EU-domstolen slår fast i mål C-579/21 Pankki S att artikel 15.1 dataskyddsförordningen (GDPR) ska tolkas så, att information om läsningar av en persons personuppgifter, vilken avser datum och ändamål med behandlingen, utgör information som denna person har rätt att erhålla från den personuppgiftsansvarige enligt denna bestämmelse.
varje person har rätt att få veta datum för och skälen till läsningarna av hans eller hennes personuppgifter. Den omständigheten att den personuppgiftsansvarige bedriver bankverksamhet påverkar enligt EU-domstolen inte omfattningen av denna rättighet. information om läsningar av en persons personuppgifter
År 2014 fick en anställd vid banken Pankki S, som samtidigt var kund i denna bank, kännedom om att bankens anställda vid flera tillfällen hade genomfört läsningar av hans egna kunduppgifter under perioden mellan den 1 november och den 31 december 2013. Eftersom den anställde, som under tiden sagts upp från sin tjänst vid Pankki S, hyste tvivel om att läsningarna var tillåtna, begärde han den 29 maj 2018 att Pankki S skulle upplysa honom om identiteten på de personer som genomfört läsningar av hans kunduppgifter, de exakta datumen för insamlingen och de ändamål för vilka dessa uppgifter behandlats.
I sitt svar av den 30 augusti 2018 vägrade Pankki S att lämna ut identiteten på de anställda som hade utfört läsningarna med motiveringen att denna information utgjorde personuppgifter för dessa anställda. Pankki S lämnade däremot ytterligare uppgifter om läsningarna, som utförts av dess internrevisionsavdelning, och uppgav att en kund hos den bank för vilken den anställde var kundrådgivare var borgenär till en person som också hade den anställdes efternamn. Banken hade därför velat få klarhet i om den anställde och gäldenären i fråga var en och samma person och om det kunde ha uppstått någon otillåten intressekonflikt. Pankki S tillade att klargörandet av denna fråga krävde att de aktuella uppgifterna behandlades och angav att varje anställd vid banken som behandlat dessa uppgifter lämnat en förklaring till internrevisionsavdelningen om skälen till behandlingen av dessa uppgifter. Banken har vidare anfört att dessa undersökningar gjort det möjligt att utesluta varje misstanke om intressekonflikt i förhållande till den anställde.
Den anställde lämnade in en ansökan hos Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) om att Pankki S skulle åläggas att tillhandahålla honom den begärda informationen. Eftersom denna ansökan avslogs väckte den anställde talan vid Östra Finlands förvaltningsdomstol, som begärt att EU-domstolen ska tolka artikel 15 GDPR.
EU-domstolen konstaterar för det första att GDPR, som är tillämplig sedan den 25 maj 2018, är tillämplig på en begäran som framställts efter detta datum, om begäran avser en behandling av personuppgifter som utförts före den dag då GDPR blev tillämplig.
EU-domstolen konstaterar därefter att GDPR ska tolkas så, att information om läsningarna som har gjorts av den registrerades personuppgifter och om datum för och ändamål med dessa läsningar utgör information som den registrerade har rätt att erhålla från den personuppgiftsansvarige.
Däremot föreskrivs inte någon sådan rätt i GDPR med avseende på information som rör identiteten hos de anställda som utförde dessa åtgärder i enlighet med den personuppgiftsansvariges instruktioner, såvida inte denna information är nödvändig för att den registrerade effektivt ska kunna utöva de rättigheter som tillkommer honom eller henne enligt denna förordning och under förutsättning att dessa anställdas fri- och rättigheter beaktas. I händelse av en konflikt mellan å ena sidan utövandet av en rätt till tillgång som säkerställer effektiviteten av de rättigheter som den registrerade tilldelas genom GDPR och å andra sidan andras rättigheter eller friheter, måste en avvägning göras mellan de berörda rättigheterna och friheterna. I den mån det är möjligt ska sådana sätt att lämna ut personuppgifter väljas som inte inkräktar på andras fri- och rättigheter.
Slutligen slår EU-domstolen fast att den omständigheten att den personuppgiftsansvarige bedriver bankverksamhet och agerar inom ramen för en reglerad verksamhet och att den registrerade vars personuppgifter har behandlats i egenskap av kund hos den personuppgiftsansvarige även var anställd hos denne i princip inte har någon inverkan på omfattningen av den rättighet som tillkommer den registrerade.