Esbjerg
Esbjerg Brygge 28
6700 Esbjerg
Se vores åbningstider
København
H. C. Andersens Blvd. 45
1553 København V
Se vores åbningstider
Herning
Dalgasgade 21, 2
7400 Herning
Se vores åbningstider
Skjern
Bredgade 67
6900 Skjern
Se vores åbningstider
19. jun. 2020

GDPR - Håndtering af indsigtsbegæringer

Retten til indsigt er en af flere rettigheder, som følger af persondataforordningen. Hvilke krav må man stille, når man modtager en indsigtsbegæring, og hvad skal man gøre for at overholde reglerne? Nedenfor følger en kort gennemgang af de væsentligste forhold, man som virksomhed eller offentlig myndighed skal være opmærksom på.

Formål med retten til indsigt

Formålet med indsigtsretten er at skabe gennemsigtighed omkring behandling af personoplysninger overfor de registrerede personer.

Ud over at den registrerede skal gives indsigt i hvilke personoplysninger, der behandles om den pågældende, så skal man som dataansvarlige give en række yderligere oplysninger om behandlingen. Besvarelse kan således gøre den registrerede i stand til at kontrollere, at de oplysninger, der behandles, er korrekte, og at oplysningerne behandles på et lovligt grundlag.

Identifikation af den registrerede

Når man modtager en indsigtsbegæring er det først og fremmest vigtigt, at man sikrer sig, at indsigtsbegæringen fremsættes af den, man behandler oplysninger om, inden der gives indsigt.

I mange tilfælde vil det være relativt nemt at konstatere, om man har ”fat i den rette”. Hvis indsigtsbegæringen fx fremsættes af en medarbejder, vil lederen eller HR-afdelingen nemt kunne konstatere, om vedkommende er den, som vedkommende giver sig ud for at være. Hvis det er en fratrådt medarbejder, kan der være behov for at stille nogle kontrolspørgsmål.

Hvis indsigtsbegæringen fremsættes af en kunde eller en person, som man ikke har en forretningsmæssig forbindelse med, er det ikke altid lige nemt at vide, om personen, der henvender sig, er selvsamme person, som man har registreret oplysninger om. Hvis indsigtsbegæringen fremsættes via e-mail, og dette sker fra samme e-mailadresse, man har registreret om den pågældende kunde, vil man som udgangspunkt kunne lægge til grund, at der er tale om den rette. Tilsvarende hvis anmodningen sker via en kundeplatform, hvor kunden logger ind med individuel kode.

Hvis vedkommende derimod retter henvendelse via en mail, man ikke har registreret for den pågældende, eller en person ringer for at få oplysninger, skal man på anden vis verificere identiteten af den pågældende. Det kan fx ske ved, at der stilles krav om, at den pågældende skal give nogle verificerende oplysninger, eller at besvarelsen af henvendelsen som udgangspunkt skal ske til den e-mail adresse, der allerede er registreret om den pågældende. Ved indsigtsbegæringer vedrørende videoovervågningsmateriale kan det endvidere være nødvendigt at bede om billedID eller personligt fremmøde. Omvendt kan man ikke betinge en indsigtsanmodning af, at den pågældende møder fysisk op hos den dataansvarlige i en situation, hvor identiteten kan verificeres betryggende på anden vis. I den forbindelse skal der også tages hensyn til, hvor besværligt det er for den pågældende at møde fysisk op, fx pga. lang afstand. Hvis det er for besværligt, må identiteten fastlægges på anden vis.

Datatilsynet har i marts 2020 offentliggjort en afgørelse truffet på baggrund af 3 anmeldelser om sikkerhedsbrud fra BroBizz A/S. En af anmeldelserne vedrørte en situation, hvor kæresten (person B) til en kunde (Person A) henvendte sig, for at få oplysninger om, hvornår A’s bil havde krydset Storebæltsbroen, og hvor mange passagerer der var i bilen. Dette fik B oplyst telefonisk efter at have oplyst A’s telefonnummer og formentligt også nummerplade. Efterfølgende kontaktede A BroBizz og udtrykte sin utilfredshed ved, at disse oplysninger var blevet udleveret til B, som var en ekskæreste. Datatilsynet udtalte kritik i sagen. Selvom sagen ikke direkte vedrører en sag om indsigtsbegæringer, illustrerer den dog meget godt, hvor vigtigt det er at have en fast procedure for, hvordan ens medarbejdere skal sikre sig, at få identiteten af kunder mv. verificeret, inden der udleveres oplysninger på baggrund af en henvendelse.

Afgrænsning af indsigtsbegæring

Når den registrerede person beder om indsigt, kan det være hensigtsmæssigt at gå i dialog med den pågældende med henblik på at få præciseret, hvilke oplysninger der ønskes indsigt i. Det kan være relevant, hvis man behandler en stor mængde oplysninger om vedkommende. Det er dog vigtigt at være opmærksom på, at vedkommende ikke er forpligtet til at præcisere forespørgslen. Hvis denne ikke præciseres, skal der gives indsigt i alle oplysninger, der behandles om vedkommende.

I nogle tilfælde kan det dog være nødvendigt med en præcisering. Det gælder eksempelvis ved indsigtsbegæringer i videoovervågningsmateriale, hvor det kan være nødvendigt, at den registrerede giver oplysninger om sted, dato og tidsrum.

Hvis en indsigtsbegæring er ganske klart afgrænset, bør man derimod ikke bede om en præcisering af indsigtsbegæringen. I en afgørelse offentliggjort i februar 2020 fik Nemlig.com bl.a. kritik af Datatilsynet, fordi de besvarede alle indsigtsanmodninger med en standardtekst, hvor den registrerede fik en frist på 7 dage til at præcisere sin anmodning. I samme periode blev anmodningen ikke behandlet. Datatilsynet fandt, at en anmodning ikke blev behandlet hurtigst muligt og uden unødig forsinkelse, når Nemlig.com standardmæssigt afventede en præcisering fra den registrerede, selvom anmodningen fra start havde været tilstrækkelig klar og tydelig.

Frister og formkrav

En indsigtsanmodning skal altid behandles hurtigst muligt og uden unødig forsinkelse. Derudover gælder der som udgangspunkt en frist på maksimalt 30 dage. Denne frist begynder at løbe fra det tidspunkt, hvor indsigtsanmodningen bliver modtaget, og ikke fra det tidspunkt, hvor identiteten på vedkommende er blevet verificeret. I tilfælde hvor det er komplekst eller vanskeligt at behandle indsigtsanmodningen, kan det efter en konkret vurdering være tilladt at forlænge fristen med op til 2 måneder. Hvis man har behov for at forlænge fristen, skal den registrerede personnaturligvis oplyses herom. Dette skal ske inden udløb af 30-dages fristen, og den dataansvarlige skal samtidigt oplyse om årsagen til udsættelse.

Ved besvarelse af en indsigtsanmodning er det ikke nok bare at oplyse om, hvilke typer eller kategorier af oplysninger der behandles. Der skal samtidigt gives indsigt i, hvilke konkrete personoplysninger der behandles om vedkommende, så den pågældende kan kontrollere, at oplysningerne er korrekte og behandles lovligt.

Adgangen kan gives ved, at der sendes en kopi af oplysningerne - enten fysisk eller elektronisk. Det fremsendte kan være kopier af originale dokumenter, sagsmapper osv. Alternativt kan oplysningerne kopieres over i et selvstændigt dokument. Det er vigtigt at huske, at oplysninger om andre end den, der anmoder om indsigt, skal sløres eller slettes.

Det er endvidere værd at bemærke, at det i visse tilfælde er tilladt at bede vedkommende om selv at finde oplysningerne, såfremt vedkommende har adgang til dem. Dette er også bekræftet af Datatilsynets afgørelse i den før omtalte sag om Nemlig.com. Nemlig.com anførte i deres besvarelser af indsigtsanmodninger, at kunden kunne finde en række oplysninger via kundeportalen under ”Mit Nemlig”. De personoplysninger, som kunden således selv kunne slå op via portalen, blev ikke sendt med besvarelsen. Dette fandt Datatilsynet var tilstrækkeligt, idet der blev lagt vægt på, at Nemlig.com i forbindelse med besvarelsen af indsigtsanmodning sendte en standardtekst, som gav en nem vejledning til, hvor vedkommende kunne finde sine egne oplysninger.

Det er naturligvis vigtigt, at man ved besvarelse af en indsigtsanmodning sikrer sig, at besvarelsen omfatter alle de oplysninger, der anmodes om indsigt i. Hvis den registrerede ikke har afgrænset sin anmodning til bestemte oplysninger, skal der gives indsigt i alt, der kan henføres til den pågældende. Nemlig.com sagen illustrerer også denne problemstilling, idet Nemlig.com gjorde Datatilsynet opmærksom på, at virksomheden indsamler informationer om brugernes adfærd, når de besøger virksomhedens hjemmeside og app. Disse oplysninger var der imidlertid ikke givet indsigt i i forbindelse med de 2 indsigtsanmodninger, de havde behandlet på tidspunktet for Datatilsynets besøg. Datatilsynet fandt imidlertid, at også disse informationer var personhenførbare, hvorfor de to besvarelser af indsigtsanmodninger burde have indeholdt information herom. Sagen understreger vigtigheden af, at man som virksomhed har et overblik over alle de personoplysninger, man indsamler, og de forskellige systemer mv. oplysningerne indsamles via, således at man er i stand til at give en fuldstændig besvarelse, hvis man bliver mødt med en indsigtsanmodning.

Det skal være gratis for den registrerede at bede om indsigt. Hvis den registrerede beder om mere end én kopi af sine personoplysninger, kan der dog tages et rimeligt gebyr. Gebyret kan alene dække de yderligere administrative omkostninger forbundet hermed.

Udover at der med en besvarelse af en indsigtsanmodning skal gives indsigt i de konkrete personoplysninger, der behandles, skal den dataansvarlige ligeledes give en række yderligere oplysninger om behandlingen. Der skal således bl.a. gives oplysninger om de formål man behandler oplysninger til, hvilke kategorier af personoplysninger der behandles, hvornår oplysningerne slettes samt hvilke øvrige rettigheder de registrerede har, herunder klageadgang til Datatilsynet.

Datatilsynet har udarbejdet en skabelon, som kan anvendes ved besvarelse af indsigtsanmodninger. Det er dog ikke et krav, at denne skabelon anvendes. Datatilsynet har endvidere udarbejdet en vejledning om de registreredes rettigheder, hvor man også kan læse nærmere om retten til indsigt. Vejledningen og skabelonen kan findes her

Øvrige regler

Det er vigtigt at være opmærksom på, at en person kan have ret til indsigt/aktindsigt efter andre regelsæt end persondataforordningen. For offentlige myndigheder er det navnlig vigtigt at være opmærksomme på reglerne om aktindsigt efter forvaltningsloven og offentlighedsloven.

En anmodning om indsigt/aktindsigt skal altid - uanset om den pågældende specifikt henviser til det ene eller andet regelsæt - behandles efter de regler, som giver det bedste resultat for den registrerede.

Har du brug for rådgivning om GDPR mv., så kontakt Kirk Larsen & Ascanius

For at sikre at alle indsigtsbegæringer bliver behandlet korrekt og inden for de tidsgrænser, der eksisterer, er det vigtigt på forhånd at have procedurer for behandlingen. Har du brug for hjælp til udarbejdelse af sådanne procedurer, eller modtager du en indsigtsbegæring og har behov for hjælp til udarbejdelse af besvarelse, så kontakt Maria Helbo Holck, som er vores ekspert indenfor persondataret.