Journalnummer: 2019-32-0670
Resume
Datatilsynet har truffet afgørelse i en sag, hvor en borger klagede over DSB’s håndtering af borgerens indsigtsanmodning. Borgeren havde den 29. januar 2019 rettet henvendelse til DSB med en anmodning om indsigt i de personoplysninger, som DSB havde registreret om borgeren.
Den 8. februar 2019 besvarede DSB borgerens anmodning, men DSB udleverede i forbindelse med besvarelsen ikke indholdet af alle de personoplysninger, som DSB behandlede om borgeren.
Først efter at Datatilsynet havde anmodet DSB om en udtalelse i sagen, fik borgeren den 11. april 2019 udleveret indholdet af de resterende personoplysninger.
I forbindelse med sagen indskærpede Datatilsynet over for DSB, at der ikke kan stilles krav om, at en registreret udtrykkeligt skal anmode om at få indsigt i de personoplysninger, som DSB måtte behandle om en registreret i forbindelse med tv-overvågning.
Datatilsynet fandt imidlertid ikke grundlag for at udtale kritik af, at DSB ikke havde givet borgeren indsigt i de personoplysninger, som DSB havde indsamlet ved hjælp af cookies. Datatilsynet lagde vægt på, at der ved den behandling, som fandt sted i forbindelse med anvendelsen af cookies, ikke blev gemt personoplysninger om borgeren på en sådan måde, at DSB herudfra ville være i stand til at identificere borgeren uden yderligere oplysninger.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor XX den 3. marts 2019 har klaget til tilsynet over DSB’s håndtering af X’s anmodning om indsigt efter databeskyttelsesforordningen.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at DSB ikke har iagttaget databeskyttelsesforordningens0F0F[1] artikel 15, stk. 3, og artikel 12, stk. 2 og 3.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at klager den 29. januar 2019 rettede henvendelse til DSB ved at udfylde en formular, hvori klager anmodede DSB om indsigt i de oplysninger, som DSB havde registreret om X efter databeskyttelsesforordningen.
Den 8. februar 2019 besvarede DSB klagers indsigtsanmodning på følgende måde:
”Vi behandler følgende personoplysninger om dig:
Navn: XX
Adresse: XX
E-mailadresse: XX
Telefonnummer: XX
Cpr-nummer: XX
Stamnummer
Device-id
Uddannelsessted
Start og sluttidspunkt for uddannelse
Godkendelse af ungdomskort fra Styrelsen for Videregående Uddannelse
Foto
Debitornummer”
I samme e-mail oplyste DSB klager om, at DSB behandler oplysningerne med det formål at administrere klagers billetkøb og kundeforhold.
DSB oplyste endvidere, at oplysningerne behandles på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra b, at klagers personoplysninger videregives til Cellpoint Mobile ApS, og at DSB benytter leverandører, som overfører data til tredjelande.
I indsigtsbesvarelsen oplyste DSB desuden, at klagers oplysninger opbevares i henhold til bogføringsloven i løbende år plus 5 år fra et køb er foretaget, ligesom DSB gav oplysninger om klagers rettigheder efter databeskyttelsesforordningen.
Den 3. marts 2019 klagede klager til Datatilsynet over, at DSB havde undladt at udlevere en kopi af de personoplysninger, som DSB behandler om klager, herunder stamkortnummer, device-id, uddannelsessted og foto samt oplysninger om, at DSB indsamler personoplysninger ved hjælp af cookies.
Den 26. marts 2019 anmodede Datatilsynet DSB om en udtalelse til brug for sagens behandling, og tilsynet bad i den forbindelse DSB oplyse, om DSB i lyset af klagen agtede at give klager yderligere indsigt efter databeskyttelsesforordningens artikel 15.
I forlængelse af Datatilsynets høringsbrev beklagede DSB den 11. april 2019 over for klager, at DSB i forbindelse med besvarelsen af 8. februar 2019 ikke havde udleveret en kopi af de personoplysninger, som DSB havde oplyst at behandle om X. DSB fremsendte sammen med brevet af 11. april 2019 en kopi af de pågældende oplysninger.
DSB oplyste samtidig med henvisning til databeskyttelsesforordningens artikel 11, at DSB ikke på det foreliggende grundlag havde mulighed for at imødekomme klagers anmodning om indsigt i de oplysninger, som behandles om X i forbindelse med anvendelsen af cookies. DSB henviste til, at der ved den behandling, som finder sted i forbindelse med anvendelsen af cookies, ikke gemmes personoplysninger om klager på en sådan måde, at DSB herudfra ville være i stand til at identificere X. DSB anmodede derfor klager om at afgive yderligere nødvendige oplysninger med henblik på, at DSB kunne identificere X.
Den 21. april 2019 gjorde klager gældende, at X fortsat ikke havde fået fuld indsigt i de oplysninger, som DSB behandler om X. Klager oplyste, at X manglede at få udleveret en kopi af to henvendelser, som X havde sendt til DSB’s kundecenter henholdsvis den 30. november 2018 og den 17. januar 2019, og af videooptagelser af X på perroner og i S-tog.
Den 9. juli 2019 meddelte DSB, at DSB anså det for unødigt at udlevere en kopi af klagers henvendelser af 30. november 2018 og 17. januar 2019. DSB meddelte endvidere, at fordi klager i sin indsigtsanmodning af 29. januar 2019 ikke havde anført, at X anmodede om oplysninger i videoovervågning af X, var optagelserne af X ikke blevet sikret, da optagelser maksimalt gemmes i 30 dage og derfor var blevet slettet.
2.1. Klagers bemærkninger
Klager har anført, at DSB både i forbindelse med besvarelsen af 8. februar 2019 og den efterfølgende besvarelse af 11. april 2019 undlod at udlevere kopi af flere af de personoplysninger, som DSB behandler om X.
Klager har endvidere anført, at DSB undlod at give en række supplerende oplysninger efter databeskyttelsesforordningens artikel 15, stk. 1, 2. pkt., i forbindelse med besvarelse af X’s indsigtsanmodning.
Klager har videre anført, at DSB skulle have givet X indsigt i alle oplysninger om X, til trods for at DSB fandt det unødigt, og at DSB under alle omstændigheder skulle have gjort X opmærksom på, at oplysningerne fandtes.
Klager har endelig anført, at klagers oprindelige indsigtsanmodning af 29. januar 2019 var utvetydig og tydelig, idet X i denne anførte, at X ønskede indsigt i samtlige oplysninger, der var registreret om X, og at videooptagelser er omfattet af retten til indsigt, hvorfor en anmodning herom ikke skulle være fremsat særskilt.
2.2. DSB’s bemærkninger
DSB har beklaget, at DSB i den oprindelige indsigtsrapport af 8. februar 2019 ikke udleverede en kopi af de oplysninger, som DSB behandler om klager. DSB har oplyst, at DSB den 11. april 2019 fremsendte en indsigtsrapport til klager med kopi af de oplysninger, der behandles om klager, herunder stamkortnummer, device-id, uddannelsessted og foto af klager.
DSB har videre anført, at DSB på det foreliggende grundlag ikke har mulighed for at imødekomme klagers anmodning om indsigt i de oplysninger, der eventuelt behandles om klager i forbindelse med DSB’s brug af cookies. DSB har anført, at den behandling, der finder sted i forbindelse med anvendelsen af cookies, ikke er sket på en sådan måde, at der er gemt personoplysninger om klager, hvorfra DSB vil kunne identificere klager.
DSB har på den baggrund anført, at DSB ikke havde mulighed for – og ikke var forpligtet til – at give klager indsigt i oplysninger indsamlet ved hjælp af cookies, jf. databeskyttelsesforordningens artikel 11, stk. 2. DSB har i den forbindelse peget på, at klager – da X blev anmodet herom af DSB – skulle have oplyst DSB om, hvorvidt klager i sin browser var i besiddelse af et ”content” fra en cookie med navnet ”CookieInformationConsent”, hvilket ville have gjort DSB i stand til at kunne undersøge, hvilke informationer der var blevet opsamlet via cookies.
DSB har videre anført, at såfremt klager ikke er i besiddelse af denne cookie i sin browser, behandler DSB ikke personoplysninger om klager på baggrund af opsamling af cookies.
DSB har anført, at klagers indsigtsanmodning er blevet besvaret, idet de personoplysninger, som indgik i klagers henvendelser af henholdsvis 30. november 2018 og 17. januar 2019 til DSB’s kundecenter var indeholdt i DSB’s breve af 8. februar og 11. april 2019. DSB har anført, at det efter DSB’s opfattelse derfor var unødigt også at sende en kopi af klagers henvendelser til DSB’s kundecenter.
DSB har videre anført, at det ikke fremgik af klagers indsigtsanmodning af 29. januar 2019, at X søgte indsigt i videooptagelser, hvorfor DSB ikke sikrede disse optagelser, og optagelserne blev derfor slettet efter 30 dage.
3. Begrundelse for Datatilsynets afgørelse
3.1.
Datatilsynet finder, at DSB ikke i tilstrækkelig grad har iagttaget reglerne om indsigtsret efter databeskyttelsesforordningens artikel 15.
Datatilsynet har herved lagt vægt på, at DSB i forbindelse med besvarelsen af klagers indsigtsanmodning af 29. januar 2019 ikke udleverede indholdet af alle de personoplysninger, som DSB behandlede om X, f.eks. i form af en kopi, jf. databeskyttelsesforordningens artikel 15, stk. 3.
3.2.
Datatilsynet finder, at DSB ikke har håndteret klagers indsigtsanmodning i overensstemmelse med databeskyttelsesforordningens artikel 12, stk. 2.
Efter databeskyttelsesforordningens artikel 12, stk. 2, skal en dataansvarlig lette udøvelsen af de registreredes rettigheder i henhold til bl.a. artikel 15 om indsigt.
På baggrund af sagens oplysninger lægger Datatilsynet til grund, at DSB på tidspunktet for klagers indsigtsanmodning var i besiddelse af en række videooptagelser af klager.
Det fremgår af sagen, at klagers anmodning af 29. januar 2019 var formuleret som en anmodning om ”indsigt i alt, hvad I har registreret om mig”. DSB har gjort gældende, at DSB ikke tog stilling til, om klager kunne meddeles indsigt i videooptagelserne, fordi X i sin indsigtsanmodning af 29. januar 2019 ikke udtrykkeligt havde anført, at X’s anmodning om indsigt også omfattede eventuelle personoplysninger om X indeholdt i DSB’s tv-overvågningsoptagelser.
Datatilsynet skal indskærpe over for DSB, at der ikke kan stilles krav om, at en registreret udtrykkeligt skal anmode om at få indsigt i de personoplysninger, som DSB måtte behandle om en registreret i forbindelse med tv-overvågning.
Hvis en dataansvarlig er i tvivl om omfanget af en indsigtsanmodning, eller hvis der foreligger en betydelig mængde oplysninger, vil den dataansvarlige være berettiget til at anmode den person, som ønsker at få indsigt, om at fremkomme med yderligere oplysninger. Hvis en person f.eks. anmoder om indsigt i tv-overvågningsoptagelser, kan sådanne yderligere oplysninger bl.a. være tid, sted og eventuelt et billede af den pågældende, så det er muligt for den dataansvarlige at identificere personen på tv-overvågningsoptagelserne.
Hvis den registrerede ikke ønsker at fremkomme med yderligere oplysninger eller at præcisere sin indsigtsanmodning, skal den dataansvarlige fortsat besvare anmodningen i det omfang, det kan lade sig gøre. Datatilsynet kan henvise til tilsynets vejledning om de registreredes rettigheder afsnit 4.
Efter en gennemgang af sagen finder Datatilsynet, at DSB’s håndtering af klagers indsigtsanmodning ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 12, stk. 2. Datatilsynet har herved lagt vægt på, at DSB ikke i tilstrækkelig grad har givet klager mulighed for at udøve sine rettigheder.
3.3.
Datatilsynet finder endvidere, at DSB’s håndtering af indsigtsanmodningen ikke er sket i overensstemmelse med forordningens artikel 12, stk. 3.
Efter databeskyttelsesforordningens artikel 12, stk. 3, skal den dataansvarlige uden unødig forsinkelse og senest en måned efter modtagelsen af en anmodning om bl.a. indsigt, oplyse den registrerede om de foranstaltninger, der træffes på baggrund af anmodningen i henhold til artikel 15. Denne periode kan forlænges med yderligere to måneder, hvis det er nødvendigt under hensyntagen til anmodningens kompleksitet og antal.
Datatilsynet har lagt vægt på, at anmodningen i form af udleveringen af indholdet af oplysningerne blev besvaret senere end en måned efter, at anmodningen var fremsat.
3.4.
Datatilsynet finder ikke grundlag for at udtale kritik af, at DSB med henvisning til databeskyttelsesforordningens artikel 11, stk. 1 og stk. 2, ikke har givet indsigt i de personoplysninger, som DSB eventuelt har indsamlet ved hjælp af cookies.
Det følger af forordningens artikel 11, stk. 1, at hvis formålene med en dataansvarligs behandling af personoplysninger ikke kræver eller ikke længere kræver, at den registrerede kan identificeres af den dataansvarlige, er den dataansvarlige ikke forpligtet til at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde forordningen.
Efter forordningens artikel 11, stk. 2, følger det, at hvis den dataansvarlige i tilfælde, der er omhandlet af bestemmelsens stk. 1, kan påvise, at vedkommende ikke kan identificere den registrerede, underretter den dataansvarlige den registrerede herom, hvis det er muligt.
Datatilsynet har lagt vægt på det af DSB anførte om, at de formål, som DSB anvender cookies til, ikke kræver, at DSB konkret kan identificere klager, og at DSB ikke er i besiddelse af oplysninger, der kan koble klager sammen med de oplysninger, som behandles ved hjælp af cookies.
Datatilsynet har endvidere lagt vægt på, at DSB i overensstemmelse med databeskyttelsesforordningens artikel 11, stk. 2, har underrettet klager om, at DSB ikke kan identificere, hvilke eventuelle personoplysninger DSB måtte behandle om klager, som er indsamlet ved hjælp af cookies, uden klager afgiver yderligere oplysninger til DSB.
Datatilsynet er ikke bekendt med, om klager efterfølgende har besvaret DSB’s anmodning om at få oplyst, hvorvidt klager er besiddelse af pågældende cookie, men det lægges til grund, at DSB ikke uden oplysningerne fra klager har mulighed for at identificere klager og dermed overholde reglerne om indsigt i de oplysninger, som eventuelt indsamles ved hjælp af cookies, jf. forordningens artikel 15, jf. artikel 11, stk. 2, 2. pkt.
3.5.
På baggrund af ovenstående udtaler Datatilsynet alvorlig kritik af, at DSB’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 15, stk. 3, og artikel 12, stk. 2 og 3.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).