Sagens kerne: EU-domstolens afgørelse

Den 22. juni 2023 fastslog EU-Domstolen i sag C-579/21, at databeskyttelsesforordningens artikel 15, stk. 1, (som omhandler retten til indsigt i egne personoplysninger) skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger udgør information, som den berørte person har ret til at få fra den dataansvarlige. Det samme gør sig gældende for oplysninger om datoerne for - og selve formålet med - søgningerne. EU-Domstolen slog dog samtidig fast, at retten til indsigt (artikel 15) derimod som udgangspunkt ikke giver ret til information om identiteten på den/de ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra denne, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til databeskyttelsesforordningen (GDPR). Men udgangspunktet er altså, at du ikke har ret til at få indsigt i, hvem der har søgt på dine oplysninger.

Datatilsynet: Sådan er de nye regler om indsigt i logfiler

Nyhed

15.07.2024

EU-domstolen tog den 22. juni 2023 stilling til reglerne om, hvornår du har ret til indsigt i logs, og dommen danner nu grundlag for en ændring af Datatilsynets hidtidige praksis.

Læs artiklen og find ud af, hvad du skal være opmærksom på som dataansvarlig.

Hvad er en log?

En log er en fil, hvori et it-system gemmer oplysninger om dets drift og brug. It-systemer kan designes og opsættes, så de logger alle anvendelser af personoplysninger foretaget af brugere, herunder læsning, tilføjelse, søgning, ændring, udtræk og sletning.

Hvis loggen indeholder personoplysninger, kan det f.eks. være oplysninger om, hvornår der er foretaget opslag på en specifik persons oplysninger, og hvem der har foretaget opslaget. Et af formålene med logning kan netop være at sikre mulighed for undersøgelse af tidligere indtrufne hændelser i it-systemer.

Den 22. juni 2023 fastslog EU-Domstolen i sag C-579/21, at databeskyttelsesforordningens artikel 15, stk. 1, (som omhandler retten til indsigt i egne personoplysninger) skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger udgør information, som den berørte person har ret til at få fra den dataansvarlige. Det samme gør sig gældende for oplysninger om datoerne for - og selve formålet med - søgningerne.

EU-Domstolen slog dog samtidig fast, at retten til indsigt (artikel 15) derimod som udgangspunkt ikke giver ret til information om identiteten på den/de ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra denne, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til databeskyttelsesforordningen (GDPR). Men udgangspunktet er altså, at du ikke har ret til at få indsigt i, hvem der har søgt på dine oplysninger.

Datatilsynet ændrer praksis angående indsigt i logfiler

I en afgørelse fra juni 2024, har Datatilsynet slået fast, at EU-domstolens dom af 22. juni 2023 har den konsekvens, at Datatilsynet fremover vil ændre praksis i spørgsmålet om indsigt i logfiler.

Datatilsynet modtog, via Folketingets Ombudsmand, en klage fra en registreret, som klagede over, at Indenrigs- og Sundhedsministeriet havde afvist at give ham indsigt i CPR`s sikkerhedslog. Indenrigs- og sundhedsministeriet tog ved behandling af klagen, udgangspunkt i Datatilsynets hidtidige praksis.

Datatilsynets hidtidige praksis har været, at personoplysninger i en log ikke var omfattet af retten til indsigt efter databeskyttelsesforordningens artikel 15. Argumentet for den praksis var, at Datatilsynet klassificerede loggen som værende ”en systemmæssig sikkerhedsfacilitet, hvor der ikke sker en selvstændig behandling af oplysninger, men hvor logbehandlingerne er afledt af de behandlinger, der sker på de oprindelige oplysninger”.

Datatilsynet fandt i sin afgørelse til Indenrigs- og Sundhedsministeriet, at klager havde ret til informationen fra logfilen. Datatilsynet slog i afgørelsen også fast, at EU-domstolens dom af 22. juni 2023 har den konsekvens, at Datatilsynets praksis i spørgsmålet om indsigt i logfiler, fremover følger EU-domstolens linje.

Du kan læse afgørelsen her

HjulmandKaptains kommentarer: Det bør du tage med fra afgørelsen

Den nye praksis betyder, at du som dataansvarlig skal udlevere en kopi af de personoplysninger om den registrerede, der indgår i logfiler, hvis den registrerede anmoder om indsigt heri.

Hvis informationen er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder, skal du også oplyse om, hvem der har foretaget en handling. Handlinger registreres i loggen og omfatter både opslag, rettelser, sletning af oplysninger og andre handlinger, som den ansatte har foretaget. Hvis den registrerede f.eks. mistænker, at der er foretaget uberettiget søgning/opslag på vedkommendes oplysninger, kan det være relevant at udlevere navnet på den ansatte, der har foretaget en handling. Du skal dog ikke udlevere navnet på den, der har foretaget en søgning, hvis du som dataansvarlig vurderer, at udlevering af navnet kan krænke dennes rettigheder.

Ved denne vurdering kan der opstilles en tommelfingerregel om, at den registreredes interesser vejer tungest, hvis formålet med anmodningen om indsigt i log-oplysningerne skyldes, at den registrerede mistænker uberettiget opslag i vedkommendes oplysninger. En mere generel anmodning om indsigt, som ikke er nærmere specificeret af den registrerede, kan i stedet veje til fordel for den ansatte, der har foretaget et opslag. I sådan et tilfælde skal den dataansvarlige som udgangspunkt ikke give indsigt i, hvem der har foretaget opslaget.

Udover undtagelse af navnet på den ansatte, som har foretaget et opslag, kan der gøres undtagelse fra retten til indsigt i oplysninger i logfiler, hvis en eller flere af betingelserne i databeskyttelsesloven § 22 er opfyldt. Bestemmelsen indeholder en række undtagelser til retten til indsigt efter artikel 15, og for eksempel kan oplysninger undtages, hvis den registreredes interesse i at få kendskab til oplysningerne burde vige for afgørende hensyn til offentlige interesser.

Eksempler på sådanne offentlige interesser kunne være hensyn til statens sikkerhed eller den offentlige sikkerhed, ved håndhævelse af civilretlige krav, i sager om retsforfølgelse mm. Også ved undtagelser af denne slags, stilles der dog krav om en konkret afvejning af de modstående interesser. Der skal altså foretages en afvejning af den registreredes interesser, holdt op mod den undtagelse i §22, der ønskes benyttet.

Du kan læse hele Datatilsynets nyhed her

Lad HjulmandKaptains specialister i GDPR hjælpe dig

Har du spørgsmål til Datatilsynets nye praksis om logfiler eller har du brug for rådgivning om, hvordan du håndterer GDPR-reglerne, så kontakt vores specialister i GDPR for en uforpligtende snak.