U

Viden

Nyheder

Specialerhidden

Mennesker

Arrangementer

Om os

Karriere

12.10.2022 | Databeskyttelse

Skrevet af

Sara Baldus
Senioradvokat

Indsigt i en million dokumenter?

En dataansvarlig var ikke forpligtet til at gennemgå og udlevere oplysninger i over en million dokumenter i forbindelse med en indsigtsanmodning.

En dataansvarlig skal give en registreret indsigt i alle personoplysninger, som den dataansvarlige behandler om vedkommende, hvis den registrerede anmoder om det. En indsigtsanmodning kan dog afslås i visse situationer, bl.a. hvis anmodningen er overdreven. Men er det overdrevent at bede om alle oplysninger, der er behandlet i forbindelse med den registreredes arbejde? Det har Datatilsynet for nyligt set på.

Sagen handlede om en registreret, som i forbindelse med en verserende sag anmodede om indsigt i mere end en million dokumenter. Besvarelsen af anmodningen ville indebære et meget omfattende arbejde med at identificere, gennemgå og vurdere de pågældende dokumenter, som i al væsentlighed var fordelt på to selskaber (dataansvarlige), hvori den registrerede tidligere havde været bestyrelsesmedlem, henholdsvis administrerende partner.

De dataansvarlige besvarede indsigtsanmodningen og udleverede oplysninger vedrørende 66 dokumenter. Den registrerede mente, at der manglede at blive udleveret oplysninger og indgav derfor en klage til Datatilsynet.

For meget af det gode
Datatilsynet konstaterede, at det følger af Datatilsynets praksis, at en dataansvarlig som udgangspunkt vil kunne afslå at fremsøge og gennemgå dokumenter, som er sendt af og til den registrerede i forbindelse med dennes opgavevaretagelse med den begrundelse, at anmodningen er overdreven.

Dette skyldes, at det ifølge Datatilsynet vil være udgangspunktet, at oplysningerne om den registrerede – eksempelvis i breve, notater og e-mails – alene optræder accessorisk i forhold til den funktion, den registrerede har udført, og det formål, der lå til grund for behandlingen. Oplysningerne siger med andre ord ikke i sig selv noget om den registrerede, ligesom formålet med behandlingen heller ikke er eller har været at behandle oplysninger om vedkommende.

Dette udgangspunkt medfører imidlertid ikke, at dataansvarlige generelt set kan se bort fra arbejdsmails mv. Der kan nemlig forekomme tilfælde, hvor oplysningerne ikke kun beskriver en funktion, men i videre omfang indeholder oplysninger om den registrerede. Og det må vurderes konkret.

I den konkrete sag mente Datatilsynet dog ikke, at der var grundlag for at antage, at det skulle være tilfældet. Derimod indikerede de faktiske forhold, at oplysninger om den registrerede i det væsentligste alene optrådte accessorisk i forhold til formålet – virksomhedsdrift – og derfor relaterede sig til de funktioner, som den registrerede tidligere havde varetaget.

De dataansvarlige var derfor ikke forpligtet til at fremsøge og gennemgå et stort antal dokumenter med henblik på at identificere og udlevere eventuelt yderligere oplysninger. I den forbindelse lagde Datatilsynet også vægt på, at den registrerede ikke havde specificeret sin anmodning på en sådan måde, at omfanget af dokumenter, som skulle gennemgås, blev nedbragt.

Norrbom Vinding bemærker

  • at afgørelsen ligger i forlængelse af tidligere afgørelser fra Datatilsynet, hvorefter tidligere medarbejdere mv. som udgangspunkt ikke har ret indsigt i indholdet af deres tidligere arbejdsmail og lignende, men
  • at arbejdsgivere dog konkret er nødt til at vurdere, om eksempelvis arbejdsmails indeholder oplysninger, som ikke kun beskriver den funktion, som en medarbejder har varetaget, men i videre omfang indeholder oplysninger om den registrerede, og
  • at spørgsmålet om medarbejderes adgang til indsigt fortsat må antages at give anledning til udfordringer – herunder i forhold til hvordan og i hvilket omfang arbejdsgiver rent praktisk kan sikre sig, at indsigtsanmodninger håndteres korrekt.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.