Dataombudsmannens beslut

1 (17)

20.7.2022

Dnr 1601/452/18

Dataombudsmannens beslut

Ärende

Ärendet gäller den registrerades rätt att kontrollera sina uppgifter samt den registrera- des rätt att få sina uppgifter raderade.

Personuppgiftsansvarig

Bank

Sökandens yrkanden inklusive motivering

Sökande har 7.5.2018 inlett ett ärende vid dataombudsmannens byrå som gäller den registrerades rätt att kontrollera sina uppgifter och den registrerades rätt att radera sina uppgifter.

Den sökande har fått ett kundmeddelande från bankens filial i Finland trots att han inte uppgett att han har varit kund hos den personuppgiftsansvarige på flera år. Sö- kanden har berättat att han är aktieägare i banken och har skött bankärenden som sin mors intressebevakare. Sökanden hade per brev 21.11.2017 begärt av den per- sonuppgiftsansvarige att få tillgång till sina personuppgifter, men hade ännu inte fått något svar från banken när ärendet inleddes.

Dataombudsmannens byrå har sedermera varit i kontakt med sökanden. Sökanden har berättat att han av banken som ett brev daterat 4.6.2018 har fått ett svar och en kopia av sina personuppgifter. Enligt sökanden innehöll den kopia av kunduppgifterna som banken lämnat personuppgifter som enligt hans åsikt redan borde ha raderats.

Enligt sökanden har vissa uppgifter bevarats i nästan 20 år. Sökanden har dessutom konstaterat att bankens kopia inte innehöll alla personuppgifter om sökanden.

Efter att ha fått en kopia av sina personuppgifter från banken hade sökanden kontak- tat banken på nytt 13.6.2018 och begärt att hans personuppgifter ska raderas. Enligt sökanden hade han inte fått bekräftelse från banken om och på vilken grund behand- lingen av hans personuppgifter har fortsatt.

Inhämtad utredning från den personuppgiftsansvarige

Utövande av granskningsrätten och rätten till radering

Dataombudsmannens byrå har för första gången begärt en utredning av den person- uppgiftsansvarige i ärendet 28.4.2020. Dataombudsmannens byrå har särskilt försökt utreda om den personuppgiftsansvarige 1) har tillgodosett sökandens rätt att få sina uppgifter raderade i enlighet med artikel 15 i den allmänna dataskyddsförordningen (EU) 2016/679 (dataskyddsförordningen), 2) på vilka grunder den

Dataombudsmannens byrå

PB 800, 00531 Helsingfors – tfn 029 566 6700 (växel) – xxxxxxxxxx@xx.xx – xxx.xxxxxxxxxx.xx

personuppgiftsansvarige behandlar sökandens uppgifter och 3) huruvida den person- uppgiftsansvarige har uppfyllt sökandens begäran enligt artikel 17 i dataskyddsförord- ningen att få sina uppgifter raderade. Den personuppgiftsansvarige har svarat på be- gäran om utredning 27.5.2020.

I sin utredning har den personuppgiftsansvarige konstaterat att sökanden har framfört en begäran till den personuppgiftsansvarige om att få tillgång till sina uppgifter genom ett brev daterat 21.11.2017. Enligt den registeransvarige har det brev som sökanden skickade 21.11.2017 inte hittats. Enligt utredningen har den personuppgiftsansvarige 4.6.2018 besvarat sökandens andra brev daterat 19.3.2018.

Enligt den personuppgiftsansvarige innehöll svaret på grund av ett internt missför- stånd inte ett följebrev med vilket de registrerade normalt uppmanas att precisera sin begäran. Den kopia som sändes till sökanden innehöll endast de viktigaste kategorier av personuppgifter som banken behandlar om de registrerade. Eftersom kunder ofta har tillgång till många uppgifter, t.ex. transaktionsuppgifter i nätbanken, skickas van- ligtvis ett följebrev till de registrerade med en begäran om att de ska ange vilka ytterli- gare uppgifter de vill få om en allmän beskrivning inte är tillräcklig.

Enligt den registeransvarige har den sökandes rätt till tillgång till uppgifter inte ge- nomförts fullt ut på grund av ett internt missförstånd. Den personuppgiftsansvarige har i sin rapport konstaterat att han eller hon kommer att kontakta sökanden för att försäkra sig om att den information som sökanden begär lämnas till.

Enligt den personuppgiftsansvarige hade sökanden efter att ha fått kopian kontaktat den personuppgiftsansvarige på nytt 13.6.2018 och meddelat att han vill få sina upp- gifter raderade med stöd av artikel 17 i dataskyddsförordningen. Den personuppgifts- ansvarige besvarade detta brev 2.7.2018. Den personuppgiftsansvarige har inte längre tillgång till detta meddelande, men i den personuppgiftsansvariges kundin- formationssystem finns en anteckning om att svaret skickats detta datum.

Den personuppgiftsansvarige konstaterar att sökandens nätbanksavtal med stöd av dess system har upprättats 9.1.2014 och att det löpte ut 27.8.2014. Enligt den per- sonuppgiftsansvarige har också sökandens avtal om investeringstjänster troligtvis hävts samtidigt. Avtalet hade dock inte registrerats som avslutat på grund av ett ma- nuellt fel. Avtalet om investeringstjänster ingicks enligt den registeransvariges anteck- ningar 4.6.2018.

I utredningen konstateras det att personuppgifter som gäller sökandens nätbanks- avtal och avtal om investeringstjänster omfattas av de förvaringstider som anges i la- gen och på grund av dessa kan sökandens begäran inte tillgodoses. Den registeran- svariges redogörelse innehåller en tabell över förvaringstiderna för uppgifterna. Enligt den personuppgiftsansvariges redogörelse är de rättsliga grunderna för behandlingen av sökandens personuppgifter en rättslig skyldighet enligt artikel 6.1 c och ett berätti- gat intresse enligt artikel 6.1 f i dataskyddsförordningen. Enligt den personuppgiftsan- svarige har han eller hon behandlat sökandens personuppgifter fram till 4.6.2018 även med stöd av artikel 6.1 b för att fullgöra avtalet.

Enligt den personuppgiftsansvarige är han eller hon skyldig att bevara sina kunders personuppgifter för att följa lagen om förhindrande av penningtvätt och av finansiering av terrorism (28.6.2017/444). Den personuppgiftsansvarige anser också att han eller hon har rätt att bevara personuppgifter i tio år för att försvara sig mot eventuella

rättsliga krav i anslutning till avtal som har hävts. Den personuppgiftsansvarige åbe- ropar artikel 17.3 b och e i dataskyddsförordningen, enligt vilka artikel 17 (rätten att få sina uppgifter raderade) inte ska tillämpas om behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som följer av unionsrätten eller med- lemsstaternas nationella rätt och som den personuppgiftsansvarige omfattas av, eller om behandlingen sker för att utföra en uppgift av allmänt intresse eller för utövande av den personuppgiftsansvarige myndighetsutövning, eller om behandlingen är nöd- vändig för att fastställa, göra gällande eller försvara rättsliga anspråk.

Förvaringstid för personuppgifter som begärs raderade

Dataombudsmannens byrå har begärt tilläggsutredning av den personuppgiftsansva- rige 1.10.2020. Dataombudsmannens byrå har strävat efter att utreda 1) hur sökan- dens ärende har fastställt som slutfört, 2) om sökandens agerande påverkar detta i egenskap av intressebevakare och 2) hur den personuppgiftsansvarige motiverar den förvaringstid på tio år som nämns i den tidigare utredningen och som grundar sig på ett berättigat intresse. Tilläggsutredningen togs emot 23.10.2020.

Enligt den personuppgiftsansvariges uppfattning upphör kundrelationen när det sen- aste gällande avtalet sägs upp eller upphör. Detta kan ske t.ex. när avtalsperioden löper ut eller när uppdraget har avslutats. Om en person beslutar att avsluta kundre- lationen med kreditinstitutet, behöver den personuppgiftsansvarige enligt den person- uppgiftsansvarige inte omedelbart radera personens uppgifter ur sitt kundregister, om det fortfarande är nödvändigt att förvara dem. Enligt den personuppgiftsansvarige kan uppgifterna fortfarande anses vara nödvändiga t.ex. på grund av begäran om ut- redning från personen själv eller myndigheter.

Den personuppgiftsansvarige konstaterar i sin utredning att många finländare har ett konto i en bank där de inte längre har andra tjänster. Kontot har antingen avsiktligt eller av misstag inte sagts upp och har därefter glömts bort. Enligt den personupp- giftsansvarige är en typisk situation t.ex. sådan att kunden endast delvis säger upp sitt avtal med banken och lämnar t.ex. ännu kontoavtalet i kraft. Därför måste den personuppgiftsansvarige, trots att avtal sägs upp, i typiska fall förvara uppgifterna un- der en lång tid, även om kunden själv anser att bankförhållandet har upphört. Enligt den personuppgiftsansvarige är en annan orsak också att insättningen enligt lagen om preskription aldrig preskriberas.

Enligt den personuppgiftsansvarige är förvaringstiderna därför i typiska fall utformade så att de börjar först när kunden avslutar avtalet i fråga, om inte annat följer av lagstift- ningen. Således har kreditinstituten enligt den personuppgiftsansvarige rätt och skyl- dighet att förvara kundens basuppgifter och uppgifter om dennes insättningar. Enligt penningtvättslagen ska uppgifter om kundkontroll förvaras på ett tillförlitligt sätt i minst fem år efter det att affärstransaktionen eller kundrelationen har upphört.

Enligt den utredning som gjorts av den personuppgiftsansvarige ska kreditinstituten enligt Finansinspektionens standard 4.4.b arkivera det material som hänför sig till av- talen på behövligt sätt och följa avtalens giltighetstid samt eventuella tolkningsförkla- ringar eller tvister som beror på dem. Om det är fråga om en skuld som beviljats tills vidare eller som uppkommer villkorligt eller om någon annan skuld för vilken preskript- ionstidens begynnelsetidpunkten inte bestäms med stöd av lagen om preskription av skulder, dvs. 5-7 § i den s.k. preskriptionslagen, preskriberas skulden enligt 8 § i pre- skriptionslagen tio år efter det att den rättsliga grunden för förpliktelsen uppkom, om

inte preskriptionen har avbrutits före det. I enlighet med den ovan nämnda punkten i preskriptionslagen kan skadeståndsanspråk som grundar sig på ett avtalsförhållande enligt den personuppgiftsansvarige framställas under avtalets giltighetstid och även efter avtalets giltighetstid, varvid kreditinstitutet ska ha det material om avtalen som Finansinspektionen kräver.

Den personuppgiftsansvarige berättar i sin utredning att han också är en leverantör av tjänster för stark autentisering enligt lagen om stark autentisering och elektroniska sig- naturer (2009/617), dvs. autentiseringslagen. Enligt autentiseringslagen är kreditinsti- tut som leverantörer av identifieringstjänster skyldiga att i minst fem år efter identifie- ringstransaktionen registrera enskilda identifieringstransaktioner samt uppgifter som behövs för att verifiera en händelse med elektronisk signatur. Dessutom ska kreditin- stitutet enligt autentiseringslagen i minst fem år från det att kundrelationen mellan le- verantören av identifieringstjänster och innehavaren av identifieringsverktyget upp- hörde registrera uppgifter som hänför sig till inledande identifiering samt uppgifter om hinder och begränsningar i användningen av identifieringsverktyget.

Enligt den personuppgiftsansvarige behandlas identifiering, kännedom och behandling av intressebevakare som kund på samma sätt som vilken annan av den personupp- giftsansvariges kund. Den personuppgiftsansvarige konstaterar att personkundernas nätbankskoder är personliga säkerhetsbehörighetsuppgifter enligt betaltjänstlagen. Dessutom fungerar de som identifieringsverktyg i enlighet med autentiseringslagen. Därför ska en kund som använder nätbankskoder enligt den registeransvarige alltid också betraktas som kund hos en bank.

Enligt den personuppgiftsansvarige grundar sig förvaringstiden på tio år på 7 § 2 mom. i lagen om preskription av skulder (2003/728). Enligt lagrummet i fråga ska preskript- ionen av skadestånd eller någon annan skuld som avses i 1 mom. täckas innan tio år har förflutit från avtalsbrottet eller den händelse som ledde till skadan eller från den händelse som ligger till grund för återbetalningen av förmånen. Den personuppgiftsan- svarige anser att han eller hon på grund av sin omfattande verksamhet har ett berätti- gat intresse av att förvara uppgifterna i 10 år för att förbereda sig mot eventuella rätts- liga talan i fråga om vissa kunduppgifter.

I utredningen har det konstaterats att det har skett ett fel vid anteckningen av tidpunk- ten för när sökandens avtal om investeringstjänster upphörde. Den personuppgiftsan- svarige har utrett ärendet internt och konstaterat att avtalet i fråga ursprungligen löpte ut redan 20.2.2008. Enligt den tilläggsutredning som den personuppgiftsansvarige läm- nat har den felaktiga uppgiften om giltigheten för ett avtal om investeringstjänster blivit kvar i den personuppgiftsansvariges system fram till 5.6.2018, även om avtalet de facto redan hade upphört att gälla. Den personuppgiftsansvarige har utrett ärendet internt och konstaterat att uppgifterna i fråga inte längre behöver förvaras och att sökandens uppgifter om denna tjänst raderas.

Grund för att förvara återstående uppgifter

Dataombudsmannens byrå begärde 3.3.2021 av den personuppgiftsansvarige en noggrannare utredning om behandlingen av de återstående uppgifterna om avtal om nätbankstjänster. Dataombudsmannens byrå har särskilt försökt utreda 1) vilken typ av avtalsbrott eller händelse som nämns av den personuppgiftsansvarige som kan komma i fråga för den sökandes del och 1) vilka uppgifter om sökanden som den

personuppgiftsansvarige ännu behandlar för detta ändamål. Utredningen togs emot 16.3.2021.

Enligt den personuppgiftsansvarige föreskrivs det i 7 § i lagen om preskription av skulder om gottgörelse för avtalsbrott. Exempel på sådana är enligt den personupp- giftsansvarige kundens påstående om en obefogad händelse, påståendet att avtals- förpliktelsen inte har fullgjorts eller genomförts felaktigt. Enligt den personuppgiftsan- svarige har banken därför ett betydande intresse av att förvara uppgifterna för att ef- fektivt kunna försvara sig mot ett eventuellt påstående från kunden. Eftersom påstå- endet enligt den personuppgiftsansvarige kan riktas mot vilken tjänst som helst som tillhandahålls av den personuppgiftsansvarige, är behovet av förvarande enligt den personuppgiftsansvarige stort.

Enligt den personuppgiftsansvarige har den sökande samma ovan nämnda rätt som andra kunder att väcka talan på grund av att skulden enligt lagen har preskriberats tio år efter det att kundrelationen upphörde. Den personuppgiftsansvarige anser att han eller hon ska ha möjlighet att försvara sig mot sådana påståenden under lika lång tid som kunden har möjlighet att väcka talan. I annat fall skulle den personuppgiftsan- svarige inte effektivt kunna försvara sig mot talan inför domstol och detta skulle kunna leda till betydande rättsförluster och ekonomiska förluster.

Den personuppgiftsansvarige konstaterar i sin utredning att kundens ursprungliga kundrelation till den registeransvarige upphörde 20.2.2008. Den personuppgifts-an- svarige har ansett att sökandens uppgifter kan raderas efter en riskbaserad bedöm- ning. Enligt den personuppgiftsansvarige har man i bedömningarna beaktat kundens respons till den personuppgiftsansvarige och den felregistrering i avtalet som den personuppgiftsansvarige har gjort. Den personuppgiftsansvarige konstaterar att största delen av kundens uppgifter därför har raderats. Enligt den personuppgiftsan- svarige är de uppgifter som han eller hon förvarar endast namn, kontonummer och personbeteckning. Enligt den personuppgiftsansvarige finns uppgifterna dock inte längre i den personuppgiftsansvariges produktionssystem och de kommer att raderas helt om två månader.

Raderade personuppgifter

Den registeransvarige ombads 24.3.2021 precisera vilka uppgifter om sökanden som förvarades innan de raderades. Utredningen togs emot 30.3.2021.

Den personuppgiftsansvarige konstaterar att han eller hon på grundval av sina berät- tigade intressen har förvarat och raderat följande uppgiftskategorier på det sätt som beskrivs ovan:

• Kundens tjänster

• Tjänstens namn

• Ändringsdatum och slutdatum

• Kundens språk (på vilket han eller hon vill bli betjänad)

• Hemkommun

• Kommun där verksamheten är belägen

• Vistelseland

• Juridisk form

• Kundens status

• Målgrupp

• Medborgarskap

• Skattemässig hemviststat

• Skattenummer

• Födelseort

• Födelseland

• Datum då kunden registrerats

• Sektor

• Arbetsplats

• Yrke

• Inlåningsgräns

• USA-begränsning

• FATCA

• Adress

• Telefonnummer

• E-postadress

• Klassificering av investerare

• Rating and scoring

• AML-status

• Riskklass

• PEP-uppgifter

• Kundens identitetshandling och giltighetstid

Den personuppgiftsansvarige konstaterar i utredningen att han eller hon har haft ett betydande intresse av att förvara uppgifterna för att effektivt kunna försvara sig mot påståenden som kunden eventuellt framfört. Den personuppgiftsansvarige har velat påpeka att han eller hon i princip varit skyldig att förvara uppgifterna i fråga för att full- göra en lagstadgad skyldighet i fem, sex eller tio år efter det att kundrelationen upp- hörde.

Sökandens svar

Svar på den redogörelse som den personuppgiftsansvarige lämnat in

Dataombudsmannens byrå har bett sökanden om svar efter den registeransvariges utredning 15.6.2020. Sökandens svar togs emot 22.7.2020.

I sitt svar konstaterade sökanden att den personuppgiftsansvarige ännu inte har kon- taktat honom. Enligt sökanden har han inte heller fått det brev som den personupp- giftsansvarige i sin utredning säger sig ha skickat 2.7.2018.

På grund av formuleringarna i hans brev är det enligt sökanden anmärkningsvärt att banken i efterhand meddelar att dess svar endast var en allmän översikt. Enligt den sökande skulle hans begäran ha formulerats på ett annat sätt om han endast hade begärt en översikt. Nu har banken avsiktligt lämnat bort mycket information. Enligt sökanden fick man av den registeransvariges svaruppfattningen att brevet innehöll personuppgifterna i sin helhet.

Sökanden konstaterar att han fortfarande inte har fått någon förklaring av den personuppgiftsansvarige till varför den registeransvarige ansåg att sökanden var kund när han eller hon skickade ett kundbrev i november 2017.

Enligt sökanden anges det i kopian att det inte finns några bankkonton. Enligt sökan- det är detta korrekt, eftersom avtalet gällande kontot upphörde 2.5.2008. Enligt sö- kanden konstateras det i kopian dessutom att det enda avtal för vilket personuppgif- ter finns kvar upphörde 20.2.2008, dvs. för mer än tio år sedan. I detta fall är person- uppgifterna om krediter redan 17 år gamla och borde ha raderats för länge sedan.

Sökanden är inte av samma åsikt som den personuppgiftsansvarige om att sökan- dens investeringstjänst skulle ha varit i kraft till 4.6.2018. Om avtalet hade varit i kraft, borde det enligt den sökande framgå av den kopia av kunduppgifterna som sökanden fått. Enligt sökanden överfördes det sista värdepapperet som ingått i ett avtal om in- vesteringstjänster till en annan bank 15.12.2005. Därefter borde investeringstjänstav- talet enligt sökanden ha betraktats som avslutat. Sökandens tolkning utifrån de kund- uppgifter som den personuppgiftsansvarige lämnat är att avtalet med den personupp- giftsansvarige löpte ut 20.2.2008.

Enligt sökanden kan investeringsavtalet inte vara kopplat till sökandens mor, ef- tersom sökandens mor inte har haft ett sådant avtal. Banken har 20/2014 till sökan- den (i egenskap av intressebevakare) skrivit en utredning om moderns tjänster i ban- ken och den innehöll inte något avtal om investeringstjänster.

Enligt sökanden har han utsetts till intressebevakare för sin mor år 2014 och behövde därför tillgång till moderns bankkonto. Enligt sökanden har han varit intressebevakare i förhållande till banken och hans mor har varit kund hos banken. Enligt sökanden borde det faktum att han år 2014 ingick ett avtal med den personuppgiftsansvarige om de tjänster som används med bankkoder inte innebära att sökanden blir kund hos den personuppgiftsansvarige. Enligt sökanden har avtalet ingåtts medan sökanden har varit intressebevakare för sin mor.

Sökanden önskar att dataombudsmannens byrå ber den personuppgiftsansvarige lämna en redogörelse för vilka principer den personuppgiftsansvarige tillämpar på be- handlingen av intressebevakares personuppgifter. Sökanden vill veta om intressebe- vakare i den personuppgiftsansvariges ögon automatiskt är den personuppgiftsan- svariges kunder när de sköter en annan persons angelägenheter med stöd av en full- makt.

Sökanden begär att den personuppgiftsansvarige korrigerar felet i avtalet om investe- ringstjänster. Enligt sökanden har den förvaringstid på fem år som är förpliktande för den personuppgiftsansvarige redan till följd av denna korrigering avslutats och uppgif- terna ska raderas. Den sökande ifrågasätter om banken lagligen kan fortsätta att be- handla personuppgifter som borde ha raderats men som lagrats på grund av ett fel från den registeransvariges sida.

Svar på den andra utredningen

Dataombudsmannens byrå har 29.10.2020 bett den sökande om ett svar på den per- sonuppgiftsansvariges andra utredning. Sökandens svar togs emot 29.10.2020.

I sitt svar har sökanden konstaterat att bankens tolkning av intressebevakarnas kund- relation till banken är intressant och väcker funderingar särskilt med tanke på de myndigheter som sköter intressebevakningen. Enligt den sökande är det viktigt att dataskyddsombudsmannen ber Myndigheten för digitalisering och befolkningsdata om deras syn på situationen. Om bankens grundläggande funktioner juridiskt sett är

korrekta, bör situationen enligt sökanden klarläggas för alla som sköter intressebe- vakningsuppgifter, både för privatpersoner och för myndigheter.

Sökanden delar inte bankens uppfattning i frågan och inte heller de personer med vilka sökanden har diskuterat frågan. Den sökandes uppfattning är att en intressebe- vakare inte blir bankens kund när han eller hon företräder huvudmannen vid skötseln av intressebevakningsuppdraget. Den sökande begär att ärendet avgörs av dataom- budsmannen. Om dataombudsmannen avgör ärendet enligt sökandens uppfattning, är banken enligt sökanden skyldig att radera sökandens personuppgifter.

Sökanden berättar att han 16.7.2020 skickade ett brev till den personuppgiftsansva- rige där han har begärt att få tillgång till alla personuppgifter som gäller honom och som behandlas av den personuppgiftsansvarige samt om grunderna för behand- lingen av uppgifterna. Sökanden konstaterar i sitt svar att den personuppgiftsansva- rige ännu inte har lämnat personuppgifterna till sökanden. Banken har däremot läm- nat ett svar daterat 11.10.2020 till sökanden, där banken har bett sökanden precisera sin begäran om granskning.

Sökanden har i sitt svar konstaterat att den personuppgiftsansvarige kan tänkas be- gära att den registrerade preciserar sin begäran när personuppgifter behandlas i stor utsträckning. Den sökande anser dock att de personuppgifter som återstår i hans el- ler hennes situation torde vara mycket begränsade, med tanke på att banken har lo- vat att radera uppgifterna på grund av sitt fel. Sökanden hävdar att det, med hänsyn till de fel som hittills har begåtts av den personuppgiftsansvarige, är helt rimligt att an- vända uttrycket ”alla personuppgifter” utan att precisera något mer.

Sökanden anser det inte vara rimligt att den registrerade själv borde veta vilka per- sonuppgifter han kan få av den personuppgiftsansvarige. Sökanden konstaterar att syftet med insynsrätten är att göra det möjligt att korrigera eventuella fel i personupp- gifterna i sin helhet. Sökanden konstaterar att artikel 15 inte innehåller några bestäm- melser om precisering av ansökan.

Den sökande ber att dataombudsmannens byrå förpliktar banken att så snart som möjligt skicka en kopia av de personuppgifter som gäller honom.

Sökanden lämnade också ett svar på hörandet av den personuppgiftsansvarige 30.4.2022. I svaret togs det emellertid inte upp några nya omständigheter som är re- levanta för behandlingen av ärendet.

Begäran om hörande av dataombudsmannens byrå

Den personuppgiftsansvarige har den 25.2.2022 reserverats en sådan möjlighet att bli hörd som avses i 34 § i förvaltningslagen (434/2003) samt att framföra sin åsikt om föredragarens preliminära bedömning vid dataombudsmannens byrå och om de fakta som framförts i begäran om hörande. Samtidigt har den personuppgiftsansva- rige getts möjlighet att föra fram sådana omständigheter som avses i artikel 83.2 i den allmänna dataskyddsförordningen och som den personuppgiftsansvarige anser bör beaktas när avgörandet fattas. För tydlighetens skull bör det noteras att begäran om att bli hörd gällde 2 separata klagomål som lämnats in till dataombudsmannens byrå. Det andra klagomålet har behandlats med diarienummer 7587/163/20.

Den personuppgiftsansvarige gav sitt svar 25.3.2022. I sitt svar berättar den person- uppgiftsansvarige bl.a. följande.

Om fakta i fallet 1601/452/18

Den personuppgiftsansvarige konstaterar att han eller hon har gett ett svar på sökan- dens ursprungliga begäran 4.6.2018. Den personuppgiftsansvarige konstaterar i sin utredning att den registrerade i det aktuella fallet hade fått en felaktig bild av omfatt- ningen av hans uppgifter, eftersom det i den personuppgiftsansvariges svarsbrev saknas ett omnämnande av att det endast är fråga om ett utdrag ur uppgifterna.

Enligt den personuppgiftsansvarige har den registrerade påstått att den personupp- giftsansvarige inte har varit i kontakt med den registrerade senast 29.10.2020. Enligt den personuppgiftsansvarige har han eller hon dock varit i kontakt per telefon med den registrerade i september 2020, svarat per brev 11.10.2020 och ännu en gång per telefon 13.10.2020.

Den personuppgiftsansvarige konstaterar i sin utredning att förvaringen av bankens personuppgifter regleras av flera olika lagar med flera olika långa tider. Dessutom kan den personuppgiftsansvariges bank också ha behov av att förvara uppgifterna på grund av berättigat intresse.

Enligt den personuppgiftsansvarige hade sökanden avslutat sitt förhållande till ban- ken 20.2.2008, men av ovan nämnda orsaker har banken varit tvungen att förvara personuppgifterna. Den personuppgiftsansvarige konstaterar också att den registre- rade sex år efter att kundrelationen har upphört har ingått ett avtal med den person- uppgiftsansvarige och därför har förvaringstiderna för personuppgifter återupptagits.

Enligt den personuppgiftsansvarige hade det i begäran om hörande felaktigt gjorts

gällande att ”Enligt den personuppgiftsansvarige anses också de som är intressebe- vakare vara bankens kunder.” Den personuppgiftsansvarige konstaterar att en intres- sebevakare ska ingå ett nätbanksavtal med den personuppgiftsansvarige för att be- handla huvudmannens (i detta fall den registrerades mor) avtals- och andra uppgifter på elektronisk väg. Enligt den personuppgiftsansvarige har behandlingen av den regi- strerades personuppgifter alltså varit ett avtal, inte den registrerades ställning som intressebevakare. Ett alternativ till att ingå ett nätbanksavtal har varit att sköta huvud- mannens ärenden på kontoret.

Enligt den personuppgiftsansvarige hade grunderna för den personuppgiftsansvari- ges förvaringstider inte behandlats i begäran om hörande på något sätt. Enligt den personuppgiftsansvarige har han eller hon klart haft möjlighet att spara personuppgif- ter från tidigare och den personuppgiftsansvarige har i sitt svar gett tydliga exempel på situationer där det är nödvändigt att förvara personuppgifterna också på andra grunder än lagstadgade sådana.

Om rättsliga frågor

Den personuppgiftsansvarige fäster i sin utredning uppmärksamhet vid att i begäran om hörande har den personuppgiftsansvariges fel ansetts vara återkommande. Enligt den personuppgiftsansvarige behandlar han eller hon miljontals kunduppgifter dagli- gen och investerar kontinuerligt för att utveckla sina system och sin personal. Enligt den personuppgiftsansvarige är det klart att man på grund av förpliktelser som följer av flera lagar blir tvungen att utföra behandling också manuellt och att fel också kan

inträffa till följd av detta. Enligt den personuppgiftsansvarige är det därför oskäligt att dataombudsmannen anser att den personuppgiftsansvarige på basis av några fall upprepade gånger har handlat i strid med dataskyddsförordningen.

Den personuppgiftsansvarige anser att principerna för god förvaltning och artikel 58.4 i dataskyddsförordningen samt artikel 41 i Europeiska unionens stadga om de grund- läggande rättigheterna förutsätter att myndigheten i ett förvaltningsärende är skyldig att handla opartiskt och rättvist. När dataombudsmannen konstaterat att banken upp- repade gånger har handlat i strid med bestämmelserna i artikel 12.3 och.4, har data- ombudsmannen enligt den personuppgiftsansvariges uppfattning antagit att den per- sonuppgiftsansvarige på basis av två fall kontinuerligt handlar på liknande sätt. Enligt den personuppgiftsansvarige grundar sig detta dock inte på något annat än två fall där det i båda fallen i stor utsträckning är fråga om ett mänskligt fel som den person- uppgiftsansvarige genast efter att ha fått kännedom om felet har korrigerat.

Enligt den personuppgiftsansvarige lämnade ministeriet år 2020 in över 200 begäran- den gällande rättigheter i de nordiska länderna och i Finland. Den personuppgiftsan- svarige verkställer begäran i genomsnitt inom tio dagar. I detta avseende åsidosätter registerföraren således inte ”upprepat” de registrerades rättigheter, utan det var i detta fall fråga om ett enskilt fel.

Den personuppgiftsansvarige konstaterar att riksdagens förvaltningsutskott i sitt be- tänkande om dataskyddslagen har konstaterat att dataskyddsregleringen inte grundar sig på strikt ansvar eller på omvänd bevisbörda. Därför anser den personuppgiftsan- svarige att dataombudsmannen inte kan anse att den personuppgiftsansvariges verk- samhet upprepade gånger är felaktig och kränker de registrerades rättigheter. De en- skilda fallen i fråga har kommit till den personuppgiftsansvariges kännedom, men samtidigt har den personuppgiftsansvarige genomfört ett betydande antal begäran- den gällande de registrerades rättigheter i enlighet med dataskyddsförordningen.

Den personuppgiftsansvarige har i sin utredning hänvisat till en begäran om hörande där det konstateras att ”även om det hade varit motiverat att radera uppgifterna, borde sökandens tidigare begäran om tillgång till uppgifterna ha verkställts innan

uppgifterna raderas.” Enligt den personuppgiftsansvarige har han eller hon lämnat ett utdrag ur personuppgifterna i ärendet 1601/452/18 till de registrerade per post 4.6.2018 och i ärendet 7587/163/20 per post till den registrerade med ett utdrag ur dennes personuppgifter. Enligt den personuppgiftsansvarige är konstaterandet i be- gäran om hörande felaktigt till denna del.

Enligt den personuppgiftsansvariges uppfattning har den registrerade uttryckligen be- gärt att den personuppgiftsansvarige ska radera uppgifterna och att han har ansett att tillgången till uppgifterna i förhållande till raderingen är sekundär. Enligt den person- uppgiftsansvarige började han eller hon tillmötesgå den registrerades begäran på det sätt som den registrerade förutsatte. Det ovan nämnda konstaterandet i begäran om hörande är därför enligt den personuppgiftsansvarige felaktigt.

I begäran om hörande har det ansetts att den personuppgiftsansvarige inte på nå- gondera sökandens begäran har verkställt att de ska få sina personuppgifter rade- rade på det sätt som förutsätts i artikel 17.1 a i dataskyddsförordningen. I begäran om utredning konstateras att den personuppgiftsansvarige verkställde begäran om radering först efter det att dataombudsmannens byrå har varit i kontakt med den per- sonuppgiftsansvarige.

Den personuppgiftsansvarige anser att den registrerades begäran endast delvis har kunnat verkställas av den personuppgiftsansvarige, eftersom den personuppgiftsan- svarige har haft en klar grund för att förvara personuppgifterna till den del det har va- rit nödvändigt på någon annan grund än det ursprungliga kundförhållandet. Enligt den personuppgiftsansvarige har det i ärendet 7587/163/20 varit fråga om att det inte fanns någon grund för att radera uppgifterna. I ärendet 1601/452/18 har den person- uppgiftsansvarige enligt sin utredning förvarat uppgifterna på grund av ett enskilt fel som har korrigerats.

I begäran om hörande har det ansetts att i båda fallen kunde rätten att få sina per- sonuppgifter raderade verkställas till den del personuppgifterna inte längre behövdes, men den personuppgiftsansvarige verkställde begäran om radering först efter det att dataskyddsombudsmannens byrå hade kontaktat den personuppgiftsansvarige. Den personuppgiftsansvarige anser att han eller hon inte hade tillräcklig information för att radera uppgifterna förrän dataombudsmannen tog kontakt. Den personuppgiftsansva- rige konstaterar att han eller hon har haft grund för att bevara uppgifterna trots begä- ran om radering. Enligt den personuppgiftsansvarige har man börjat radera uppgif- terna i och med att dataombudsmannens byrå tog kontakt, eftersom man har kunnat säkerställa att en del av uppgifterna kan raderas i enlighet med en riskbaserad be- dömning. Enligt den personuppgiftsansvarige har han eller hon kontaktat de registre- rade också när det gäller verkställande av begäran om radering.

Om påföljden

Den personuppgiftsansvarige anser att han eller hon har vidtagit åtgärder för att rätta till felet och att han eller hon har vidtagit snabba åtgärder, dock senast efter det att dataombudsmannen tagit kontakt. Den personuppgiftsansvarige anser också att han eller hon inte upprepade gånger och avsiktligt har varit vårdslös i behandlingen av personuppgifter när det gäller de registrerades begäran om radering och begäran om tillgång till uppgifter. Enligt den personuppgiftsansvarige kan dess verksamhet inte anses vara uppsåtlig med tanke på rättspraxis.

Enligt den personuppgiftsansvarige är felets varaktighet, art och allvarlighet inte bety- dande. Enligt den personuppgiftsansvarige har de registrerades rättigheter inte även- tyrats nämnvärt till följd av felet, och detta har inte heller medfört några ekonomiska konsekvenser för de registrerade.

Enligt den personuppgiftsansvarige är felet ett mänskligt fel i bankens tjänster. Som det konstateras ovan sköter den personuppgiftsansvarige vanligen de registeransva- rigas begäranden inom tio dagar, dvs. klart inom den tidtabell och i den omfattning som dataskyddsförordningen förutsätter. Det är således inte fråga om ett medvetet förfarande eller oaktsamhet från den personuppgiftsansvariges sida vid utövandet av de registrerades rättigheter.

Dessutom konstaterar den personuppgiftsansvarige att den personuppgiftsansvarige har vidtagit korrigerande åtgärder efter att ha upptäckt felet, vilket enligt den person- uppgiftsansvarige delvis beror på att ärendet i verkligheten kommit till bankens kän- nedom först via dataombudsmannen, eftersom den personuppgiftsansvarige inte har framställt begäran på ett sätt som med säkerhet kan verifieras.

Dessutom är det fråga om ett mänskligt fel som begåtts av en anställd hos den per- sonuppgiftsansvarige, såväl i fråga om radering som i det sätt på vilket de

registrerades rättigheter tillgodoses. Till denna del är det enligt den personuppgiftsan- svarige inte fråga om ett systematiskt fel, utan om en situation som tyvärr är möjlig på grund av den personuppgiftsansvariges höga kundantal.

Enligt den personuppgiftsansvarige har föremålet för överträdelsen varit mycket van- liga personuppgifter, såsom namn, adress och telefonnummer. Till dessa delar har uppgifternas karaktär enligt den personuppgiftsansvarige varit sådan att detta inte medfört betydande rättsförluster för den registrerade. Dessutom har det i båda fallen varit fråga om uppgifter om sammanlagt två registrerade, vilket innebär att det också till denna del är fråga om ett mindre fel.

Den personuppgiftsansvarige anser att påföljdskollegiet inte ska påföra någon admi- nistrativ påföljdsavgift i ärendet, utan högst en anmärkning enligt artikel 58 i data- skyddsförordningen.

Den personuppgiftsansvarige har meddelat att koncernens årliga omsättning uppgick till 11 502 miljoner euro 2021. Enligt den personuppgiftsansvarige inbegriper omsätt- ningen inte negativa räntekostnader för finansiella skulder, eftersom den till sin karak- tär är en kostnadspost.

Om tillämplig lagstiftning

Dataskyddsförordningen har tillämpats fr.o.m. 25.5.2018. Författningen är som för- ordning direkt tillämplig rätt i medlemsstaterna. Dataskyddsförordningen innehåller ett nationellt handlingsutrymme, vilket gör det möjligt att genom nationell lagstiftning komplettera och precisera de omständigheter som uttryckligen definieras i förord- ningen. Dataskyddsförordningen preciseras genom den nationella dataskyddslagen (1050/2018), som har tillämpats fr.o.m. 1.1.2019. Genom dataskyddslagen upphäv- des den tidigare personuppgiftslagen (523/1999).

Begäran om rätt till insyn har framställts till den personuppgiftsansvarige och ärendet har kommit till dataombudsmannens byrå under den tid personuppgiftslagen är i kraft. under personuppgiftslagens giltighetstid tillämpades 26-28 § i personuppgiftslagen vid ett ärende som gäller kontroll av registeruppgifter. Den begäran om kontroll av re- gisteruppgifter som riktats till den personuppgiftsansvarige har grundat sig på rätten till insyn enligt personuppgiftslagen.

Dataskyddslagens 38 § innehåller en övergångsbestämmelse enligt vilken det i ett ärende som gäller utövande av rätten till insyn och som är anhängigt när dataskydds- lagen träder i kraft inte ska tillämpas sådana bestämmelser i artiklarna 12 och 1518 i dataskyddsförordningen som ålägger den personuppgiftsansvarige mer omfattande skyldigheter än vad de bestämmelser som gällde vid ikraftträdandet av dataskyddsla- gen förutsätter, om det med tanke på den personuppgiftsansvarige vore oskäligt att tillämpa bestämmelserna i dataskyddsförordningen.

Bedömning enligt 38 § 3 mom. i dataskyddslagen

I 26 § i personuppgiftslagen föreskrevs det om kontroll av uppgifter som införts i per- sonregister. Enligt lagparagrafen har var och en trots sekretessbestämmelserna, efter att ha meddelat de omständigheter som behövs för att lämna ut uppgifterna, rätt att få veta vilka uppgifter om honom eller henne som har registrerats i ett personregister eller att registret inte innehöll uppgifter om honom eller henne. I 27 § i samma lag

föreskrevs det om begränsningar av rätten till insyn. I 28 § i lagen föreskrevs det om tillgodoseende av rätten till insyn. Enligt 2 mom. i den sistnämnda paragrafen ska den personuppgiftsansvarige utan obefogat dröjsmål ge den registrerade tillfälle att ta del av de uppgifter som avses i 26 § eller på begäran ge den registrerade skriftligt tillfälle att ta del av uppgifterna. Informationen skulle lämnas i begriplig form. Enligt 3 § 5 punkten i samma lag avsågs med den registrerade den person som personuppgif- xxxxx xxxxxx.

Rätt att få tillgång till uppgifterna

I artikel 15 i dataskyddsförordningen föreskrivs det om den registrerades rätt att få tillgång till sina egna uppgifter. Enligt bestämmelsen har den registrerade rätt att av den personuppgiftsansvarige få bekräftelse på att personuppgifter som rör honom el- ler henne håller på att behandlas och, i så fall, rätt att kontrollera uppgifterna samt andra uppgifter som nämns i artikeln. Enligt punkt 3 i samma artikel ska den person- uppgiftsansvarige tillhandahålla en kopia av de personuppgifter som behandlas. En- ligt punkt 4 i artikeln får rätten till en kopia enligt punkt 3 inte inverka menligt på and- ras rättigheter och friheter. Bestämmelser om de förfaranden som ska iakttas vid utö- vandet och tillgodoseendet av den registrerades rättigheter finns i artikel 12 i data- skyddsförordningen. Enligt punkt 1 i artikel 4 i dataskyddsförordningen avses med personuppgifter alla uppgifter som avser en identifierad eller identifierbar fysisk per- son (nedan kallad den registrerade).

De ovan beskrivna bestämmelserna om kontroll av uppgifter i personuppgiftslagen och dataskyddsförordningens bestämmelser om den registrerades rätt att få granska uppgifter överlappar varandra och har nästan samma innehåll. Således kan man i princip inte anse att artikel 15 i dataskyddsförordningen ålägger den personuppgifts- ansvarige mer omfattande skyldigheter i det aktuella fallet än vad 2628 § i person- uppgiftslagen hade förutsatt. Därför tillämpas i enlighet med 38 § 3 mom. i data- skyddslagen artikel 15 i dataskyddsförordningen och de bestämmelser som hänför sig till den.

Om rätten att få uppgifter raderade

Den begäran om radering av personuppgifter som framförts till den personuppgiftsan- svarige har baserat sig på rätten till radering enligt artikel 17 i dataskyddsförord- ningen.

Bedömning av ett ärendes gränsöverskridande karaktär

Den personuppgiftsansvariges huvudsakliga verksamhetsställe finns i Finland, men den personuppgiftsansvarige har verksamhetsställen i flera medlemsländer. I ärendet har det alltså varit nödvändigt att bedöma om den behandling av personuppgifter som utredningen gäller har samband med den personuppgiftsansvariges verksamhetsstäl- len i andra EU-/EES-länder och om den behandling av personuppgifter som utred- ningen gäller eventuellt i betydande grad påverkar registrerade i andra EU/EES-län- der. Den personuppgiftsansvarige har i sin utredning 2.12.2021 konstaterat att ban- ken i Finland har definierat den personuppgiftsansvariges verksamhetssätt och anvis- ningar i anslutning till tillgodoseendet av de registrerades rättigheter. Enligt den per- sonuppgiftsansvariges uppfattning har den behandling av personuppgifter som är fö- remål för bedömningen inga betydande konsekvenser för registrerade i andra EU-

/EES-länder. Enligt den personuppgiftsansvarige har den separata anvisningar för de registrerades rättigheter i de övriga nordiska länderna.

Ett ärende som anhängiggjorts på basis av en utredning från den personuppgiftsan- svarige hänför sig endast till den personuppgiftsansvariges verksamhetsställe i Fin- land, och den personuppgiftsansvariges sätt att utöva sökandens rättigheter har inte haft några betydande konsekvenser för de registrerade i andra medlemsländer. Data- ombudsmannen anser därför att det aktuella ärendet kan handläggas lokalt i enlighet med artikel 56.2.

Rättslig fråga

Den sökande har följande rättsliga frågor:

1. huruvida den personuppgiftsansvariges verksamhet för att tillgodose sökan- dens rätt till insyn enligt förordningen uppfyller kraven i punkterna 3 och 4 i artikel 12 i dataskyddsförordningen,

2. huruvida den personuppgiftsansvarige har tillgodosett sökandens rätt att få tillgång till sina personuppgifter i enlighet med punkt 3 i artikel 15 i data- skyddsförordningen, och

3. huruvida den personuppgiftsansvarige har tillgodosett sökandens rätt att få sina personuppgifter raderade i enlighet med punkt 1 a i artikel 17 i data- skyddsförordningen.

Om behandlingen av personuppgifter inte har varit förenlig med bestämmelserna i dataskyddsförordningen, ska det avgöras vilken påföljd för verksamheten enligt punkt 2 i artikel 58 i dataskyddsförordningen som ska påföras.

Dataombudsmannens beslut

Dataombudsmannen anser att den personuppgiftsansvarige inte har följt följande punkter i den allmänna dataskyddsförordningen: 1) punkterna 3 och 4 i artikel 12 2)

punkt 3 i artikel 15 3) punkt 1 a i artikel 17.

Anmärkning

Dataombudsmannen ger den personuppgiftsansvarige en anmärkning enligt punkt 2 b i artikel 58 i dataskyddsförordningen. Dataombudsmannen påpekar att den person- uppgiftsansvariges agerande för att tillgodose den sökandes rättigheter inte uppfyllde de skyldigheter som anges i punkterna 2-4 i artikel 12 i dataskyddsförordningen. Da- taombudsmannen påpekar att den personuppgiftsansvarige inte har verkställt den sökandes begäran om kontroll av sina personuppgifter i enlighet med artikel 15 i dataskyddsförordningen. I detta sammanhang konstaterar dataombudsmannen att förfarandet har varit särskilt klandervärt vad gäller att den personuppgiftsansvarige raderade uppgifterna innan den registrerades rätt till insyn hade genomförts.

Dataombudsmannen påpekar dessutom att den personuppgiftsansvarige inte har verkställt den sökandes begäran om att få sina personuppgifter raderade i enlighet med artikel 17 i dataskyddsförordningen.

Datatillsynsmannen anser att det rör sig om ett enskilt fall, vilket innebär att en an- märkning utgör en tillräcklig påföljd. Beslutet kan dock i fortsättningen beaktas i sam- band med eventuella andra tillsynsåtgärder som gäller den personuppgiftsansvarige.

Motiveringar

Skyldigheter i fråga om utövande av rättigheter

I artikel 12 i dataskyddsförordningen finns bestämmelser om den registrerades utö- vande av sina rättigheter. Enligt punkt 3 i samma artikel ska den personuppgiftsan- svarige tillhandahålla den registrerade information om de åtgärder som vidtagits till följd av en begäran enligt artiklarna 15-22 utan onödigt dröjsmål och under alla om- ständigheter en månad efter mottagandet av begäran. Denna period kan vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska informera den registrerade om en sådan förlängning inom en månad från mottagandet av begäran och om skälen till förseningen.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige enligt punkt 4 i artikel 12 i dataskyddsförordningen utan dröjsmål informera den registrerade om skälen till detta och senast inom en må- nad från det att begäran mottogs. Den personuppgiftsansvarige ska också informera den registrerade om möjligheten att lämna in ett klagomål till tillsynsmyndigheten och använda sig av andra rättsliga åtgärder.

Sökanden lämnade in en begäran om tillgång till sina uppgifter genom med ett brev daterat 21.11.2017, men hade inte fått något svar. Den personuppgiftsansvarige har i sin utredning konstaterat att han eller hon inte har hittat det brev som sökanden skickade 21.11.2017. Enligt den personuppgiftsansvarige har han eller hon 4.6.2018 svarat på sökandens andra brev daterat 19.3.2018. Svaret har således dröjt i mer än ett halvår. Om sökandens första brev av någon anledning inte skulle ha kommit fram, har svaret på det andra brevet i vilket fall som helst dröjt i över 2 månader. Enligt ut- redningen innehöll kopian inte alla uppgifter. Den personuppgiftsansvarige har i den utredning som lämnats till dataombudsmannens byrå 27.5.2020 konstaterat att han eller hon kontaktar den sökande för att lämna de uppgifter som saknas. Dessutom hade sökanden enligt sin egen utsago i ett brev daterat 16.7.2020 upprepat sin begä- ran om att få granska alla de uppgifter om sökanden som den personuppgiftsansva- rige har behandlat. Enligt den personuppgiftsansvarige tog han eller hon kontakt med sökanden i september 2020. Dataombudsmannen anser att den personuppgiftsan- svarige inte har svarat på sökandens begäran utan obefogat dröjsmål på det sätt som förutsätts i punkterna 3 och 4 artikel 12 i dataskyddsförordningen.

Utövande av rätten till insyn

I artikel 15 i dataskyddsförordningen föreskrivs det om den registrerades rätt att få tillgång till sina uppgifter. Enligt bestämmelsen har den registrerade rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne behandlas eller inte och, om de behandlas, få tillgång till uppgifterna. Den registrerade ska också få sådan annan information om behandlingen av personupp- gifter som nämns i artikeln. Enligt punkt 3 i samma artikel ska den personuppgiftsan- svarige tillhandahålla en kopia av de personuppgifter som behandlas.

Den personuppgiftsansvarige har i sin utredning till dataombudsmannens byrå kon- staterat att den kopia som den personuppgiftsansvarige lämnade 4.6.2018 har inne- hållit en del av personuppgifterna om sökanden. Enligt den personuppgiftsansvarige innehöll svaret i den sökandens fall inte ett följebrev där sökanden uppmanades att precisera sin begäran. Enligt den utredning som inkommit har detta berott på ett in- ternt missförstånd. Den personuppgiftsansvarige har i sin utredning till dataombuds- mannens byrå 27.5.2020 konstaterat att han eller hon kontaktar sökanden för att för- säkra sig om att de uppgifter som sökanden önskat lämnas till honom.

I skäl 62 i dataskyddsförordningen konstateras att om den personuppgiftsansvarige behandlar betydande mängder uppgifter om den registrerade, kan den personupp- giftsansvarige begära att den registrerade, innan uppgifterna lämnas ut, preciserar vilka uppgifter eller vilka behandlingsåtgärder den registrerades begäran gäller. Möj- ligheten att begära att den registrerade preciserar begäran om insyn påverkar dock inte den registrerades rätt att få tillgång till alla uppgifter.

Sökanden har i sitt svar (29.10.2020) konstaterat att den personuppgiftsansvarige inte har lämnat alla uppgifter till honom. Enligt sökanden hade han av den person- uppgiftsansvarige fått ett brev daterat 11.10.2020, där den personuppgiftsansvarige bad sökanden precisera sin begäran om rätten till insyn. Den personuppgiftsansva- rige har bett sökanden precisera sin begäran om rätt till insyn mer än två år efter det att den registrerade för första gången har begärt att få kontrollera sina uppgifter. Xx- xxxxxx har ombetts precisera sin begäran om granskning trots att sökanden enligt uppgift hade begärt av den personuppgiftsansvarige flera gånger (21.11.2017, 19.3.2018, 16.7.2020) att han vill få tillgång till alla uppgifter.

Sökanden hade framfört en begäran till den personuppgiftsansvarige om rätt till insyn samt om radering av uppgifterna. Den personuppgiftsansvarige har först konstaterat att uppgifterna inte kan raderas. Senare meddelade den personuppgiftsansvarige da- taombudsmannens byrå att han eller hon gjort en riskbedömning i fråga om förvaran- det av uppgifterna och att han eller hon har raderat uppgifterna om sökanden. Detta skedde innan den personuppgiftsansvarige besvarade sökandens begäran om att få granska uppgifterna i sin helhet. Dataombudsmannen anser att den personuppgifts- ansvarige inte har verkställt sökandens rätt till insyn på det sätt som förutsätts i punkt 3 i artikel 15 i dataskyddsförordningen. Dataombudsmannen anser att den person- uppgiftsansvarige borde ha förstått att den sökande har begärt att få en kopia av alla sina personuppgifter. Den personuppgiftsansvarige skulle i stället för en preciserings- uppmaning ha verkställt sökandens begäran i sin helhet genom att till sökanden lämna de personuppgifter som saknades i en kopia som lämnades 4.6.2018. Uppgif- terna i fråga borde ha lämnats innan uppgifterna raderades.

Radering av uppgifter

I artikel 17 i dataskyddsförordningen föreskrivs det om den registrerades rätt att få sina uppgifter om honom eller henne raderade. Enligt bestämmelsen har den regi- strerade under vissa förutsättningar rätt att av den personuppgiftsansvarige utan obe- fogat dröjsmål få de personuppgifter som gäller den registrerade raderade. Den per- sonuppgiftsansvarige är skyldig att radera personuppgifter utan obefogat dröjsmål bl.a. när personuppgifterna inte längre behövs för de ändamål för vilka de samlades in eller för vilka de på annat sätt behandlades. Den registrerade har enligt artikel 17 rätt att få sina uppgifter raderade även när den registrerade motsätter sig behandling

med stöd av punkt 1 i artikel 21 och det inte finns någon grundad anledning till be- handlingen.

Efter att 4.6.2018 av den personuppgiftsansvarige ha fått en kopia av sina person- uppgifter hade sökanden kontaktat den personuppgiftsansvarige på nytt 13.6.2018 och begärt att hans personuppgifter ska raderas.

Enligt den utredning som lämnats av den personuppgiftsansvarige verkställdes inte sökandens begäran om att få uppgifterna raderade, eftersom den personuppgiftsan- svarige har ansett att han eller hon fortfarande kan förvara personuppgifterna med stöd av lagstiftningen och berättigat intresse. Den personuppgiftsansvarige har se- dermera i sin utredning till dataombudsmannens byrå konstaterat att tidpunkten för när den sökandes avtal upphörde hade antecknats felaktigt i systemet. Den person- uppgiftsansvarige har i utredningen konstaterat att uppgifter om avtalet i fråga inte längre behöver förvaras och att sökandens uppgifter om denna tjänst raderas.

Dataombudsmannens byrå begärde närmare motiveringar för förvarandet av sökan- dens kvarvarande personuppgifter. I sitt svar konstaterade den personuppgiftsansva- rige att han eller hon hade gjort en riskbaserad bedömning och ansåg att även resten av sökandens uppgifter kan raderas. Enligt den personuppgiftsansvarige hade man vid bedömningen beaktat kundens respons till den personuppgiftsansvarige och den personuppgiftsansvariges anteckning om fel i avtalet. Den personuppgiftsansvarige har i sin begäran om hörande konstaterat att han eller hon inte hade tillräcklig inform- ation för att radera uppgifterna innan dataombudsmannens byrå tog kontakt.

Dataombudsmannen anser att den personuppgiftsansvarige inte har verkställt den sökandens rätt till radering i enlighet med punkt 1 a i artikel 17. I sitt brev till banken, daterat 13.6 2018, har sökanden påpekat ett eventuellt fel i sina uppgifter. Sökanden har också gett banken respons på förvaringstiden för uppgifterna i sitt brev daterat 16.7.2020. Trots detta raderade banken uppgifterna som onödiga först efter det att dataombudsmannen hade kontaktat banken i mars 2021. Dataombudsmannen anser att den personuppgiftsansvarige på eget initiativ kunde ha verkställt sökandens begä- ran om registrering av ett fel i avtalet och sökandens respons innan dataombudsman- nen frågade efter närmare motiveringar till förvaring av de återstående uppgifterna om sökanden.

Tillämpade lagrum

De som nämns i motiveringen.

Ändringssökande

Delgivning

Enligt 25 § i dataskyddslagen (1050/2018) får detta beslut överklagas genom klagan till förvaltningsdomstolen på det sätt som anges i lagen om rättegång i förvaltningsä- renden (808/2019). Xxxxxx inlämnas till förvaltningsdomstol.

Beslutet delges i enlighet med 60 § i förvaltningslagen (434/2003) per post mot mot- tagningsbevis.