Bankkund fick rätt till information om exakt tidpunkt för behandling av personuppgifter
En bankkund i Finland har fått rätt till att ta del av exakta datum då hens personuppgifter behandlats. Högsta förvaltningsdomstolen slog fast att rätten till insyn enligt dataskyddsförordningen omfattar denna information – men inte detaljer på klockslagsnivå eller identiteten på bankens anställda.
Enligt ett förhandsavgörande från EU-domstolen (EUCJ C-579/21, Pankki S) har registrerade rätt att få information om när deras personuppgifter behandlas. Domen slår fast att uppgifter om läsningar av personuppgifter – med angivna datum – omfattas av rätten till tillgång enligt artikel 15 i dataskyddsförordningen (GDPR). Syftet är att säkerställa insyn i behandlingen och att den registrerade ska kunna bedöma om behandlingen sker lagligt.
Bakgrunden – bankkund begärde logguppgifter
En bankkund hade begärt att få veta när och för vilket ändamål banken behandlat hens kunduppgifter, samt vilka anställda som gjort det. Banken meddelade att uppgifterna hade behandlats fyra dagar under en viss period men lämnade inte ut detaljerade tidsstämplar eller de anställdas identiteter. Efter att kunden klagat prövades ärendet av Dataombudsmannens byrå, Östra Finlands förvaltningsdomstol – som bad om förhandsavgörande från EU-domstolen – och slutligen Högsta förvaltningsdomstolen.
Ingen rätt till uppgifter om anställdas identitet
EU-domstolen slog fast att en registrerad inte har rätt att få information om bankens anställda som behandlat uppgifterna, om inte sådan information är nödvändig för att kunna utöva sina rättigheter. Arbetstagarnas rättigheter och friheter ska också beaktas.
Högsta förvaltningsdomstolen: datum ska lämnas ut
Högsta förvaltningsdomstolen (HFD) upphävde Östra Finlands förvaltningsdomstols beslut gällande tidsangivelserna och återförvisade ärendet till Dataombudsmannens byrå. Enligt HFD måste en registrerad få information om de exakta datumen då personuppgifterna har använts för att kunna utöva sina rättigheter. Däremot krävs inte att uppgifterna lämnas ut på klockslagsnivå.
Banken måste informera kunden
HFD konstaterade att Dataombudsmannens byrå ska förelägga banken att informera kunden om den exakta tidpunkten för behandlingen av hens personuppgifter.
En svensk sammanfattning av HFD:2025:51 finns här.