Datatilsynet har sedan länge haft som praxis att personuppgifter i en logg inte omfattas av rätten till tillgång enligt artikel 15 dataskyddsförordningen (GDPR). Detta beror på att loggen är en systemsäkerhetsanläggning där det inte sker någon oberoende behandling av uppgifter, utan där loggbehandlingen härrör från behandlingen av de ursprungliga uppgifterna.
Den 22 juni 2023 meddelade EU-domstolen dom i frågan i mål C-579/21. EU-domstolen slog fast att artikel 15.1 GDPR ska tolkas så, att information om sökningar efter en persons personuppgifter och om datum och ändamål för dessa sökningar utgör information som den registrerade har rätt att få från den personuppgiftsansvarige enligt denna bestämmelse.
EU-domstolen slog samtidigt fast att denna bestämmelse emellertid inte medför någon rätt till information om identiteten på de anställda hos den personuppgiftsansvarige som har utfört sökningarna under den personuppgiftsansvariges ledning och enligt dennes instruktioner, såvida inte denna information är nödvändig för att den registrerade ska kunna utöva sina rättigheter enligt förordningen på ett effektivt sätt och under förutsättning att dessa anställdas fri- och rättigheter respekteras.
Mot bakgrund av EU-domstolens dom ändrar Datatisynet myndighetens praxis gällande åtkomst till loggfiler framöver. Den nya praxisen innebär att den personuppgiftsansvarige måste tillhandahålla en kopia av de personuppgifter som den personuppgiftsansvarige registrerat om en registrerad i en logg. Det kan till exempel vara information om sökningar av deras uppgifter och datum (och syfte) för dessa sökningar.
Om denna information är nödvändig för att den registrerade ska kunna utöva sina rättigheter på ett effektivt sätt, måste den personuppgiftsansvarige också uppge vem som genomförde sökningen. Till exempel om den registrerade misstänker att dennes uppgifter har varit föremål för en obehörig sökning. Den personuppgiftsansvarige behöver dock inte lämna ut namnet på den person som genomförde sökningarna om den personuppgiftsansvarige efter en särskild bedömning anser att ett utlämnande av namnet skulle kunna kränka den registrerades rättigheter.
En tumregel är att om den registrerade endast har begärt att få tillgång till loggen utan att ange ett specifikt syfte, kommer intressena hos den person som gjorde sökningen ofta att väga tyngre än intressena hos den person som begär tillgång till loggen. Om den registrerade däremot behöver veta vem som har haft tillgång till loggen för att kunna kontrollera att tillgången är laglig, till exempel för att den registrerade har anledning att misstänka att obehörig tillgång har skett, kommer balansen ofta att vara till fördel för den person som begär tillgång. I dessa fall måste den personuppgiftsansvarige som huvudregel också lämna information om vem som har gjort utlämnandet.
Undantag från rätten till tillgång enligt artikel 15 GDPR till personuppgifter i en logg kan göras om något av de villkor som anges i 22 § dataskyddslagen är tillämpligt. För att tillämpa 22 § dataskyddslagen krävs att det görs en konkret avvägning mellan de motstående intressen som nämns i bestämmelsen, dvs. den registrerades intressen och det intresse som åberopas för att göra undantag från rätten till tillgång. Det kommer därför inte att räcka med att bara förklara innehållet i bestämmelsen som skäl för att avslå en begäran om tillgång. Man kommer inte heller att kunna använda resurshänsyn som skäl för att inte bevilja tillgång och inte heller kommer man att kunna hänvisa till att man inte kan använda loggen för att kontrollera behandlingens laglighet.