Högsta förvaltningsdomstolen har meddelat ett beslut om att en bankkund inte har rätt att få tillgång till loggdata med tidsstämplad noggrannhet enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att kunden har begärt information från en bank om när och för vilket ändamål hans kunduppgifter har behandlats och vilka anställda i banken som har behandlat hans uppgifter. Banken lämnade kunden ett uttalande om att uppgifterna behandlats fyra dagar under en specifik period. Banken lämnade dock inte ut information om de anställdas identitet.
Kunden klagade över bankens agerande till Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå). Biträdande dataombudsmannen avslog begäran och konstaterade att banken inte behövde ge kunden tillgång till information om anställdas identitet. Kunden överklagade beslutet, varefter Östra Finlands förvaltningsdomstol begärde ett förhandsavgörande från EU-domstolen om bland annat huruvida en registrerad har rätt att få veta när hans eller hennes personuppgifter har behandlats.
EU-domstolen fastslog att en registrerad har rätt att få information om tidpunkter och syften med sökningar gällande personuppgifter enligt rätten till tillgång. EU-domstolen konstaterade dock att en registrerad inte har rätt att få information om anställdas identitet om informationen inte är nödvändig för utövandet av en registrerads rättigheter. Enligt EU-domstolen måste arbetstagarnas rättigheter och friheter också beaktas vid bedömningen från fall till fall.
Östra Finlands förvaltningsdomstol meddelade därefter ett beslut om kundens rätt att få information om de tidpunkter då personuppgifter behandlades med samma noggrannhet som den framgår av bankens användarlogginformation. Östra Finlands förvaltningsdomstol beslutade också att kunden inte har rätt att få information om de anställda som hade tittat på kundens kunduppgifter.
Högsta förvaltningsdomstolen upphävde Östra Finlands förvaltningsdomstols beslut gällande tidpunkten för behandlingen och återförvisade ärendet till Dataombudsmannens byrå. Enligt Högsta förvaltningsdomstolen kan en registrerad endast bedöma lagligheten av behandlingen av sina uppgifter och utöva sina rättigheter när den registrerade får information om de datum då dennes kunduppgifter har använts. Detaljnivån med vilken en person har rätt att få information ska dock enligt Högsta förvaltningsdomstolen bedömas med hänsyn till de ändamål för vilka personuppgifterna behandlas.
Dataombudsmannens byrå ska enligt Högsta förvaltningsdomstolen utfärda ett föreläggande till banken att informera kunden om den exakta tidpunkten för behandlingen av deras personuppgifter.