Ny afgørelse fra EU-Domstolen: Skaber retten til indsigt i logfiler nye grænser for databeskyttelse?

Nyhed
28.09.2023

EU-Domstolen har truffet afgørelse i en sag, hvorefter Domstolen tog stilling til spørgsmålet om, hvorvidt en registreret person kan kræve ret til indsigt i de personoplysninger, som behandles om vedkommende i den dataansvarliges interne logfiler. Spørgsmålet er interessant, idet logfiler som udgangspunkt anses som intern dokumentation. Læs med i artiklen, hvis du vil blive klogere på nuancerne om, hvor grænsen går mellem ret til indsigt i data og databeskyttelse.

Bankmedarbejdere fremsøgte gentagne gange kundes oplysninger

I en finsk sag i 2014 fik en ansat og samtidig kunde i en bank, under navnet J.M, kendskab til, at hans egne kundeoplysninger flere gange var blevet tilgået af nogle af bankens øvrige ansatte.

 

J.M., som i mellemtiden blev afskediget fra sin stilling, var efterfølgende i tvivl om lovligheden af, at bankens medarbejdere havde fremsøgt hans data. J.M. anmodede derfor den 29. maj 2018 banken om at oplyse ham om identiteten på de ansatte, der havde tilgået hans kundeoplysninger, datoerne for søgningerne samt formålet hermed.

 

Banken nægtede at opgive oplysningerne, men forklarede samtidigt at årsagen til søgningerne var, at bankens interne revisionstjeneste skulle undersøge en mulig interessekonflikt. Banken havde derfor instrueret de pågældende ansatte i at foretage søgningerne på J.M.

 

Fra national domstol til EU-domstolen – usikkerhed om fortolkning af lovgivning

På baggrund af dette klagede J.M til den finske ombudsmand for beskyttelse af personoplysninger, der i sin afgørelse den 4. august også afviste J.M.’s anmodning. J.M. anlagde herefter sag ved den finske forvaltningsdomstol.

 

Sagen ved den finske domstol blev udsat med henblik på den præjudicielle forelæggelse for EU-Domstolen. Når en sag bliver udsat med henblik på den præjudicielle forelæggelse for EU-domstolen, betyder det, at den nationale domstol – i dette tilfælde den finske – beslutter at stille et retsligt spørgsmål til EU-Domstolen, fordi der er usikkerhed omkring fortolkningen eller gyldigheden af EU-lovgivningen.

 

Omfatter retten til indsigt også ret til indsigt i logfiler og fortegnelser?

Den finske forvaltningsdomstol ønskede en stillingtagen til, hvorvidt artikel 15 om retten til indsigt i egne personoplysninger også omfatter ret til indsigt i logfiler, der genereres af den dataansvarlige i forbindelse med behandlingsaktiviteterne.

 

Formålet med retten til indsigt er først og fremmest at gøre det muligt for den registrerede at undersøge og kontrollere en behandlings lovlighed. EU-Domstolen udtaler i den forbindelse bl.a. i afgørelsen:

 

”(…) en persons ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til den i denne forordnings artikel 15, stk. 1, omhandlede information, først og fremmest har til formål at gøre det muligt for denne person at forvisse sig om og kontrollere en behandlings lovlighed” (præmis 56).

 

Uden retten til indsigt ville den registrerede ikke have mulighed for at vurdere lovligheden af behandlingen og udøve de yderligere rettigheder der følger af GDPR. Spørgsmålet er derfor, om indsigt i logfilerne var en nødvendighed for, at J.M.  kunne udnytte sine rettigheder til at kontrollere lovligheden af databehandlingen.

 

EU-Domstolens afgørelse

EU-Domstolen udtalte, at de pågældende logfiler i sagen svarer til en artikel-30 fortegnelse, dvs. en oversigt over den dataansvarliges behandlingsaktiviteter. Udarbejdelse af en fortegnelse er lovpligtig og skal fremvises på tilsynsmyndighedens anmodning. Derfor vil det som udgangspunkt kun være tilsynsmyndigheden, der kan kræve fortegnelser udleveret.

 

EU-Domstolen påpeger dog i sagen, at det kan være nødvendigt at fremsende kopi af logfilerne til en registreret som J.M. med henblik på at opfylde forpligtelsen efter artikel 15. Dette skyldes, at filerne viser, at oplysningerne er blevet behandlet, hvilket udgør information, som J.M. som registreret har krav på efter artikel 15. Filerne giver desuden viden om, hvor tit og i hvilket omfang personoplysningerne er blevet behandlet. Disse oplysninger har J.M. derfor ret til at få indsigt i.

 

Den registrerede har også krav på at kende til modtagere af personoplysninger, hvilket følger af artikel 15, stk. 1 (c), men bankens ansatte anses ifølge EU-Domstolen ikke som ”modtagere”, når de behandler personoplysninger under bankens ledelse og instruks. J.M. har derfor ikke ret til at få oplyst identiteten på de af den dataansvarliges ansatte, som havde foretaget søgningerne.

 

Slutteligt udtalte EU-Domstolen, at de ansattes identitet alligevel kan blive udleveret under visse omstændigheder. Dette ville gøre sig gældende, hvis informationen om de ansattes identitet er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder, forudsat de ansattes rettigheder iagttages. Dette ville være tilfældet, hvis den registrerede ønskede at kontrollere lovligheden af behandlingen, og om hvorvidt behandlingen sker efter instruks fra den dataansvarlige – og ikke på den ansattes egen hånd.

 

EU-Domstolen bemærkede dog, at dette ikke havde været begrundelsen for J.M.’s anmodning. J.M. begrundede anmodningen i en tvivl om rigtigheden af oplysningerne.

 

Hvad kan udledes af dommen?

Det kan ud fra afgørelsen udledes, at en registreret – i dette tilfælde J.M. - som udgangspunkt ikke kan få indsigt i identiteten på den dataansvarliges ansatte, der under instruks har foretaget en behandling af personoplysninger. Disse interne logoplysninger er derfor som udgangspunkt ikke omfattet af indsigtsretten efter artikel 15.

 

EU-Domstolen påpeger dog, at sådanne oplysninger efter omstændighederne kan være omfattet, men kun hvis formålet med indsigten er at kontrollere, hvorvidt den registreredes personoplysninger er behandlet på lovlig vis. Dette skyldes, at formålet med indsigtsretten netop er at give den registrerede mulighed for at føre denne kontrol og mulighed for at udnytte de øvrige rettigheder som bl.a. retten til berigtigelse, retten til sletning og retten til begrænsning af behandlingen. Dette følger af betragtning nr. 63 til databeskyttelsesforordningen.

 

Endeligt fastslår domstolen, at hvis logfiler eller fortegnelser ikke indeholder oplysninger om en identificeret eller identificerbar fysisk person, så er formålet alene at opfylde forpligtelsen til at udarbejde en fortegnelse, hvorfor fortegnelsen alene kan blive udleveret til tilsynsmyndigheden på dennes anmodning.

 

Lad HjulmandKaptains specialister i persondata hjælpe dig

Har du brug for rådgivning, eller har du spørgsmål til dine rettigheder i henhold til databeskyttelse og GDPR, så er du altid velkommen til at kontakte vores specialister.

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev