Datatilsynet har i to sager udtalt alvorlig kritik af henholdsvis Juristernes og Økonomernes Pensionskasse og DSB’s håndtering af en indsigtsanmodning.
Den første sag omhandlede en borger, der ønskede indsigt i blandt andet en lægekonsulentvurdering hos “Juristernes og Økonomernes Pensionskasse“, der var udarbejdet i forbindelse med behandling af hans sag vedrørende tilkendelse af invalidepension.
Pensionskassen mente, at de, herunder for at sikre tilstrækkelig og faglig skadesagsbehandling, kunne afvise en indsigtsanmodning i forhold til lægekonsulentvurderingen, da lægekonsulentvurderinger bliver indhentet som fast forretningspraksis og alene er interne vurderinger, som ikke deles med kunderne.
Derudover blev det også påberåbt, at fortroligheden også sker af hensyn til klager, da den sikrer, at der stilles alle relevante spørgsmål, således at hele sagen afdækkes
Ligeledes er der også et hensyn at tage til pensionskassens private interesser, og endvidere er lægekonsulentvurderingen en forretningshemmelighed, der kan undtages indsigtsretten.
Datatilsynet afviste dels, at det skulle være en forretningshemmelighed, som kan undtages fra indsigt efter databeskyttelsesforordningens artikel 15, stk. 4.
Dels afviste de at indsigt skulle afslås ved at den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, – herunder hensynet til den pågældende selv, jf. databeskyttelseslovens § 22, stk. 1.
Afslutningsvis bemærkede Datatilsynet, at undtagelserne til indsigtsretten er meget snævre, hvor der lægges særlig vægt på, at indsigtsretten giver den registrerede adgang til at kontrollere personoplysningers rigtighed og behandlingens lovlighed, og at dette udgangspunkt kun helt undtagelsesvis kan fraviges.
Af disse grunde udtalte Datatilsynet alvorlig kritik af pensionskassen, da indsigt i personoplysninger som altovervejende hovedregel skal gives, og at der altid skal foretages en konkret vurdering af, om indsigt kan afslås efter undtagelsesreglerne.
Pensionskassen kan derfor ikke generelt afskære bestemte typer af oplysninger fra indsigtsretten.
Klage over DSB’s håndtering af borgers indsigtshåndtering
Den anden sag omhandlede en borger, der den 29. januar 2019 ønskede indsigt i de personoplysninger, som DSB havde registreret om borgeren.
DSB besvarede borgerens anmodning den 8. februar, men udleverede i forbindelse med besvarelsen ikke indholdet af alle de personoplysninger, som DSB behandlede om borgeren.
Den 3. marts klagede borgeren til Datatilsynet.
Først da Datatilsynet den 26. marts havde anmodet DSB om en udtalelse i sagen, fik borgeren den 11. april udleveret indholdet af de resterende personoplysninger.
Her oplyste DSB, at de ikke havde mulighed for at imødekomme borgerens anmodning om indsigt i de oplysninger, som eventuelt behandles i forbindelse med anvendelsen af cookies.
Den 21. april gjorde borgeren gældende, at der fortsat ikke var givet fuld indsigt, da der manglede kopi af to henvendelser til DSB’s kundecenter og af videooptagelser på perroner og i S-tog.
Den 9. juli meddelte DSB, at de anså det for unødigt at udlevere en kopi af henvendelserne, og at der ikke var givet indsigt i videooptagelser, da der ikke var anmodet herom i den konkrete indsigtsanmodning fra januar.
DSB anførte, at personoplysningerne i henvendelserne var indeholdt i DSB’s breve af den 8. februar og den 11. april.
Datatilsynet indskærpede over for DSB, at der ikke kan stilles krav om, at en registreret udtrykkeligt skal anmode om at få indsigt i de personoplysninger, som DSB måtte behandle om en registreret i forbindelse med tv-overvågning.
Hvis en dataansvarlig er i tvivl om omfanget af en indsigtsanmodning, eller hvis der foreligger en betydelig mængde oplysninger, vil den dataansvarlige være berettiget til at anmode den person, som ønsker at få indsigt, om at fremkomme med yderligere oplysninger.
Hvis den registrerede ikke ønsker at fremkomme med yderligere oplysninger eller at præcisere sin indsigtsanmodning, skal den dataansvarlige fortsat besvare anmodningen i det omfang, det kan lade sig gøre.
Datatilsynet udtalte i sagen alvorlig kritik af, at DSB ikke havde iagttaget databeskyttelsesforordningens artikel 15, stk. 3, hvor den dataansvarlige skal udlevere en kopi af de personoplysninger, der behandles, og artikel 12, stk. 2 og 3, hvor den dataansvarlige bl.a. skal lette udøvelsen af de registreredes rettigheder i henhold til bl.a. artikel 15 om indsigt, og uden unødig forsinkelse og senest en måned efter modtagelsen af en anmodning om bl.a. indsigt, oplyse den registrerede om de foranstaltninger, der træffes på baggrund af anmodningen i henhold til artikel 15 (perioden kan forlænges med to måneder, hvis det er nødvendigt under hensyntagen til anmodningernes kompleksitet og antal).
Imidlertid fandt Datatilsynet ikke grundlag for at udtale kritik af, at DSB ikke havde givet borgeren indsigt i de personoplysninger, som DSB eventuelt havde indsamlet ved hjælp af cookies.
Der blev lagt vægt på, at de formål, som DSB anvender cookies til, ikke kræver, at DSB konkret kan identificere klager, og at DSB ikke er i besiddelse af oplysninger, der kan koble klager sammen med de oplysninger, som behandles ved hjælp af cookies.
Det følger af databeskyttelsesforordningens artikel 11, stk. 1, at hvis formålene med en dataansvarligs behandling af personoplysninger ikke kræver eller ikke længere kræver, at den registrerede kan identificeres af den dataansvarlige, er den dataansvarlige ikke forpligtet til at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde forordningen.
I artikel 11, stk. 2, fremgår det, at hvis den dataansvarlige i tilfælde, der er omhandlet af bestemmelsens stk. 1, kan påvise, at vedkommende ikke kan identificere den registrerede, underretter den dataansvarlige den registrerede herom, hvis det er muligt.
I sådanne tilfælde finder artikel 15-20 ikke anvendelse, medmindre den registrerede for at udøve sine rettigheder i henhold til disse artikler giver yderligere oplysninger, der gør det muligt at identificere den pågældende.
DSB havde i sagen underrettet klager.
CLEMENS Advokatfirma anbefaler
Clemens Advokatfirma anbefaler på baggrund af afgørelserne, at man som altovervejende hovedregel giver indsigt i personoplysninger, men at en konkret vurdering kan gøre, at indsigt kan afslås efter undtagelsesreglerne.
Såfremt man som dataansvarlig er i tvivl om omfanget af en indsigtsanmodning, eller hvis der foreligger en betydelig mængde oplysninger, kan den dataansvarlige være berettiget til at anmode om yderligere oplysninger fra personen, der ønsker at få indsigt.
Dog skal den dataansvarlige, uanset om der gives yderligere oplysninger, besvare anmodningen i det omfang, det kan lade sig gøre.
Det er tilmed vigtigt at iagttage fristreglerne i databeskyttelsesforordningens artikel 12, stk. 3, der fastsætter, at den dataansvarlige uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af indsigtsanmodningen skal oplyse den registrerede om foranstaltninger, der træffes på baggrund af indsigtsanmodningen.
Perioden kan i særlige tilfælde forlænges med to måneder.
Hvis du har brug for kompetent sparring og rådgivning i forbindelse med indsigtsanmodninger eller andre persondataretlige spørgsmål og problemstillinger, står vores GDPR-team altid klar til at hjælpe dig.