Indsigt i lægekonsulentvurderinger

Dato: 18-11-2019
Afgørelse Private virksomheder Alvorlig kritik Påbud Klage Udøvelse af rettigheder Retten til indsigt

Datatilsynet har truffet afgørelse i en sag, hvor en borger klagede over, at hans pensionsselskab afviste at give ham indsigt i en lægekonsulentvurdering, der var udarbejdet i forbindelse med behandlingen af hans sag. Datatilsynet fandt i sagen anledning til at udtale alvorlig kritik og meddele pensionsselskabet et påbud.

Journalnummer: 2019-31-1424

Resume

Datatilsynet har truffet afgørelse i en sag, hvor en borger klagede over, at hans pensionsselskab, Juristernes og Økonomernes Pensionskasse (JØP), afviste at give ham indsigt i en lægekonsulentvurdering.

I den pågældende sag havde JØP afvist at give indsigt i den omhandlede lægekonsulentvurdering, bl.a. fordi det er en fast forretningspraksis hos selskabet, at der indhentes vurderinger fra lægekonsulenter til brug for selskabets interne behandling af sagerne, og idet det er fast praksis, at disse vurderinger ikke deles med kunderne, da der er tale om interne dokumenter.

Datatilsynet lagde i sin afgørelse bl.a. vægt på, at der som altovervejende hovedregel skal gives indsigt i personoplysninger, og at der altid skal foretages en konkret vurdering af, om indsigt kan afslås efter undtagelsesreglerne. JØP kunne derfor ikke – som det var tilfældet i denne sag – generelt afskære bestemte typer af oplysninger fra indsigtsretten.

Efter Datatilsynets opfattelse, havde JØP ikke handlet i overensstemmelse med databeskyttelsesforordningens artikel 15 om retten til indsigt, hvilket gav tilsynet anledning til at udtale alvorlig kritik.

På den baggrund meddelte Datatilsynet JØP påbud om at foretage en konkret vurdering af, hvorvidt der kan gives klager indsigt i personoplysninger om klager, der er indeholdt i lægekonsulentvurderingen.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor klager den 4. februar 2019 har klaget til tilsynet over en besvarelse fra Juristernes og Økonomernes Pensionskasse (herefter JØP) af hans anmodning om indsigt efter databeskyttelsesforordningen.

Datatilsynet har forstået klagers henvendelse som en klage over JØP´s afslag på indsigt i dokumenter udarbejdet af JØP´s lægekonsulent og korrespondance mellem JØP og lægekonsulenten, der er indgået i sagsbehandlingen vedrørende tilkendelse af invalidepension til klager.

Sagen har været behandlet på et møde i Datarådet.

1. Påbud

Det er Datatilsynets opfattelse, at JØP ikke har handlet i overensstemmelse med databeskyttelsesforordningens[1] artikel 15.

Datatilsynet finder derfor grundlag for at udtale alvorlig kritik af, at JØP ikke har behandlet klagers anmodning om indsigt i overensstemmelse med artikel 15.

Datatilsynet skal herefter meddele JØP påbud om at foretage en konkret vurdering af, hvorvidt der kan gives klager indsigt i personoplysninger om klager, der er indeholdt i lægekonsulentvurderingen. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58 stk. 2, litra c.

Fristen for efterlevelse af påbuddet er den 18. december 2019. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet, samt en kopi af JØP´s fornyede vurdering af spørgsmålet om indsigt og svar til klager.

Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2.

2. Sagsfremstilling

Det fremgår af sagen, at klager i forbindelse en indsigtsanmodning ikke modtog en række dokumenter og intern korrespondance mellem JØP og en lægekonsulent.

JØP har afvist at give klager indsigt i lægekonsulentens udtalelse.

2.1. JØP´s bemærkninger

JØP har overordnet anført, at JØP ved brev af 6. december 2018 har imødekommet klagers indsigtsanmodning, dog således at en lægekonsulentvurdering blev undtaget fra indsigt. Denne lægekonsulentvurdering er indgået i JØP´s beslutningsgrundlag om at tilkende klager invalidepension i overensstemmelse med hans ansøgning.

Lægekonsulentens vurdering er foretaget på baggrund af materiale som klager er fuldt ud bekendt med, herunder speciallægeerklæringer og supplerende helbredsoplysninger, som klager har indsendt til JØP.

JØP har oplyst, at klager har fået indsigt i samtlige personoplysninger, forsikringsselskabet behandler om ham, dog er der nægtet indsigt i lægekonsulentvurderingen.

JØP har anført, at det er fast forretningspraksis hos JØP – som det generelt er i forsikrings- og pensionsbranchen – at der indhentes vurderinger fra lægekonsulenter til brug for JØP´s interne behandling af sagerne. Lægekonsulentens opgave er i dette tilfælde at vurdere lægefaglige spørgsmål til brug for JØP´s afgørelse af sagen.

Det er fast praksis i hele branchen, at lægekonsulenternes interne vurdering og lægefaglige rådgivning til skadesbehandlerne ikke deles med de kunder, som vurderingerne vedrører. For at sikre tilstrækkelig og faglig skadesagsbehandling er det afgørende, at skadesbehandlerne kan indhente lægefaglig rådgivning i fortrolighed.

Behovet for fortrolighed skyldes bl.a., at lægefaglige vurderinger i sagens natur indeholder usikkerheder og argumenter for og imod et resultat. Lægekonsulentens interne vurdering må dermed kunne sidestilles med et internt juridisk notat. Lægekonsulentvurderingen anses på den baggrund for at være omfattet af adgangen til at undtage interne vurderinger efter databeskyttelseslovens § 22, stk. 1.

Fortroligheden sikrer endvidere, at der i samspillet mellem skadesbehandleren og lægekonsulenten stilles alle relevante spørgsmål, således at hele sagen afdækkes. Fortroligheden sker dermed reelt også af hensyn til klager selv.

Lægekonsulentvurderingen kan endvidere – efter JØPs opfattelse – undtages indsigtsretten af hensyn til JØPs private interesser, herunder hensynet til JØPs forretningsgrundlag og forretningspraksis samt muligheden for at varetage sine interesser i eventuelle tvistsager.

JØP har endelig anført, at der er tale om forretningshemmeligheder, der kan undtages indsigtsretten efter databeskyttelsesforordningens artikel 15, stk. 4.  

2.2. Klagers bemærkninger

Klager har overordnet anført, at klager ikke kan genkende, at der skulle være tale om forretningshemmeligheder eller en krænkelse af andres frihedsrettigheder.

Klager har endvidere anført, at JØPs afvisning af indsigt i de omhandlede oplysninger medfører, at klager ikke kan efterprøve rigtigheden af de personoplysninger, der er blevet behandlet.

Endvidere har klager anført, at lægekonsulentens udtalelse ses at have retsvirkning, da JØP har oplyst klager om, at lægekonsulenten har vurderet, at klager ikke på nuværende tidspunkt kan tildeles varig invalidepension. 

2.3. Forsikring & Pensions bemærkninger

Forsikring & Pension har som brancheorganisation efter anmodning fra JØP afgivet et indlæg til brug for sagen. Forsikring & Pension finder, at der er tale om en principiel problematik for forsikrings- og pensionsbranchen.

Forsikring & Pension har bekræftet, at lægekonsulenters vurderinger som udgangspunkt ikke deles med kunder/skadelidte. Vurderingerne har til formål at bidrage til selskabets beslutningsgrundlag, men er ikke i sig selv konkluderende.

Forsikring & Pension har anført, at hvis det ikke er muligt at sikre et rum for intern vurdering, risikerer man, at der enten ikke indhentes erklæringer, eller at erklæringerne bliver ufuldstændige, fordi lægerne udtaler sig vidende om, at der senere kan gives indsigt. Dette vil kunne skade forsikringstagerens sag.

Endelig har Forsikring & Pension anført, at et yderligere argument for, at disse udtalelser kan undtages efter databeskyttelseslovens § 22, stk. 1, er hensynet til forsikringstageren selv. Lægefaglige vurderinger kan indeholde en del usikkerheder og overvejelser, som kan skabe misforståelser og unødig bekymring hos forsikringstageren.

3. Det retlige grundlag

3.1. Begrebet personoplysninger

Begrebet personoplysninger defineres i databeskyttelsesforordningens artikel 4, nr. 1, som enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«). Ved identificerbar fysisk person forstås en fysisk person, der på grundlag af oplysningerne direkte eller indirekte kan identificeres.

3.2. Retten til indsigt efter databeskyttelsesforordningens artikel 15

Det fremgår af databeskyttelsesforordningens artikel 15, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

  1. formålene med behandlingen
  2. de berørte kategorier af personoplysninger
  3. de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationerom muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
  4. retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
  5. retten til at indgive en klage til en tilsynsmyndighed
  6. enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede
  7. forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

Af databeskyttelsesforordningens præambelbetragtning nr. 63 fremgår bl.a. følgende:

”En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed. Dette omfatter registreredes ret til indsigt i deres helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget. […] Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. […]”

Retten til indsigt begrænses imidlertid af forordningens artikel 15, stk. 4, hvorefter retten til at modtage en kopi af de personoplysninger, der behandles, ikke må krænke andres rettigheder og frihedsrettigheder.

Endvidere indeholder databeskyttelseslovens § 22 begrænsninger i retten til indsigt. Retten til indsigt begrænses bl.a. efter lovens § 22, stk. 1, hvorefter retten til indsigt ikke gælder, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

3.3. Praksis fra EU-Domstolen

I de forenede sager C-141/12 og C-372/12 YS og M og S mod Minister voor Immigratie, Integratie en Asiel (herefter Immigratie-sagen) har EU-Domstolen bl.a. udtalt, at en juridisk analyse udarbejdet i et internt administrativt dokument med en sagsbehandlers begrundelse for udkast til afgørelse i forbindelse med en asylansøgers ansøgning om opholdstilladelse ikke er en personoplysning om asylansøgeren. Af dommen fremgår bl.a. følgende:

”40. Som generaladvokaten i det væsentlige har anført i punkt 59 i forslaget til afgørelse, og som den nederlandske, den tjekkiske og den franske regering har anført, udgør en sådan juridisk analyse nemlig ikke en information om ansøgeren om opholdstilladelse, men snarere, for så vidt som den ikke er begrænset til en rent abstrakt fortolkning af retsreglerne, information om den kompetente myndigheds bedømmelse og anvendelse af disse retsregler i forhold til ansøgerens situation, idet denne situation bl.a. er fastlagt ud fra de personoplysninger om ansøgerens person, som myndigheden råder over. […]

44. Hvad angår den registreredes rettigheder som omhandlet i direktiv 95/46 bemærkes, at beskyttelsen af den grundlæggende ret til respekt for privatlivets fred bl.a. indebærer, at den registrerede skal kunne have sikkerhed for, at personoplysningerne om den pågældende er korrekte og behandles lovligt. […]

45. I modsætning til de oplysninger vedrørende en ansøger om opholdstilladelse, der er indeholdt i en redegørelse, og som kan udgøre det faktuelle grundlag for redegørelsens juridiske analyse, kan en sådan analyse – således som den nederlandske og den franske regering har anført – således ikke i sig selv gøres til genstand for ansøgerens kontrol af dens rigtighed og for en berigtigelse i medfør af artikel 12, litra b), i direktiv 95/46.

46. Under disse omstændigheder tjener en udstrækning af retten til indsigt for en ansøger om opholdstilladelse til også at omfatte den juridiske analyse ikke reelt direktivets formål om at sikre beskyttelsen af denne ansøgers ret til privatlivets fred i forbindelse med behandlingen af oplysninger om ansøgeren, men formålet om at sikre den pågældende ret til indsigt i administrative dokumenter, hvilket imidlertid ikke er omhandlet i direktiv 95/46.

47. I en lignende sammenhæng for så vidt angår Unionens institutioners behandling af personoplysninger, som er reguleret ved dels Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og ‑organerne og om fri udveksling af sådanne oplysninger (EFT 2001 L 8, s. 1), dels Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145, s. 43), har Domstolen allerede i præmis 49 i dom Kommissionen mod Bavarian Lager (C-28/08 P, EU:C:2010:378) fastslået, at disse forordninger har forskellige formål, og at forordning nr. 45/2001 i modsætning til forordning nr. 1049/2001 ikke har til formål at sikre gennemsigtighed i de offentlige myndigheders beslutningsproces og at fremme god forvaltningsskik ved at lette udøvelsen af retten til aktindsigt. Denne konstatering gælder også for direktiv 95/46, hvis formål i det væsentlige svarer til formålet med forordning nr. 45/2001.

48. Det følger af alle de ovenstående betragtninger, at det første og det andet spørgsmål i sag C-141/12 og det femte spørgsmål i sag C-372/12 skal besvares med, at artikel 2, litra a), i direktiv 95/46 skal fortolkes således, at de oplysninger vedrørende en ansøger om opholdstilladelse, der er indeholdt i en redegørelse, og de oplysninger om den pågældende, der i givet fald er indeholdt i redegørelsens juridiske analyse, udgør »personoplysninger« som omhandlet i denne bestemmelse, idet den juridiske analyse derimod ikke i sig selv kan kvalificeres på samme måde.” 

I sagen C-434/16 Peter Nowak mod Data Protection Commissioner (herefter Nowak-sagen) har EU-Domstolen endvidere udtalt, at en skriftlig besvarelse, som en deltager har givet i forbindelse med en faglig prøve, og eksaminators eventuelle rettelser og kommentarer til denne besvarelse anses for at være personoplysninger. Af dommen fremgår bl.a. følgende:

”34. Anvendelsen af udtrykket »enhver form for information« i definitionen af begrebet »personoplysninger« i artikel 2, litra a), i direktiv 95/46 afspejler, at EU-lovgiver har villet give dette begreb en bred betydning, idet det ikke er begrænset til følsom eller privat information, men potentielt omfatter enhver form for information, både objektiv og subjektiv i form af meningstilkendegivelser eller bedømmelser, forudsat at informationen er »om« den pågældende person.

35. Hvad angår sidstnævnte betingelse er denne opfyldt, hvis informationen på grund af sit indhold, formål eller virkning er knyttet til en bestemt person. […]

42. Hvad angår eksaminators rettelser og kommentarer til deltagerens besvarelse bemærkes, at disse ligesom besvarelsen, som deltageren har givet i forbindelse med prøven, udgør information om denne deltager.

43. Indholdet af disse rettelser og kommentarer afspejler således eksaminators mening om eller bedømmelse af deltagerens individuelle præstation til prøven og især af hans viden og kompetence på det pågældende område. Rettelserne og kommentarerne har i øvrigt netop til formål at dokumentere eksaminators evaluering af deltagerens præstation og kan således have virkninger for sidstnævnte som anført i nærværende doms præmis 39. […]

46. I modsætning til det, som den tilsynsførende for databeskyttelse og Irland har gjort gældende, påvirkes kvalificeringen af den besvarelse, som deltageren har givet i forbindelse med en faglig prøve, og eksaminators eventuelle rettelser og kommentarer til denne besvarelse som personoplysninger ikke af den omstændighed, at denne kvalificering i princippet giver deltageren ret til indsigt og til berigtigelse i medfør af artikel 12, litra a) og b), i direktiv 95/46.”  

4. Begrundelse for Datatilsynets afgørelse om indsigt i lægekonsulentvurderinger

Efter sagens oplysninger ses der ikke at være enighed mellem parterne om, hvorvidt klager – ud over lægekonsulentvurderingerne – har fået indsigt.

Datatilsynet finder ikke grundlag for at tilsidesætte JØP´s oplysning om, at JØP ikke behandler flere oplysninger om klager end de personoplysninger, der allerede er givet indsigt i, og personoplysninger indeholdt i den i denne sag omhandlede lægekonsulentvurdering.

Datatilsynet bemærker i den forbindelse, at tilsynet alene behandler sager på skriftligt grundlag, og at tilsynet derfor ikke har mulighed for at foretage en egentlig efterforskning af sagen. Den endelige vurdering af sådanne bevismæssige spørgsmål vil kunne foretages af domstolene, som i modsætning til Datatilsynet har mulighed for at belyse forholdet nærmere, herunder ved afhøring af vidner.

4.1. Er der tale om personoplysninger?

Spørgsmålet om, hvorvidt der skal gives indsigt i lægekonsulentvurderingen, beror indledningsvis på, om vurderingen kan anses for at være personoplysninger.

Personoplysninger defineres som enhver form for information om en identificeret eller identificerbar fysisk person. Der er dermed ingen tvivl om, at oplysninger om pensionstager, som fremgår af det bagvedliggende materiale, herunder speciallægeerklæringer, patientjournaler mv., må anses for at være personoplysninger.

Spørgsmålet er herefter, om den lægelige vurdering, der foretages af en lægekonsulent på baggrund af dette materiale, tillige kan anses for at være en personoplysning.

Efter Datatilsynets opfattelse adskiller en lægelig vurdering sig fra en juridisk analyse – som omhandlet i Immigratie-sagen – på flere punkter. For det første adskiller den lægelige vurdering sig fra den juridiske analyse ved, at den lægelige vurdering i det her omhandlede tilfælde vil være baseret på personoplysninger. En juridisk analyse vil derimod ikke på samme måde bero på personoplysninger om en konkret person, men vil derimod tage udgangspunkt i et regelsæt, forarbejder, retspraksis mv. med henblik på at foretage subsumption af sagens faktiske omstændigheder i forhold til det givne retsgrundlag.

Endvidere ses en lægelig vurdering i sig selv at kunne føre til nye personoplysninger. Selve vurderingen af det lægelige materiale indebærer en ny vurdering af personens helbredsforhold og dermed konkrete udtalelser om personens helbredsforhold, hvilket i sig selv må anses for at være personoplysninger. Der henvises i denne forbindelse til Artikel 29-gruppens udtalelse om personoplysninger[3], hvorefter der er tale om oplysninger om en person, når oplysningerne vedrører den pågældende, ligesom det fremgår, at resultaterne af en medicinsk analyse anses for personoplysninger.

Af Artikel 29-gruppens udtalelse fremgår endvidere, at der bl.a. vil være tale om personoplysninger, når der foreligger et ”formålselement”, dvs. når oplysningerne bruges eller kan forventes at blive brugt med det formål at vurdere en person, behandle den pågældende på en bestemt måde eller påvirke den pågældendes status eller adfærd. I tråd med dette fremgår det af EU-Domstolens udtalelse i Nowak-sagen, at en eksaminators rettelser og kommentarer udgør personoplysninger om den, som har skrevet besvarelsen. Indholdet af rettelserne og kommentarerne afspejler eksaminators mening om eller bedømmelse af personens præstation. Rettelserne og kommentarerne har netop til formål at dokumentere eksaminators evaluering af deltagerens præstation. 

Samlet er det Datatilsynets opfattelse, at indholdet af en lægekonsulentvurdering som udgangspunkt må anses for at være en personoplysning i det omfang, der er tale om oplysninger om en identificeret eller identificerbar fysisk person, jf. artikel 4, nr. 1.

Det forhold, at kvalificeringen af indholdet af en lægekonsulentvurdering som en personoplysning medfører, at en sådan udtalelse vil være omfattet af databeskyttelsesforordningen og de rettigheder, der følger heraf, har – som det fremgår af pkt. 46 i Nowak-sagen – ikke i sig selv betydning for kvalificeringen.

4.2. Er oplysningerne omfattet af indsigtsretten?

Det er Datatilsynets opfattelse, at det følger af databeskyttelsesforordningen, at der som altovervejende hovedregel skal gives indsigt i personoplysninger, og at der altid skal foretages en konkret vurdering af, om indsigt kan afslås efter undtagelsesreglerne. JØP kan dermed ikke – som det ses at være sket i det foreliggende tilfælde – generelt afskære bestemte typer af oplysninger fra indsigtsretten.

Når indholdet af lægekonsulentvurderinger kvalificeres som personoplysninger, har klager som udgangspunkt ret til indsigt i personoplysningerne i udtalelserne efter databeskyttelsesforordningens artikel 15.

Datatilsynet henviser herved endvidere til, at det følger af præambelbetragtning nr. 63, at indsigtsretten omfatter ret til indsigt i helbredsoplysninger, f.eks. lægelige vurderinger.

4.2.1. Undtagelse efter databeskyttelsesforordningens artikel 15, stk. 4

Retten til indsigt begrænses bl.a. af databeskyttelsesforordningens artikel 15, stk. 4, hvorefter retten til indsigt ikke må krænke andres rettigheder eller frihedsrettigheder. Andres rettigheder eller frihedsrettigheder kan omfatte bl.a. forretningshemmeligheder.

JØP har ikke nærmere begrundet, hvorfor der er tale om forretningshemmeligheder og dermed oplysninger, der kan undtages fra indsigtsretten efter forordningens artikel 15, stk. 4.

Det er på baggrund af det oplyste Datatilsynets opfattelse, at de personoplysninger, der fremgår af lægekonsulentvurderingen fra JØP´s lægekonsulent, ikke kan anses for at være forretningshemmeligheder, navnlig fordi det ikke er godtgjort, at oplysningerne har en kommerciel værdi eller på anden måde omfatter, hvad der ellers må betragtes som forretningshemmeligheder. Datatilsynet har i den forbindelse endvidere lagt vægt på, at JØP selv har oplyst tilsynet om sin behandling af skadesager mv., herunder til hvilke formål og hvordan der indhentes udtalelser fra lægekonsulenter. Endvidere er der efter det oplyste tale om en fast praksis i hele branchen, hvorfor indsigt i disse udtalelser efter tilsynets opfattelse ikke kan anses for at udgøre en forretningshemmelighed.

På den baggrund finder Datatilsynet, at JØP ikke med henvisning til forordningens artikel 15, stk. 4, kan afslå at give indsigt i personoplysninger om klager, der er indeholdt i lægekonsulentvurderinger.

4.2.2. Undtagelse efter databeskyttelseslovens § 22, stk. 1

Efter databeskyttelseslovens § 22, stk. 1, kan retten til indsigt begrænses, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til pågældende selv.

Efter denne bestemmelse vil JØP efter en konkret vurdering kunne afslå at give indsigt i oplysninger, hvis det vil medføre, at virksomhedens forretningsgrundlag, forretningspraksis eller knowhow derved vil lide væsentlig skade. Det vil endvidere efter en konkret vurdering være muligt at afslå indsigt i interne vurderinger af, hvorvidt virksomheden på basis af foreliggende oplysninger vil indgå et kontraktforhold, ændre et bestående kontraktforhold, stille særlige vilkår for fortsættelse, eventuelt helt opsige et kontraktforhold og lignende tilfælde. På samme måde vil det efter omstændighederne være muligt at afslå indsigt i f.eks. et notat, der vurderer, hvorvidt der er udsigt til, at en bestemt retssag mod en kunde kan vindes, eller et internt notat i en sag, der påpeger mulige tegn på, at en kunde har forsøgt at udøve forsikringssvig over for et forsikringsselskab eller forsøgt at unddrage sig forpligtelsen i medfør af f.eks. en lånekontrakt.[4]

Der skal foreligge ”afgørende hensyn”, hvilket indebærer, at der alene kan ske undtagelse fra indsigtsretten i de tilfælde, hvor der er en nærliggende fare for, at privates interesser vil lide skade af væsentlig betydning.

Det fremgår af Registerudvalgets betænkning nr. 1345/1997 om behandling af personoplysninger, s. 311, at det anerkendes, at private dataansvarlige ligesom offentlige dataansvarlige har behov for i et vist omfang at kunne beskytte interne beslutningsprocesser. Indsigtsretten vil kunne begrænses ud fra virksomhedens afgørende interesse i dels at have frihed til at vurdere indgåelse af blandt andet kontrakter og eksisterende kundeforhold, dels at forhindre konkurrenter i at komme i besiddelse af oplysninger, som har karakter af rent interne vurderinger eller erhvervshemmeligheder. Udvalget fandt således, at der bør være mulighed for at begrænse indsigtsretten, hvis udlevering af oplysninger i den konkrete situation vil indebære en nærliggende risiko for skade. Derimod bør den omstændighed, at der er tale om interne vurderinger mv., ikke i sig selv kunne begrunde et afslag på en anmodning om indsigt.

Det er Datatilsynets opfattelse, at personoplysningerne i lægekonsulentvurderingen som udgangspunkt ikke er interne oplysninger, der kan undtages fra indsigt efter databeskyttelseslovens § 22, stk. 1.

Der lægges herved særlig vægt på, at der ikke ses at være tale om sådanne interne dokumenter, der er omtalt i bemærkningerne til bestemmelsen, hvoraf det fremgår, at der alene kan gøres undtagelse fra indsigtsretten, hvis der er nærliggende fare for, at privates interesser vil lide skade af væsentlig betydning. Konkrete udtalelser om helbredsforhold fra lægekonsulenter ses ikke at kunne have et indhold, som kan medføre en sådan nærliggende fare for, at private interesser vil lide skade af væsentlig betydning.

Det forhold, at udtalelserne vil kunne inddrages i forbindelse med eventuelle klagesager over eller retstvister mod JØP, ses heller ikke at medføre, at personoplysningerne i udtalelserne kan undtages indsigt efter lovens § 22, stk. 1. Der ses således ikke at være tale om notater, hvori det vurderes, om der er udsigt til, at en bestemt retssag mod en kunde kan vindes, ligesom der ikke ses at være tale om et internt notat i en sag, der påpeger mulige tegn på, at en kunde har forsøgt at udøve forsikringssvig over for et forsikringsselskab eller forsøgt at unddrage sig forpligtelsen i medfør af f.eks. en lånekontrakt eller i øvrigt forhold af en sådan lignende karakter. Der er derimod tale om et bidrag til beslutningsgrundlaget for den samlede vurdering og dermed for den afgørelse, som JØP træffer om tilkendelse af invalidepension.

Behovet for fortrolighed for at skabe en friere ramme til at kunne stille spørgsmål til lægekonsulenten og for lægekonsulenten til at udtale sig kan efter Datatilsynets opfattelse ikke i sig selv begrunde, at personoplysningerne i udtalelserne undtages fra indsigt.

Den omstændighed, at JØP betragter lægekonsulentvurderingen som et internt dokument og som en del af JØPs beslutningsgrundlag, der ønskes fortrolighed om, samt at udtalelserne potentielt vil kunne inddrages i eventuelle efterfølgende tvister med pensionstager, ses ikke at kunne være af en sådan afgørende betydning efter databeskyttelseslovens § 22, stk. 1, at den registreredes ret til indsigt – og dermed bl.a. muligheden for at kontrollere personoplysningernes rigtighed – generelt kan tilsidesættes.

Hensynet til den registrerede selv ses endelig ikke at kunne medføre, at vurderingerne generelt kan undtages fra indsigtsretten. Hensynet til, at den registrerede får indsigt i de oplysninger, der behandles om den pågældende, og dermed kendskab til eventuelle misforståelser eller fejlagtige oplysninger, ses som udgangspunkt at veje tungere. 

Det bemærkes, at det er Datatilsynets opfattelse, at undtagelserne til indsigtsretten er meget snævre. Datatilsynet lægger i den forbindelse særlig vægt på, at indsigtsretten giver den registrerede adgang til at kontrollere personoplysningers rigtighed og behandlingens lovlighed, og at dette udgangspunkt kun helt undtagelsesvis kan fraviges.

Det er herefter Datatilsynets opfattelse, at JØP ved behandlingen af spørgsmålet om indsigt i lægekonsulentvurderingen ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 15.

Datatilsynet finder derfor grundlag for at udtale alvorlig kritik af, at JØP ikke har behandlet klagers anmodning om indsigt i overensstemmelse med artikel 15.

Datatilsynet skal herefter meddele JØP påbud om at foretage en konkret vurdering af, hvorvidt der kan gives klager indsigt i personoplysninger om klager, der er indeholdt i lægekonsulentvurderingen. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58 stk. 2, litra c.

Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3]   Artikel 29-gruppens udtalelse nr. 4/2007 om begrebet personoplysninger (WP136) af 20. juni 2007

[4] Lovforslag nr. 68, FT 2017/18, bemærkninger til lovforslagets § 22