöiden henkilöllisyys, kun henkilöllisyys ilmenee rahalaitoksen tiedostoista tai käsittelytoimia koskevista selosteista. Kuten olen jo todennut, vaikka kyseisten tiedostojen tai selosteiden sisältö ei ole välttämättä aina sama, niistä katsotaan yleisesti käyvän ilmi, kuka (rekisterinpitäjän toimihenkilöistä) on tarkastellut asiakkaan tietoja sekä miten ja milloin.

83.      Tämäntyyppisten selosteiden avulla rekisterinpitäjä pystyy täyttämään velvollisuutensa noudattaa yleisen tietosuoja-asetuksen 5 artiklan 1 kohdassa vahvistettuja periaatteita ja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että käsittelyssä noudatetaan kyseisen asetuksen säännöksiä (yleisen tietosuoja-asetuksen 24 artiklan 1 kohta ja 25 artiklan 2 kohta).

84.      Komission esimerkkinä(30) rikosten alalla sovellettavasta erityisestä tietosuojajärjestelmästä esille ottaman direktiivin (EU) 2016/680(31)

–        24 artiklassa edellytetään, että rekisterinpitäjä ylläpitää selostetta kaikista sen vastuulle kuuluvista käsittelytoimien ryhmistä (1 kohta) ja että henkilötietojen käsittelijä ylläpitää selostetta kaikista rekisterinpitäjän lukuun suoritettavista henkilötietojen käsittelytoimien ryhmistä (2 kohta).

–        25 artiklassa edellytetään, että ”– – ainakin seuraavista automatisoiduissa käsittelyjärjestelmissä suoritettavista käsittelytoimista on säilytettävä lokitiedot: tietojen kerääminen, muuttaminen, kysely, luovuttaminen siirrot mukaan lukien, yhdistäminen ja poistaminen. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä toteamaan kyseisten toimien perusteet, toteutuspäivä ja ‑aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys”.(32)

85.      Direktiivin 2016/680 14 artiklan mukaan henkilötietoja käsitelleen toimihenkilön henkilöllisyyttä koskeva tieto ei kuulu niihin tietoihin, joihin rekisteröidyllä on oikeus saada pääsy.

86.      Yleisen tietosuoja-asetuksen 30 artiklassa säädetään vastaavalla tavalla niin sanotusta käsittelytoimia koskevasta selosteesta, jonka sisältö on sama kuin direktiivin 2016/680 25 artiklan sisältö, joskin käsittelytoimia ei ole määritelty siinä aivan yhtä tarkasti.(33) Viimeksi mainitun direktiivin tavoin toimihenkilön henkilöllisyydestä tallennetut tiedot eivät myöskään kuulu niihin tietoihin, jotka rekisteröity voi saada yleisen tietosuoja-asetuksen 15 artiklan nojalla.

87.      Syy tähän epäsuhtaan yhtäältä tallennettujen tietojen ja toisaalta näiden tietojen saantia koskevan oikeuden välillä johtuu siitä, että säännöksillä, joissa säädetään käsittelytoimia koskevasta selosteesta, ja säännöksillä, joissa säädetään selosteen sisältöön tutustumisesta, on erilaiset tarkoitukset.

88.      Yleisen tietosuoja-asetuksen 30 artiklassa tarkoitetuilla selosteilla pyritään siis varmistamaan käsittelyn lainmukaisuus ja takaamaan tietojen eheys ja tietoturva. Vastuu tästä on pääsääntöisesti valvontaviranomaisella, jonka saataville rekisterinpitäjän ja henkilötietojen käsittelijän on seloste annettava (yleisen tietosuoja-asetuksen 30 artiklan 4 kohta).

89.      Yleisessä tietosuoja-asetuksessa oikeudella tehdä kantelu valvontaviranomaiselle (15 artiklan 1 kohdan f alakohta), jonka tehtävänä on valvoa kyseisen asetuksen asianmukaista soveltamista, pyritään suojaamaan luonnollisten henkilöiden oikeudet, jotka liittyvät heidän henkilötietojensa käsittelyyn. Tämä vahvistetaan yleisen tietosuoja-asetuksen 51 artiklan 1 kohdassa, ja se ilmenee saman asetuksen 57 artiklassa näille valvontaviranomaiselle annettujen tehtävien luettelosta.

90.      Yleinen tehtävä valvoa yleisen tietosuoja-asetuksen soveltamista ja suojata luonnollisten henkilöiden oikeuksia oikeuttaa valvontaviranomaiselle myönnetyt erioikeudet. Näihin kuuluu oikeus saada tietoon olosuhteet, joissa henkilötietoja on käsitelty henkilötietojen käsittelijän tai rekisterinpitäjän lukuun. Yksi näistä olosuhteista on nimenomaisesti kyseessä nyt käsiteltävässä asiassa: rekisterinpitäjän tai henkilötietojen käsittelijän lukuun asiakkaiden henkilötietoja tarkastelevien henkilöiden henkilöllisyys.

91.      Yhdessäkään yleisen tietosuoja-asetuksen kohdassa ei kuitenkaan edellytetä, että laitosten sisäisiin selosteisiin sisältyvät toimihenkilöiden henkilöllisyyttä koskevat merkinnät, joiden perusteella laitokset saavat tietää (ja jotka ne voivat saattaa tarvittaessa valvontaviranomaisen saataville), kuka on tarkastellut asiakkaan henkilötietoja ja milloin, olisi annettava asiakkaan tietoon.

92.      Henkilölle, jonka henkilötietoja on varsinaisesti käsitelty, on annettava päinvastoin tarvittavat tiedot asiaankuuluvien olosuhteiden selvittämiseksi, jotta kyseinen henkilö voi arvioida käsittelyn lainmukaisuutta ja riitauttaa sen tarvittaessa saattamalla asiansa valvontaviranomaisen tai viime kädessä oikeusviranomaisen käsiteltäväksi.

93.      Edellä esitetyn vastaista ei ole se, että jos näistä selosteista ilmenee tosiasiallisesti rekisteröidyn henkilötietoja (eli muitakin tietoja kuin pelkkä toimihenkilöiden henkilöllisyyttä koskeva tieto), rekisteröidyllä on luonnollisesti oikeus saada rekisterinpitäjältä vahvistus siitä, että hänen henkilötietojaan käsitellään. Tässä tarkoituksessa on merkityksetöntä, sisältyvätkö kyseiset henkilötiedot selosteisiin käsittelytoimista vai muihin laitoksen tiedostoihin tai sisäisiin tietokantoihin.

C       Kolmas ennakkoratkaisukysymys

94.      Ennakkoratkaisua pyytänyt tuomioistuin haluaa tietää, ”onko asiassa merkitystä sillä, että kysymyksessä on säänneltyä tehtävää hoitava pankki, tai sillä, että J.M. on samaan aikaan sekä työskennellyt että ollut pankin asiakkaana”.

95.      Sillä, että rekisterinpitäjä hoitaa säänneltyä tehtävää, ei ole nähdäkseni vaikutusta edellä esitettyihin toteamuksiin. Se, että rekisterinpitäjä on pankki, johon sovelletaan tämäntyyppisiä laitoksia koskevaa erityissääntelyä,(34) voi kuitenkin vaikuttaa käsittelyn laillisuuden (oikeusperustan) määrittämiseen, kun käsittely perustuu kyseistä laitosta koskevien lainsäädännön velvoitteiden täyttämiseen.(35)

96.      Lähtökohtaisesti merkitystä ei ole myöskään sillä, että henkilö, jonka tietoja on tarkasteltu, on ollut samanaikaisesti sekä pankin työntekijä että sen asiakas. Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa ei tehdä eroa rekisteröidyn ammatillisen toiminnan perusteella, joka on päällekkäinen rahalaitoksen asiakkaan aseman kanssa.(36)

97.      Kuten komissio on huomauttanut, yleisen tietosuoja-asetuksen 23 artiklan mukaan jäsenvaltiot voivat tietenkin rajoittaa lainsäädännössään muun muassa kyseisen asetuksen 15 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa antamalla tiettyä asianomaisten henkilöiden ryhmää koskevia alakohtaisia säädöksiä. Ennakkoratkaisua pyytänyt tuomioistuin ei kuitenkaan mainitse mitään tällaista kansallista rajoitusta.

V       Ratkaisuehdotus

98.      Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Itä-Suomen hallinto-oikeudelle seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 15 artiklan 1 kohtaa, luettuna yhdessä kyseisen asetuksen 4 artiklan 1 alakohdan kanssa,

on tulkittava siten, että

sitä sovelletaan, kun rekisteröidyn rekisterinpitäjälle osoittama pyyntö saada tutustua tietoihin on esitetty myöhemmin kuin 25.5.2018.

Siinä ei anneta rekisteröidylle oikeutta saada tietoonsa rekisterinpitäjän käytettävissä olevista tiedoista (tarvittaessa käsittelytoimia koskevien selosteiden tai tiedostojen kautta) sen toimihenkilön tai niiden toimihenkilöiden henkilöllisyyttä, jotka ovat tarkastelleet hänen henkilötietojaan rekisterinpitäjän alaisuudessa ja sen antamia ohjeita noudattaen.

1      Alkuperäinen kieli: espanja.

2      Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1).

3      Tietosuojalain 1 §:n mukaan kyseisellä lailla täsmennetään ja täydennetään yleistä tietosuoja-asetusta.

4      Laki yksityisyyden suojasta työelämässä.

5      Pankki S halusi selvittää, oliko erään pankin asiakkaan, jonka asiakasvastaavana J. M. toimi, ja J. M:n välillä mahdollisesti eturistiriita. Lopulta todettiin, ettei J. M:ää epäilty mistään väärinkäytöksestä.

6      Yleisen tietosuoja-asetuksen 99 artiklan 2 kohta.

7      Ks. vastaavasti julkisasiamies Pitruzzellan ratkaisuehdotus Österreichische Post (Henkilötietojen vastaanottajia koskevat tiedot) (C‑154/21, EU:C:2022:452), jonka 33 kohdassa todetaan seuraavaa: ”– – tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdassa säädetyllä rekisteröidyn oikeudella saada tutustua tietoihin on toiminnallinen ja välineellinen tehtävä, joka liittyy tietosuoja-asetuksessa säädettyjen rekisteröidyn muiden etuoikeuksien käyttämiseen”.

8      Tai, kuten tässä tapauksessa, siitä päivästä lähtien, jona varsinaista säädöstä voidaan alkaa soveltaa, jos tämä päivä poikkeaa voimaantulopäivästä.

9      Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi (EYVL 1995, L 281, s. 31).

10      Unionin tuomioistuimen oikeuskäytäntö säädösmuutosten ajallisista vaikutuksista on tiivistetty 15.6.2021 annetussa tuomiossa Facebook Ireland ym. (C‑645/19, EU:C:2021:483).

11      7.5.2009 annetun tuomion Rijkeboer (C‑553/07, EU:C:2009:293) 70 kohdassa todetaan direktiiviin 95/46 viitaten, että ”direktiivin 12 artiklan a alakohdassa velvoitetaan jäsenvaltiot säätämään paitsi nykyisyyteen myös menneeseen aikaan kohdistuvasta – – tiedonsaantioikeudesta. Jäsenvaltioiden tehtävänä on asettaa määräaika näiden tietojen säilyttämiselle ja säätää niitä koskevasta vastaavasta tiedonsaantioikeudesta, joilla saavutetaan oikea tasapaino yhtäältä intressin, joka rekisteröidyllä on yksityiselämänsä suojaamiseen muun muassa direktiivissä säädettyjen puuttumis- ja oikeussuojakeinojen avulla, ja toisaalta sen taakan välillä, jota näiden tietojen säilyttämisvelvollisuus merkitsee rekisterinpitäjälle”. Kursivointi tässä.

12      Mikä ennakkoratkaisua pyytäneen tuomioistuimen on varmistettava tarvittaessa siitä huolimatta, että istunnossa esitettiin kyseisten tietojen käsittelyn oikeuttamisperusteiksi yhtäältä Suomen lainsäädännöstä johtuvia velvoitteita, joiden nojalla Pankki S:n oli rahalaitoksena huolehdittava asianmukaisesta riskienhallinnasta sekä noudatettava rahanpesun ehkäisemistä ja torjuntaa koskevia sääntöjä liiketoimien jäljitettävyyden osalta, ja toisaalta sopimuksia, joita pankki on tehnyt asiakkaidensa ja toimihenkilöidensä kanssa ja joissa annetaan lupa tarkastella niiden tietoja käsiteltävän asian taustalla olevissa olosuhteissa.

13      Ks. edellä tämän ratkaisuehdotuksen 21 kohta.

14      Kyseisen säännöksen mukaan henkilötiedoilla tarkoitetaan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön – – liittyviä tietoja” ja tunnistettavissa olevana pidetään henkilöä, ”joka voidaan suoraan tai epäsuorasti tunnistaa”.

15      Hänen henkilöllisyytensä ei selvinnyt käsittelyn seurauksena tai vaikutuksesta, vaan käsittely tapahtui sen jälkeen, kun J. M. oli ensin tunnistettu.

16      Kuten komissio on huomauttanut, voi olla, että J. M. pitää luovutettuja tietoja riittämättöminä tai epätäsmällisinä. Joka tapauksessa J. M:llä on yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeus siihen, että hänelle vahvistetaan, onko hänen tietojaan käsitelty tai käsitelläänkö niitä (mihin sisältyy viittaus siihen, milloin käsittely tapahtuu) ja mitkä ovat käsittelyn tarkoitukset. Ennakkoratkaisua pyytäneen tuomioistuimen olisi selvitettävä, onko näistä kahdesta seikasta annettu hänelle riittävät tiedot.

17      Ks. kyseisten alakohtien lainaukset edellä tämän ratkaisuehdotuksen 9 kohdassa.

18      Kuten unionin tuomioistuin on vahvistanut direktiivin 95/46 osalta, siltä osin kuin kyseistä tulkintaa voidaan soveltaa yleiseen tietosuoja-asetukseen, unionin oikeudessa tällä alalla vahvistettujen tietosuojan periaatteiden ”on ilmettävä yhtäältä tietoja käsittelevien henkilöiden niissä velvoitteissa, jotka koskevat erityisesti tietojen laatua, teknistä turvallisuutta, ilmoitusmenettelyä valvontaviranomaiselle ja tietojenkäsittelyn olosuhteita, ja toisaalta niiden henkilöiden, joiden tietoja käsitellään, oikeudessa saada tieto käsittelystä sekä mahdollisuudessa tutustua tietoihin ja pyytää niiden oikaisua ja jopa vastustaa käsittelyä tietyissä olosuhteissa” (tuomio 20.12.2017, Nowak, C‑434/16, EU:C:2017:994, 48 kohta).

19      Kursivointi tässä.

20      Oikeus pyytää henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; oikeus tehdä valitus valvontaviranomaiselle ja oikeus saada tieto muualta kuin rekisteröidyltä saatujen tietojen alkuperästä.

21      Ennakkoratkaisupyynnön 38 kohta.

22      Yleisen tietosuoja-asetuksen 13, 14 ja 15 artiklasta, jotka sisältyvät III luvussa (”Rekisteröidyn oikeudet”) olevaan 2 jaksoon (”Tietojen toimittaminen ja pääsy henkilötietoihin”), muodostuva järjestelmä perustuu siihen, että annetaan oikeus saada tieto a) henkilötiedoista, jotka ovat rekisterinpitäjän hallussa riippumatta sitä, missä muodossa ne on saatu (13 ja 14 artikla), ja b) olosuhteista, joissa kukin kyseisten tietojen käsittely on erityisesti tapahtunut (15 artikla).

23      Kursivointi tässä.

24      Näin ajattelee myös Euroopan tietosuojaneuvosto 2.9.2020 antamissaan suuntaviivoissa 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, 83–90 kohta.

25      Tässä tilanteessa sovellettaisiin yleisen tietosuoja-asetuksen 34 artiklan 1 kohtaa.

26      Tätä mieltä oli Euroopan tietosuojaneuvosto edellä mainittujen suuntaviivojen 07/2020 88 kohdassa: ”Tähän ryhmään eivät kuulu sellaiset työntekijät ym., jotka saavat pääsyn tietoihin, joihin heillä ei ole oikeuksia, ja muihin kuin työnantajan tarkoituksiin. Tällaista työntekijää olisi sen sijaan pidettävä kolmantena osapuolena suhteessa työnantajan suorittamaan käsittelyyn. Jos työntekijä käsittelee henkilötietoja omiin tarkoituksiinsa, jotka poikkeavat hänen työnantajansa tarkoituksista, häntä pidetään rekisterinpitäjänä ja hän ottaa kantaakseen kaikki tästä aiheutuvat henkilötietojen käsittelyn seuraukset ja vastuut”.

27      Samaan tulokseen päädytään, kun tulkitaan yleisen tietosuoja-asetuksen 13 ja 14 artiklassa sekä johdanto-osan 61 perustelukappaleessa olevia viittauksia ajankohtaan, jona rekisteröidyille on annettava tieto vastaanottajille luovutettujen henkilötietojen käsittelystä. Näistä käy selvästi ilmi, että vastaanottaja on ulkopuolinen taho tai henkilö, muu kuin rekisterinpitäjä tai henkilötietojen käsittelijä.

28      Suomen hallitus ilmoitti istunnossa tehneensä näin terveystietojen osalta.

29      Tällaisen velvoitteen hyväksymisen seurauksia yritysten päivittäisessä toiminnassa on vaikea ennakoida erityisesti niiden yritysten kohdalla, joilla on velvollisuus käsitellä (luonnollisesti toimihenkilöidensä kautta) asiakkaidensa miljoonia henkilötietoja.

30      Istunnossa selitettiin, ettei viittaus direktiiviin 2016/680 merkinnyt sitä, että tätä direktiiviä voitaisiin soveltaa käsiteltävässä asiassa, johon ei liity rikosoikeudellisia piirteitä.

31      Luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston direktiivi (EUVL 2016, L 119, s. 89).

32      Kyseiset säännökset toistetaan luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23.10.2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (EUVL 2018, L 295, s. 39) 88 artiklassa, jonka 2 kohdassa lisätään, että lokitiedot on poistettava kolmen vuoden kuluttua, paitsi jos tietoja tarvitaan edelleen valvontaa varten.

33      Direktiivin 2016/680 25 artiklan 1 kohdassa viitataan nimenomaisesti henkilötietoja hakeneeseen tai niitä luovuttaneeseen henkilöön. Yleisen tietosuoja-asetuksen 30 artiklan 2 kohdan a alakohdassa viitataan vain yleisemmin kutakin varsinaista käsittelytoimea erikseen mainitsematta ”rekisterinpitäjän lukuun suoritettaviin käsittelytoimiin” ja mainitaan ”henkilötietojen käsittelijän nimi ja yhteystiedot”; yleisen tietosuoja-asetuksen 4 artiklan 8 alakohdan mukaan henkilötietojen käsittelijällä tarkoitetaan ”– – henkilöä – –, joka käsittelee henkilötietoja rekisterinpitäjän lukuun”.

34      Kyseinen erityissääntely voi merkitä esimerkiksi sitä, kuten todetaan direktiivin 2016/680 johdanto-osan 11 perustelukappaleessa, että ”– – rahoituslaitokset säilyttävät rikosten tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien tarkoituksiin tiettyjä käsittelemiään henkilötietoja ja antavat kyseiset henkilötiedot ainoastaan toimivaltaisten viranomaisten käyttöön erityistapauksissa ja jäsenvaltion lainsäädäntöä noudattaen”.

35      Ks. tämän ratkaisuehdotuksen alaviite 12.

36      Ennakkoratkaisua pyytänyt tuomioistuin ei kysy niiden oikeuksien mahdollisesta loukkaamisesta, jotka J. M:llä on Pankki S:n palveluksessa olevana työntekijänä.