Styr på indsigts­anmodning­erne?

Datatilsynet har for nylig – og for første gang – indstillet til bøde i en sag vedrørende håndtering af en indsigtsanmodning, og i en anden ny sag har Datatilsynet kastet yderligere lys over emnet.

NVI_Portrætter_done_040_web.jpg

Efter artikel 15 i GDPR kan registrerede anmode om indsigt i de oplysninger, en dataansvarlig har registreret om vedkommende. Det er ikke altid enkelt at hitte rede i, hvordan man som dataansvarlig skal bære sig ad med besvarelsen af en indsigtsanmodning. Et godt udgangspunkt for den dataansvarlige kan være at kigge i Datatilsynets afgørelser i sager, hvor der udtales kritik – og Datatilsynet har for nyligt indstillet til bøde for første gang i en sådan sag.

Indstilling til bøde på 50.000 kr. i sag, hvor oplysninger var blevet slettet efter modtagelse af en anmodning
Den pågældende sag drejede sig om et rekrutteringsbureau, som havde foretaget en analyse (en såkaldt DiSC analyse) af en person, der havde ansøgt om et partnerskab. Den pågældende ansøger havde efterfølgende rettet henvendelse til rekrutteringsbureauet med henblik på at modtage en kopi af analysen. Rekrutteringsbureauet havde ikke svaret på henvendelsen, hvorfor ansøgeren på ny rettede henvendelse med henblik på at modtage en kopi. Rekrutteringsbureauet afviste at fremsende en kopi med den begrundelse, at ansøgeren ikke var DiSC-certificeret, og at man derfor ikke måtte udlevere den.

Det mente ansøgeren ikke kunne være rigtigt og henviste til, at han havde krav på at få kendskab til sine oplysninger efter de databeskyttelsesretlige regler. Men dagen efter havde rekrutteringsbureauet slettet oplysningerne. Ansøgeren klagede herefter til Datatilsynet.

Datatilsynet fandt, at den skete sletning af oplysningerne reelt fratog ansøgeren muligheden for den klageadgang, der følger af GDPR og databeskyttelsesloven. Datatilsynet har derfor indgivet politianmeldelse mod rekrutteringsbureauet og indstillet til en bøde på 50.000 kr.

Desuden udtalte Datatilsynet alvorlig kritik af, at rekrutteringsbureauet først efter den anden henvendelse havde besvaret indsigtsanmodningen. Det burde efter Datatilsynets opfattelse have stået rekrutteringsbureauet klart, at den første henvendelse var en anmodning om indsigt efter databeskyttelsesreglerne, og ved først at reagere på den anden henvendelse havde rekrutteringsbureauet ikke besvaret indsigtsanmodningen rettidigt (besvarelsen skete således først mere end 3 måneder efter den første henvendelse).

Medarbejders anmodning om indsigt hos Kriminalforsorgen
I denne sag havde en medarbejder anmodet om indsigt i oplysninger registreret om ham til brug for en arbejdsskadesag.

Medarbejderen havde fået indsigt i en række oplysninger om ham selv, men han mente, at der manglede oplysninger fra nogle rapporter. Kriminalforsorgen mente ikke, at det var muligt at fremsøge disse rapporter, uden at medarbejderen præciserede, hvilke rapporter der var tale om, hvilket medarbejderen ikke var i stand til.

Medarbejderen klagede til Datatilsynet. Kriminalforsorgen fandt – i samarbejde med Kriminalforsorgens systemleverandør – under sagens behandling ved Datatilsynet ud af, at det var muligt at fremsøge nogle yderligere rapporter, som medarbejderen blev meddelt indsigt i. Det var imidlertid ikke teknisk muligt for Kriminalforsorgen at fremsøge yderligere rapporter i såkaldte ”fritekstfelter”, der potentielt indeholdt medarbejderens oplysninger, idet der skulle søges på tværs af 8-10 mio. dokumenter.

Datatilsynet fandt grundlag for at udtale kritik af, at Kriminalforsorgen først ved Datatilsynets mellemkomst havde fundet ud af, at det var muligt at identificere yderligere oplysninger, end hvad der i første omgang var blevet meddelt indsigt i.

Derimod udtalte Datatilsynet, at bl.a. på baggrund af de store bestræbelser, Kriminalforsorgen havde gjort, sammenholdt med det betydelige arbejde, Kriminalforsorgen skulle anvende på at fremfinde eventuelle yderligere oplysninger, ville medarbejderens anmodning om indsigt i eventuelle yderligere oplysninger kunne afslås efter retshåndhævelseslovens § 19 (svarende til GDPR art. 12 (5)).

Det bemærkes, at Datatilsynet traf afgørelse på baggrund af reglerne i retshåndhævelsesloven, der gælder for håndtering af personoplysninger hos retshåndhævende myndigheder, men at de for sagen relevante bestemmelser indholdsmæssigt er svarende til reglerne i GDPR og databeskyttelsesloven.

Norrbom Vinding bemærker

  • at afgørelsen om rekrutteringsbureauet viser, dels at en dataansvarlig skal være overordentlig påpasselig med at slette oplysninger, som der er anmodet om indsigt i, dels at en dataansvarlig skal være ”vågen” i forhold til at spotte en indsigtsanmodning, selvom det ikke fremgår af henvendelsen, at anmodningen fremsættes i medfør af de databeskyttelsesretlige indsigtsregler; og
  • at afgørelsen vedrørende Kriminalforsorgen viser, at der er et vist rum for dataansvarlige for at benytte adgangen til ikke at efterkomme en anmodning – men at adgangen er snæver og forudsætter, at den dataansvarlige allerede har udfoldet betydelige bestræbelser på at imødekomme anmodningen, og at yderligere arbejde med at imødekomme anmodningen må antages at være betydeligt.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet