Verohallinnon vertailutietotarkastukset ovat yleistyneet viime vuosina osana tehostunutta verovalvontaa. Helsingin hallinto-oikeus antoi 5.9.2025 merkittävän ratkaisun (5366/2025), jossa se katsoi, että verotuksen oikaisulautakunta oli tietosuojasääntelyyn liittyvillä perusteilla voinut kumota Verohallinnon vertailutietotarkastukseen liittyviä tietopyyntöjä koskevat päätökset. Verohallinnon tietopyyntöjen ei katsottu olleen EU:n yleisessä tietosuoja-asetuksessa sekä Suomen tietosuojalaissa edellytetyllä tavalla oikeasuhtaisia eivätkä kaikki pyydetyt tiedot olleet tarpeellisia vertailutietotarkastuksen tarkoituksen kannalta. Hallinto-oikeuden päätös korostaa, että tietosuojalainsäädännön vaatimukset tulee huomioida täysimääräisesti myös Verohallinnon toteuttamissa vertailutietotarkastuksissa.
Uusi käänne vertailutietotarkastusten tietosuojakysymyksissä
Asiassa oli kyse siitä, että Verohallinto oli vaatinut A:lta (pankki) laajoja korttimaksutietoja koskien ulkomaisten verkkokauppojen euromääräisiä myyntejä Suomeen yksityishenkilöille. Tietopyynnöt koskivat vuoden 2022 ulkomaisia korttiostoja ja edellyttivät yksityiskohtaisia maksutietoja, kuten ostopäivämääriä, summia, kauppiaiden tietoja ja korttityyppejä. Vastaavia pyyntöjä oli esitetty vuosittain jo useita vuosia.
Hallinto-oikeus totesi, ettei tietojen pyytäminen ollut EU:n yleisessä tietosuoja-asetuksessa (”GDPR”) ja Suomen tietosuojalaissa edellytetyllä tavalla oikeasuhtaista eivätkä kaikki tiedot olleet tarpeellisia vertailutietotarkastusten tarkoituksen kannalta. Verohallinto ei ollut riittävästi perustellut, miksi tietopyynnöt oli tarpeen toistaa vuosittain olennaisesti saman sisältöisinä.
Hallinto-oikeuden päätös on jatkoa merkittävälle vertailutietotarkastusten ja tietosuojan suhdetta koskevalle ratkaisukäytännölle Suomessa. Vuonna 2022 tietosuojavaltuutettu antoi päätöksen 3681/186/21, jossa se katsoi, että Verohallinnon vertailutietotarkastukseen liittyvä tietopyyntö ja sen seurauksena suoritettu henkilötietojen käsittely eivät täyttäneet GDPR:n ja tietosuojalain mukaisia edellytyksiä. Kyseisen päätöksen taustalla oli puolestaan vuonna 2020 korkeimman hallinto-oikeuden antama päätös, jossa niin ikään tarkasteltiin vertailutietotarkastusta ja todettiin, ettei Verohallinnon pankille osoittama kehotus asiakaslistauksen esittämiseen ollut tietosuojasääntelyn mukainen.
Tietosuojavaatimukset on huomioitava myös lakiin perustuvissa tietopyynnöissä
Helsingin hallinto-oikeus totesi päätöksessään, että Verohallinnon tietopyynnöt ja niihin liittyvä henkilötietojen käsittely sinänsä perustuivat lakiin ja niille oli myös tietosuojasääntelyn näkökulmasta laillinen peruste. Hallinto-oikeus kuitenkin korosti, ettei Verohallinto voinut pyytää mitä tahansa tietoa tai missä tahansa laajuudessa, vaan GDPR:n ja tietosuojalain mukaiset oikeasuhtaisuuden ja tarpeellisuuden vaatimukset asettivat rajat myös Verohallinnon tietopyynnöille. Näin ollen pelkästään se, että Verohallinnon vertailutietotarkastukset perustuivat lakiin, ei poistanut tarvetta huomioida täysimääräisesti tietosuojasääntelyn vaatimuksia.
Verohallinnon vertailutietotarkastuksiin liittyviä tietopyyntöjä voidaankin pitää tietosuojan kannalta erityisen merkittävinä. Kuten hallinto-oikeuden päätöksestä ilmenee, hallinto-oikeus piti – Verohallinnon väitteistä poiketen – selvänä, että tietopyyntöjen kohteena oleviin aineistoihin saattoi sisältyä tietosuojasääntelyn mukaisia henkilötietoja. Pyynnön kohteena olleet maksusuoritustiedot pitivät sisällään suorituksen saajien nimiä ja henkilötunnuksia, jotka olivat varsin ilmeisesti henkilötietoja. Lisäksi pyyntöjen kohteena olleet oikeushenkilöiden tiedot saattoivat sisältää henkilötietoja sen vuoksi, että kyseessä saattoi olla toiminimiä (jolloin y-tunnus oli suoraan yhdistettävissä luonnolliseen henkilöön), minkä lisäksi tietoihin sisältyvät kauppiaat saattoivat olla yksityishenkilöitä. Pyydetyt tiedot yksityiskorttiostoista olivat myös vähintään välillisesti liitettävissä tunnistettavissa oleviin luonnollisiin henkilöihin eli korttien haltijoihin.
Verohallinnon pyytämät maksuliikennettä koskevat tiedot saattoivat tietyissä tilanteissä kuvata varsin yksityiskohtaisesti henkilön yksityiselämää, ja relevanteista tilitapahtumista saattoi ilmetä jopa arkaluonteisia tietoja. Pyydettyihin tietoihin katsottiin näin ollen kohdistuvan korostunut oikeasuhtaisuuden vaatimus.
Hallinto-oikeuden päätöksestä ilmenee useita tärkeitä linjauksia:
(i) Viranomaisten tietopyyntöjen tulee olla ainoastaan satunnaisia – vuosittain toistuvat, lähes identtiset pyynnöt eivät täytä tätä vaatimusta.
(ii) Henkilötietojen käsittelyn on oltava tarpeen ja oikeasuhtaista – tietopyyntöjen oikeasuhtaisuutta ei voida arvioida ainoastaan suhteessa pyyntöjen toteuttamisesta aiheutuvaan työmäärään, vaan huomioon tulee ottaa muun ohella tietojen laatu ja laajuus, tietojen tarpeellisuus käsittelyn tarkoituksen kannalta sekä käsittelystä luonnollisille henkilöille mahdollisesti aiheutuvat riskit.
iii) Korttimaksutiedot voivat paljastaa yksityiskohtaisia seikkoja henkilön yksityiselämästä.
Miten tietopyyntöjä saavien toimijoiden tulisi jatkossa menetellä?
Helsingin hallinto-oikeuden päätös sekä ’samassa saagassa’ aiemmin annetut tietosuojavaltuutetun ja korkeimman hallinto-oikeuden ratkaisut kohdistuivat Verohallinnon toiminnan lainmukaisuuden arviointiin. Verohallinnolla on siis tietopyyntöjä antaessaan velvollisuus tietosuojalainsäädännön mukaisena rekisterinpitäjänä varmistaa, että sen pyytämien tietojen luonne, laatu ja laajuus täyttävät tietosuojavaatimukset.
On kuitenkin tärkeää huomata, että kun rekisterinpitäjä (tässä asiassa Verohallinto) pyytää henkilötietoja toiselta rekisterinpitäjältä (tässä asiassa pankki), myös viimeksi mainittu rekisterinpitäjä on osaltaan velvollinen varmistamaan, että tällainen henkilötietojen luovuttaminen on tietosuojasääntelyn mukaista. Viime kädessä – esimerkiksi pankin asiakkaan esittämän tiedustelun johdosta – tietosuojaviranomainen saattaisikin päätyä tarkastelemaan, onko Verohallinnon tietopyynnön saanut pankki riittävästi arvioinut ja tarvittaessa vastustanut tietopyyntöä.
Viranomaisten tietopyyntöjä saavien toimijoiden onkin omien vastuuriskiensä minimoimiseksi suositeltavaa arvioida riittävällä kriittisyydellä tällaisia tietopyyntöjä ja tarvittaessa edellyttää viranomaiselta lisäperusteluja pyydettyjen tietojen oikeasuhtaisuudesta ja tarpeellisuudesta.
Tietosuoja- ja veroasiantuntijamme keskustelevat mielellään lisää tietosuojaan ja verotukseen liittyvistä kysymyksistä.