EU-Domstolen har i en ny afgørelse slået fast, at logfiler som udgangspunkt udgør personoplysninger, der er omfattet af indsigtsretten. Afgørelsen medfører dermed en ændring af Datatilsynets hidtidige praksis, da personer, der anmoder om indsigt i behandlingen af deres personoplysninger, nu som udgangspunkt også har ret til at få indsigt i logfiler fra opslag om dem.
Denne afgørelse betyder, at omfanget af en virksomheds eller myndigheds besvarelse af en indsigtsanmodning nu bliver mere omfattende, da ikke alene selve personoplysningerne i et register eller database er omfattet af indsigtsretten, men også logfiler om opslag heri.
Indsigtsretten
Det følger af persondataforordningen (”GDPR”), at enhver person har ret til at få en række oplysninger om, hvordan en dataansvarlig behandler vedkommendes personoplysninger samt kopi af de personoplysninger der behandles. Denne ret kaldes den registreredes indsigtsret.
En persons ret til indsigt i personoplysninger, der er indsamlet og behandles om vedkommende, har først og fremmest til formål at gøre det muligt for vedkommende at forvisse sig om og kontrollere behandlings lovlighed. Det følger således af denne rettighed, at enhver person bør have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, varigheden af behandlingen, eventuelle modtagere af personoplysningerne og om logikken bag behandlingen af personoplysningerne. Indsigtsretten har dermed også til formål at skabe gennemsigtighed i forbindelse med behandling af personoplysninger.
Den dataansvarlige virksomhed eller myndighed har således pligt til at etablere procedurer for, hvordan indsigtsanmodninger håndteres og besvares, så det sikres, at indsigtsanmodninger bliver besvaret korrekt. Derudover skal den dataansvarlige sørge for at benytte systemer, der har standardindstillinger og opsætning, der understøtter databeskyttelse – herunder at systemerne er indrettet, så det bl.a. er muligt at give indsigt i og kopi af behandlede personoplysninger.
Endelig er det også en helt grundlæggende forudsætning for at kunne efterleve en indsigtsanmodning, at den dataansvarlige virksomhed eller myndighed har det fulde overblik over, hvilke personoplysninger der er indsamlet og hvordan de behandles.
Kontakt os for en uforpligtende drøftelse af din organisations behandling af persondata
Skriv til vores compliance-teamHvilke logfiler udgør personoplysninger
En log er en fil, hvori et it-system gemmer oplysninger om dets drift og brug. Karakteren af loggen kan være varierende, og kan i nogle tilfælde udgøre personoplysninger. Hidtil har Datatilsynet anset logfiler for alene at være en systemmæssig sikkerhedsfacilitet, der ikke var omfattet af indsigtsretten.
Ved ovennævnte nye afgørelse fra EU-Domstolen er det dog fastslået, at logfiler fra personsøgninger og -opslag skal anses for at være personoplysninger, som er omfattet af indsigtsretten i GDPR. EU-Domstolen fastslår, at den brede definition af begrebet ”personoplysninger” ikke kun omfatter de oplysninger, der indsamles og opbevares af den dataansvarlige, men ligeledes alle oplysninger, som hidrører fra en behandling af personoplysninger, herunder fx logning, der vedrører en identificeret eller identificerbar fysisk person.
Når logfiler indeholder oplysninger om, hvornår der er foretaget opslag på en given persons oplysninger, hvad formålet hermed har været, og hvem der har foretaget opslaget, udgør logfilerne dermed i sig selv personoplysninger. Disse logfiler udgør personoplysninger, fordi de stammer fra en behandling af personoplysninger, der vedrører en identificeret eller identificerbar person.
Det betyder samtidigt, at det er en forudsætning, at logfilerne knytter sig til en tilhørende behandling af personoplysninger og andre personoplysninger i form af fx en kundeprofil, personalemappe eller lignende. Såfremt medarbejderes færden til og fra arbejdspladsen logges, vil sådanne logs derimod ikke udgøre personoplysninger om de personer, der behandles eller opbevares oplysninger om på arbejdspladsen. En sådan adgangslog over medarbejdernes ankomst- og afgangstider på arbejdspladsen har en generel karakter, og oplysningerne kan ikke henføres til en identificerbar eller identificeret person. Adgangen til arbejdspladsen er netop ikke ensbetydende med, at vedkommende medarbejder har tilgået personoplysninger om den indsigtsanmodende person.
Betydningen af den nye praksis
Når en person anmoder om indsigt i logfiler vedrørende opslag og søgninger på vedkommendes personoplysninger, er den dataansvarlige forpligtet til at udlevere en kopi af de personoplysninger, der er registreret i loggen, herunder hvornår der er foretaget søgninger og med hvilket formål det er sket, samt som udgangspunkt også identiteten på den medarbejder, der har foretaget søgningen.
Der gælder dog visse undtagelser til indsigtsretten, hvorefter den anmodende person ikke har ret til at få indsigt i oplysningerne, navnlig hvis indsigten vil medføre en krænkelse af andre personers rettigheder, eller andre afgørende hensyn taler for undtagelsen. Sidstnævnte bør den dataansvarlige virksomhed eller myndighed være særlig opmærksom på ved vurderingen af, om en konkret indsigtsanmodning skal omfatte oplysninger om, hvem der har foretaget opslag i en logfil.
Der skal således foretages en skriftlig vurdering af, om identiteten på den medarbejder, der har foretaget søgningen, skal undtages fra kopien af loggen til den anmodende person. Den indsigtsanmodende person kan have en interesse i at få udleveret identiteten, hvis vedkommende mistænker, at der er sket uberettiget søgning, hvilket taler imod undtagelsen af oplysningerne. Udleveringen af medarbejderens navn kan dog ikke ske, hvis det efter en konkret vurdering viser sig, at dette vil betyde en krænkelse af medarbejderen eller dennes rettigheder.
Datatilsynet har opstillet en tommelfingerregel, hvorefter der skal ske udlevering af medarbejderens identitet, hvis den anmodende person har angivet et specifikt formål med at få kendskab til identiteten på medarbejderen. Derimod vil hensynet til medarbejderen modsat kunne tale for undtagelse, hvis den anmodende person alene har ønsket generel indsigt i loggen uden at have et konkret behov for at kende identiteten på medarbejderen, der har foretaget søgninger.
CLEMENS’ bemærkninger
For de fleste virksomheder og myndigheder er indsigtsanmodninger en ressourcetung og krævende øvelse. Den nye afgørelse fra EU-Domstolen peger i samme retning og udvider indsigtsretten til logfiler for personsøgninger og -opslag.
Det er derfor vigtigt at få etableret passende procedurer for håndtering af indsigtsanmodninger, så ressourcerne kan bruges bedst muligt, eller få genbesøgt eksisterende procedurer, så der tages stilling til logfiler.
Hos CLEMENS hjælper vi med at udarbejde og opdatere procedurer for, hvordan netop jeres organisation håndterer indsigtsanmodninger bedst muligt og i overensstemmelse med reglerne.
Derudover står vi også til rådighed, hvis din organisation har modtaget en indsigtsanmodning, og har brug for bistand til håndteringen heraf.
Har du spørgsmål til ovenstående eller databeskyttelse i øvrigt, er du også altid velkommen til at kontakte CLEMENS’ eksperter i databeskyttelse.
Skriv til vores compliance-team