EU:n tuomioistuin antoi 27.2.2025 ratkaisun, jossa se vastasi itävaltalaisen hallintotuomioistuimen ennakkoratkaisupyyntöön rekisteröidyn oikeudesta tutustua häntä koskeviin henkilötietoihin. Tarkastelu kohdistui erityisesti luottokelpoisuuden määrittävän automatisoidun profiloinnin logiikkaan. Rekisteröidyn tarkastusoikeus todettiin laajaksi, ja se kattaa paitsi käsitellyt henkilötiedot myös sen yksityiskohtaisemman menettelyn, jonka perusteella luottokelpoisuus määritetään. Silti myös liikesalaisuuksien suojaamisen tarve tunnustettiin. Eri osallisten vastakkaisten oikeuksien ja etujen punninta kuuluu viime kädessä tietosuojaviranomaiselle tai tuomioistuimelle.
Euroopan unionin tuomioistuimen (”EUT”) tuomio 27.2.2025 asiassa C-203/22 (Dun & Bradstreet Austria, EU:C:2025:117) koski tapausta, jossa luottoluokitusyritys oli tuottanut automatisoidulla menetelmällä arvioinnin henkilön luottokelpoisuudesta. Koska luottokelpoisuuden kriteerit eivät olleet täyttyneet, henkilö ei ollut pystynyt tekemään tai uusimaan liittymäsopimusta matkapuhelinoperaattorin kanssa.
Tämän jälkeen henkilö oli käyttänyt yleisen tietosuoja-asetuksen (2016/679 EU, ”TSA”) 15 artiklan mukaista tarkastusoikeutta saadakseen tiedon paitsi käsitellyistä henkilötiedoista myös merkitykselliset tiedot käsittelyyn liittyneestä automaattisen profiloinnin logiikasta. Tiedonsaanti oli ollut merkityksellistä myös sen takia, että rekisteröity voi niin halutessaan käyttää muita TSA:n mukaisia oikeuksiaan.
EUT vastasi kahteen ennakkoratkaisukysymykseen. Niistä ensimmäinen koski sitä, miten laajasti ja millä tavoin tarkastusoikeus pitää sinällään toteuttaa. Koska tuomion tämä osa ei tuo paljon uutta suhteessa siihen, mitä EUT oli lausunut jo aikaisemmin asiassa C-634/21 antamassaan tuomiossa 17.12.2023 (SCHUFA Holding ym. (Pisteytys), EU:C:2023:957), tässä kirjoituksessa keskitytään vain toiseen ennakkoratkaisukysymykseen. Vastaus siihen oli seuraava (säädösten nimet lainauksessa lyhennettyinä):
”[TSA] 15 artiklan 1 kohdan h alakohtaa on tulkittava siten, että jos rekisterinpitäjä katsoo, että rekisteröidylle tämän säännöksen mukaisesti toimitettavat tiedot sisältävät kyseisellä asetuksella suojattuja kolmansien osapuolten tietoja tai [liikesalaisuusdirektiivin, 2016/943 EU] 2 artiklan 1 alakohdassa tarkoitettuja liikesalaisuuksia, kyseisen rekisterinpitäjän on toimitettava nämä väitetysti suojatut tiedot toimivaltaiselle valvontaviranomaiselle tai tuomioistuimelle, jonka on punnittava kyseessä olevia oikeuksia ja etuja mainitun asetuksen 15 artiklassa säädetyn rekisteröidyllä olevan tietoihin pääsyä koskevan oikeuden laajuuden määrittämiseksi.”
”Kolmansien osapuolten tiedoilla” EUT:n vastauksessa tarkoitettiin etenkin muiden rekisteröityjen henkilötietoja. Seuraavassa tarkastellaan vain liikesalaisuuksien suojaa, joka liittyi luottoluokitusyrityksen automatisoituun järjestelmään.
Liikesalaisuusdirektiivin johdanto-osan 35 perustelukappaleen mukaan kyseinen direktiivi ei saisi vaikuttaa henkilötietodirektiivissä (nykyisin TSA:ssa) säädettyihin oikeuksiin ja velvollisuuksiin, etenkään rekisteröidyn oikeuteen päästä tutustumaan omiin käsiteltävänä oleviin henkilötietoihinsa ja saada oikaistuksi, poistetuksi tai suojatuksi puutteelliset tai virheelliset tiedot.
TSA:n johdanto-osan 63 perustelukappaleessa on puolestaan todettu, että rekisteröidyn tarkastusoikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai teollis- ja tekijänoikeudet ja erityisesti ohjelmistoja suojaavat tekijänoikeudet. Toisaalta näiden seikkojen huomioon ottaminen ei saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa.
Rekisteröidyn tarkastusoikeudesta on säädetty TSA 15 artiklassa. Sen 4 kohdan mukaan rekisteröidyn oikeus saada jäljennös käsiteltävistä henkilötiedoista ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Tässä yhteydessä ei ole mainittu liikesalaisuuksia, mutta ainakin yleensä on tulkinnassa lähdetty siitä, että liikesalaisuuksien suoja voi olla säännöksessä tarkoitettu muun osapuolen, kuten rekisterinpitäjän, oikeus.
TSA 23 artikla tekee mahdolliseksi säätää kansallisessa laissa rajoituksista niiden velvollisuuksien ja oikeuksien soveltamisalaan, joista on säädetty (muun muassa) 15 artiklassa. Tarkoituksena on turvata paitsi rekisteröidyn suojelu myös muille kuuluvat oikeudet ja vapaudet. Säännös sisältää tiukat reunaehdot tarkentavalle lainsäädännölle.
EUT:n ratkaisussa tarkemmin referoidusti Itävallan kansallisessa tietosuojalaissa oli säädetty liikesalaisuuksien suojaamisesta. Siinä oli suljettu pois TSA 15 artiklassa säädetty rekisteröidyn oikeus tutustua häntä koskeviin henkilötietoihin lähtökohtaisesti silloin, kun tietoihin tutustuminen johtaisi rekisterinpitäjän tai kolmannen osapuolen liikesalaisuuden vaarantumiseen.
Myös Suomen tietosuojalaissa (1050/2018) on vastaavan kaltainen säännös. Lain 34 §:n 1 momentin 2 kohdan mukaan rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, jos ”tiedon antamisesta saattaisi aiheutua vakavaa vaaraa – – jonkun muun oikeuksille”. Näitä muiden oikeuksia ei ole tarkemmin yksilöity, esimerkiksi viittauksin liikesalaisuuteen.
EUT piti Itävallan kansallisen tietosuojalain edellä mainittua säännöstä ongelmallisena suhteessa TSA 15 artiklaan. Rekisteröidyn oikeuden ja jonkun muun osallisen oikeuden välistä suhdetta olisi arvioitava tapauskohtaisesti, eikä jäsenvaltio voi vahvistaa lopullisesti, mikä on unionin oikeudessa edellytetyn vastakkaisten oikeuksien ja intressien punnitsemisen tulos. Itävallan kansallisen lain säännös oli liian kategorinen.
Silti ratkaisussa hyväksyttiin se, että liikesalaisuuksien suoja voi kaventaa rekisteröidyn tarkastusoikeuden toteutumista. EUT ei edellyttänyt, että kansallisessa tietosuolaissa on (TSA 23 artiklan mukaisesti) erikseen säädetty liikesalaisuuksien suojaamisesta. TSA 15 artiklan 4 kohdassa mainitaan muulle osalliselle kuuluva oikeus, ja sen määrittymisessä voidaan ottaa huomioon johdanto-osan 63 perustelukappaleen viittaus liikesalaisuuksiin.
Saman yleisen lähtökohdan EUT oli omaksunut jo aikaisemmin tuomiossaan 4.5.2023 asiassa C-487/21 (Österreichische Datenschutzbehörde ja CRIF, EU:C:2023:369, kohdat 43–44). Nyt tarkasteltavassa tuomiossa EUT linjasi, että jos rekisterinpitäjä katsoo, että rekisteröidylle toimitettavat tiedot sisältävät (esimerkiksi) liikesalaisuuksia, sen on toimitettava ”nämä väitetysti suojatut tiedot toimivaltaiselle valvontaviranomaiselle tai tuomioistuimelle, jonka on punnittava kyseessä olevia oikeuksia ja etuja [TSA] 15 artiklassa säädetyn rekisteröidyllä olevan tietoihin pääsyä koskevan oikeuden laajuuden määrittämiseksi”.
Tältä osin huomio kiinnittyy siihen, että EUT on muotoillut rekisterinpitäjän velvollisuuden ehdottomaksi – toisin sanoen, koskemaan muitakin tapauksia kuin vain sitä, että rekisteröity erikseen pyytää kyseistä menettelyä. Suomen tietosuojalain 34 §:n 4 momentissa on puolestaan säädetty, että jollei rekisteröidyllä ole oikeutta tutustua hänestä kerättyihin tietoihin, TSA 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.
Oma näkökulmansa koskee sitä, millaisin edellytyksin rekisterinpitäjä voi ohjata intressipunninnan suoraan tuomioistuimelle. Ainakaan Suomessa ei vaikuta prosessuaalisen lainsäädännön puitteissa mahdolliselta, että rekisterinpitäjä voisi oma-aloitteisesti saattaa yleisessä tuomioistuimessa tai hallintotuomioistuimessa vireille asian, jonka kohteena on edellä tarkoitetun intressipunninnan tekeminen.
Ennakkoratkaisua pyytänyt itävaltalainen hallintotuomioistuin oli käsitellyt pyynnössään edellä tarkoitettua riidanalaisten tietojen toimittamista viranomaiselle tai tuomioistuimelle ja tässä yhteydessä viitannut liikesalaisuusdirektiivin 9 artiklan säännöksiin. Tämä artikla koskee liikesalaisuuksien luottamuksellisuuden säilyttämistä oikeudenkäynnin aikana.
EUT ei ottanut suoraan kantaa siihen, mikä merkitys kyseisellä sääntelyllä voi olla tapauksissa, joissa rekisterinpitäjä toimittaa riidanalaiset tiedot viranomaiselle tai tuomioistuimelle. Silti ratkaisussa selostettiin tätä sääntelyä osana ”asiaa koskevia oikeussääntöjä”. Lisäksi siinä viitattiin EUT:n tuomioon 2.3.2023 asiassa C-268/21 (Norra Stockholm Bygg, EU:C:2023:145, kohta 58), jossa oli arvioitu henkilötietojen suojaamista oikeudenkäynnissä yleisemmin.
Edellä selostettujen yksityiskohtien osalta EUT:n ratkaisu jää epäselväksi. On huomattava, että liikesalaisuusdirektiivin 9 artiklassa on kysymys prosessuaalisista säännöksistä, jotka koskevat ”liikesalaisuuden laittomaan hankintaan, käyttöön tai ilmaisemiseen liittyvää oikeudenkäyntiä”. Suomessa kyseiset säännökset on pantu täytäntöön liikesalaisuuslain (595/2018) 14 §:llä. Jo lähtökohtaisesti vaikuttaa poissuljetulta, että liikesalaisuusdirektiivin 9 artiklan säännökset voisivat olla merkityksellisiä käsiteltäessä hallintoasiaa tietosuojaviranomaisessa tai muuten oikeudenkäynnin ulkopuolella.
Lisäksi oikeudenkäynti, jonka kohteena olisi rekisteröidyn tarkastusoikeus suhteessa liikesalaisuuteen, ei vaikuta koskevan liikesalaisuuden laitonta hankintaa, käyttöä tai ilmaisemista. Laajempi tulkinta edellyttäisi, että tilanteessa katsottaisiin lopulta olevan kysymys liikesalaisuuden laittomasta (tai laillisesta) hankinnasta. Tällainen lähestymistapa ei kuitenkaan vaikuta johdonmukaiselta.
Se yleinen lähtökohta, että Suomessa tietosuojavaltuutettu voi viime kädessä tehdä saamiensa yksityiskohtaisten tietojen perusteella intressipunninnan rekisteröidyn tarkastusoikeuden laajuuden ja liikesalaisuuden suojaamisen kesken, on paitsi TSA 15 artiklan ja tietosuojalain 34 §:n mukaistamyös asiallisesti perusteltua.
Silti tietosuojavaltuutetullakin on tässä yhteydessä hankala punnintatehtävä. Jos tietosuojavaltuutettu päätyisi arvioinnissaan siihen, että tarkastusoikeuden riittävä toteuttaminen edellyttää myös liikesalaisuuden piirissä olevasta tiedosta rekisteröidylle kertomista, kyseinen liikesalaisuus oikeastaan lakkaisi olemasta enää liikesalaisuus – tiedosta kun tulisi ”helposti selville saatava” siten kuin liikesalaisuuslain 2 §:n 1 kohdassa tarkoitetaan.
Rekisteröityjä on saman henkilötietojen käsittelyn, esimerkiksi juuri automatisoidun profiloinnin, osalta tyypillisesti vähintäänkin satoja tai tuhansia. Jos yhdelle rekisteröidylle olisi paljastettava automatisoidun profiloinnin logiikka niin yksityiskohtaisesti, että myös liikesalaisuuden piirissä oleva tieto tulee esille, vastaavasti olisi meneteltävä muidenkin rekisteröityjen kohdalla, ainakin pyydettäessä.
Tällaisessa tilanteessa liikesalaisuus olisi käytännössä mahdollista säilyttää vain sitä kautta, että tietosuojavaltuutettu voisi määrätä salassapitovelvollisuuden rekisteröidyn tietoon saatettavan liikesalaisuuden osalta. Tietosuojalaki tai mikään muukaan laki ei kuitenkaan anna tietosuojavaltuutetulle toimivaltaa salassapitomääräyksen antamiseen.
Asiaa voisi periaatteessa lähestyä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 23 §:n 2 ja 3 momentin pohjalta. Tämä sääntely koskee asianosaisen salassapitovelvollisuutta. Sääntelyn sovellettavuutta kuitenkin rajoittaa se nyt tarkasteltavaan tilanteeseen liittyvä yleinen lähtökohta, että jos tietosuojavaltuutettu katsoo rekisterinpitäjän velvolliseksi antamaan rekisteröidylle tietoja, kysymys ei ole siitä, että viranomainen osana hallintoasiaa niitä itse luovuttaisi.
Edellä esitettyyn nähden oma asiansa on se, että tietosuojavaltuutettu arvioisi rekisterinpitäjältä tai käsittelijältä saamiensa tietojen pohjalta muuten henkilötietojen käsittelyn laillisuutta. Tällainen arviointi on tehtävissä myös ilman, että tietosuojavaltuutettu määrää liikesalaisuuden piirissä olevia tietoja annettavaksi rekisteröidylle.
