Journalnummer: 2019-421-0027
Resume
Datatilsynet har i 2019 foretaget et planlagt tilsyn hos Civilstyrelsen. Tilsynet fokuserede på myndighedens overholdelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens artikel 15 og artikel 12.
Datatilsynet har i anledning af tilsynet udtalt kritik af, at Civilstyrelsens behandling af personoplysninger ikke var sket i overensstemmelse med forordningens artikel 15, stk. 1, litra b og g, artikel 12, stk. 3, og artikel 15, stk. 3.
Af Datatilsynets afsluttende udtalelse fremgår bl.a., at Civilstyrelsen i to tilfælde ikke har givet den registrerede information om de berørte kategorier af personoplysninger og hvorfra oplysningerne stammer fra.
Herudover fremgår det, at Civilstyrelsen i ét tilfælde ikke har besvaret en anmodning om indsigt inden for en måned efter modtagelsen af anmodningen, og at Civilstyrelsen i ét tilfælde ikke har givet den registrerede en kopi af de oplysninger, der behandles.
Du kan læse Datatilsynets vejledning om registreredes rettigheder her.
Afgørelse
Civilstyrelsen var blandt de offentlige myndigheder, som Datatilsynet havde udvalgt til tilsyn i foråret 2019. Datatilsynets planlagte tilsyn med Civilstyrelsen fokuserede navnlig på myndighedens overholdelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens[1] artikel 15 og artikel 12.
Efter anmodning fra Datatilsynet havde Civilstyrelsen inden tilsynsbesøget udfyldt et spørgeskema og indsendt dette sammen med yderligere materiale til tilsynet. Selve tilsynsbesøget fandt sted den 21. maj 2019.
1. Afgørelse
Efter tilsynet med Civilstyrelsen finder Datatilsynet anledning til sammenfattende at konkludere:
- At Civilstyrelsen ikke har udarbejdet retningslinjer, procedurer m.v. for myndighedens efterlevelse af databeskyttelsesforordningens regler om indsigt.
- At Civilstyrelsen har udarbejdet en skabelon, der kan medvirke til at sikre og lette myndighedens medarbejderes efterlevelse af databeskyttelsesforordningens artikel 15.
- At Civilstyrelsen har modtaget og besvaret 11 anmodninger om indsigt i perioden 25. maj 2018 til tidspunktet for varslingen af dette tilsyn.
- At Civilstyrelsen i to tilfælde ikke har givet den registrerede information om de berørte kategorier af personoplysninger og hvorfra oplysningerne stammer, jf. databeskyttelsesforordningens artikel 15, stk. 1, litra b og g.
- At Civilstyrelsen i ét tilfælde ikke har iagttaget databeskyttelsesforordningens artikel 12, stk. 3
- At Civilstyrelsen i ét tilfælde ikke har givet den registrerede en kopi af de personoplysninger, der behandles, jf. databeskyttelsesforordningens artikel 15, stk. 3
Datatilsynet finder i forhold til punkt 4 anledning til at udtale kritik af, at Civilstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 15, stk. 1, litra b og g.
Herudover finder Datatilsynet også i forhold til punkt 5-6 anledning til at udtale kritik af, at Civilstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 12, stk. 3, og artikel 15, stk. 3.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet og en begrundelse for Datatilsynets afgørelse.
2. Civilstyrelsens retningslinjer og procedurer
Civilstyrelsen har forud for tilsynsbesøget oplyst, at myndigheden ikke har fastsat retningslinjer, procedurer m.v. for myndighedens efterlevelse af databeskyttelsesforordningens regler om indsigt. Civilstyrelsen har i stedet anvendt myndighedens fælles procedure for behandling af aktindsigtsanmodninger sammenholdt med Datatilsynets vejledning om de registreredes rettigheder. Civilstyrelsen har endvidere oplyst, at myndigheden er ved at udarbejde en intern vejledning om behandling af indsigtsanmodninger efter databeskyttelsesforordningen.
Adspurgt herom oplyste Civilstyrelsen på tilsynsbesøget, at myndighedens behandling af indsigtsanmodninger efter databeskyttelsesforordningen er faldet i naturlig tråd med myndighedens behandling af aktindsigtsanmodninger efter forvaltningsloven og/eller offentlighedsloven. Når Civilstyrelsen modtager anmodninger om indsigt efter forordningens regler, følger styrelsen således den samme procedure, som når de modtager anmodninger om aktindsigt, herunder også i forhold til frister for besvarelse.
I forlængelse heraf oplyste Civilstyrelsen, at henvendelser fra borgere typisk ikke er specifikke i forhold til, hvilket regelsæt de ønsker indsigt efter, og at Civilstyrelsen typisk har vurderet, at det vil være mest gunstigt for den registrerede at behandle anmodningen efter offentlighedslovens eller forvaltningslovens regler om aktindsigt, men at myndigheden samtidig behandler henvendelsen som en anmodning om indsigt efter forordningens artikel 15.
Datatilsynet spurgte på tilsynsbesøget ind til, hvorfor Civilstyrelsen ikke tidligere har haft udarbejdet en intern vejledning om håndtering af indsigtsanmodninger efter databeskyttelsesforordningen.
Civilstyrelsen oplyste hertil, at myndigheden har prioriteret andre områder inden for databeskyttelse højere, og at Civilstyrelsen har vurderet, at det til en start er tilstrækkeligt at følge proceduren for behandling af aktindsigtsanmodninger sammenholdt med Datatilsynets vejledning om registreredes rettigheder.
Adspurgt oplyste Civilstyrelsen endvidere, at medarbejderne ikke har modtaget undervisning omkring databeskyttelsesforordningens regler om indsigt, men at medarbejderne besidder viden omkring håndtering af aktindsigtsanmodninger efter offentlighedsloven og forvaltningsloven, ligesom medarbejderne er bekendt med, at de skal inddrage en bestemt medarbejder i forbindelse med behandlingen af både anmodninger om indsigt og aktindsigt.
Datatilsynet skal anbefale, at Civilstyrelsen – hvis myndigheden ikke allerede har gjort det – får udarbejdet retningslinjer, procedurer m.v. for myndighedens efterlevelse af forordningens artikel 15 med henblik på at sikre, at myndighedens medarbejdere er klar over, hvordan indsigtsretten skal håndteres i praksis. Datatilsynet skal samtidig anbefale, at retningslinjerne, procedurerne m.v. indeholder information om databeskyttelsesforordningens 12, herunder bl.a. information om tidsfrister for besvarelse af anmodninger, jf. artikel 12, stk. 3, og sikring af den registreredes identitet, jf. forordningens artikel 12, stk. 6.
3. Civilstyrelsens skabeloner
Civilstyrelsen har forud for tilsynsbesøget oplyst, at myndigheden har udarbejdet en skabelon til besvarelse af indsigtsanmodninger, der kan sikre og lette myndighedens medarbejderes efterlevelse af databeskyttelsesforordningens artikel 15. Civilstyrelsen har i den forbindelse fremsendt en kopi af skabelonen til Datatilsynet.
Datatilsynet har ingen bemærkninger til Civilstyrelsens skabelon for besvarelse af indsigtsanmodninger, idet skabelonen indeholder de i forordningens artikel 15 angivne informationer.
4. Civilstyrelsens håndtering af anmodninger om indsigt
4.1. Civilstyrelsen har over for Datatilsynet oplyst, at myndigheden har modtaget og besvaret 11 indsigtsanmodninger i perioden fra den 25. maj 2018 til den 16. april 2019. Civilstyrelsen har fremsendt en kopi af besvarelserne til Datatilsynet forud for tilsynsbesøget.
Som anført ovenfor oplyste Civilstyrelsen på tilsynsbesøget, at myndigheden typisk har vurderet, at det vil være mest gunstigt for den registrerede at behandle anmodningen efter offentlighedslovens eller forvaltningslovens regler om aktindsigt, men at myndigheden samtidig behandler henvendelsen som en anmodning om indsigt efter forordningens artikel 15.
Datatilsynet fører ikke tilsyn med offentlige myndigheders overholdelse af reglerne om aktindsigt i henholdsvis offentlighedsloven og forvaltningsloven. Datatilsynet har således ved dette tilsyn alene vurderet, om Civilstyrelsens besvarelser overholder databeskyttelsesforordningens regler om indsigt.
4.2. Civilstyrelsen modtog den 15. august 2018 en anmodning om indsigt, som myndigheden besvarede den 22. august 2018. Det fremgår af besvarelsen, at Civilstyrelsen har behandlet henvendelsen både som en anmodning om aktindsigt efter forvaltningsloven og som en anmodning om indsigt efter databeskyttelsesforordningen.
En gennemgang af denne besvarelse viser, at Civilstyrelsen ikke har givet den registrerede alle de informationer, som følger af forordningens artikel 15, herunder information om de berørte kategorier af personoplysninger og hvorfra oplysningerne stammer, jf. databeskyttelsesforordningens artikel 15, stk. 1, litra c og g. Civilstyrelsen har over for Datatilsynet oplyst, at myndigheden ved en fejl vedlagde en underretning om behandling af personoplysninger i henhold til forordningens artikel 13 i stedet for den information, som følger af forordningens artikel 15. Det er således Datatilsynets vurdering, at Civilstyrelsens behandling af personoplysninger i dette tilfælde ikke har været i overensstemmelse med databeskyttelsesforordningens artikel 15, stk. 1, litra b og g.
4.3. Civilstyrelsen modtog den 29. november 2018 en anmodning om indsigt, som myndigheden besvarede ad flere omgange.
Civilstyrelsen anmodede telefonisk den 30. november 2018 den registrerede om at præcisere sin anmodning. Den registrerede oplyste i den forbindelse, at vedkommende ønskede både aktindsigt og indsigt efter databeskyttelsesforordningen i alle sager og oplysninger, som Civilstyrelsen var i besiddelse af og havde registreret.
Den første delbesvarelse blev sendt til den registrerede den 2. december 2018 og vedrørte indsigt i sager i Indsamlingsnævnet. Ved denne besvarelse har Civilstyrelsen vedlagt en underretning om behandling af personoplysninger i henhold til forordningens artikel 13 i stedet for den information, som følger af forordningens artikel 15, hvilket har betydet, at den registrerede ikke har fået information om de berørte kategorier af personoplysninger og hvorfra oplysningerne stammer, jf. databeskyttelsesforordningens artikel 15, stk. 1, litra c og g, i forhold til sagerne i Indsamlingsnævnet.
For så vidt angår sager i Fri Proceskontoret anmodede Civilstyrelsen den 4. december 2018 den registrerede om at præcisere anmodningen om aktindsigt og indsigt ud fra en vedlagt oversigt over de 32 omfattede sager i Fri Proceskontoret. Civilstyrelsen orienterede i den forbindelse den registrerede om, at behandlingen af anmodningen ville tage i omegnen af 7-10 arbejdsdage, idet anmodningen omfattede omkring 7.000 sider, hvoraf omkring 4.000 sider ville skulle behandles efter reglerne om aktindsigt i offentlighedsloven. Civilstyrelsen oplyste endvidere den registrerede om, at vedkommende måtte forvente, at behandlingen af anmodningen om aktindsigt (i forhold til sager, hvor vedkommende ikke var part) ville nødvendiggøre et uforholdsmæssigt ressourceforbrug i henhold til offentlighedslovens § 9, stk. 1, nr. 1, hvis anmodningen ikke blev præciseret.
Da den registrerede ikke vendte tilbage med en præcisering, besvarede Civilstyrelsen aktindsigtsanmodningen den 21. december 2019. Civilstyrelsen bad igen den registrerede om at præcisere sin indsigtsanmodning efter databeskyttelsesforordningen.
Civilstyrelsen modtog ikke en præcisering fra den registrerede. Civilstyrelsen lagde herefter til grund, at den registrerede ikke ønskede at præcisere sin anmodning om indsigt efter forordningen og besvarede således anmodningen den 22. januar 2019, dvs. 1 måned og 24 dage efter modtagelsen af anmodningen.
Det fremgår af denne besvarelse, at det er Civilstyrelsens opfattelse, at den registrerede har fået indsigt i den væsentligste del af de oplysninger, der er registreret om vedkommende i forbindelse med myndighedens besvarelse af aktindsigtsanmodningen den 21. december 2019.
Herudover fremgår det, at Civilstyrelsen – ud over det som er blevet udleveret i forbindelse med aktindsigtsbesvarelsen – har identificeret oplysninger om den registrerede i en række øvrige sager.
Endelig fremgår det, at Civilstyrelsen ikke har medsendt en kopi af de omhandlede oplysninger henset til oplysningernes karakter og antallet af forekomster.
Adspurgt herom på tilsynsbesøget oplyste Civilstyrelsen, at den registrerede i forbindelse med besvarelsen af aktindsigtsanmodningen den 21. december 2019 har fået udleveret omkring 2.000 ud af de ca. 7.000 sider, som anmodningen omfattede. Civilstyrelsen vurderede på den baggrund, at det ikke var formålstjenstligt at udlevere en kopi af alle dokumenterne henset til oplysningernes karakter og antallet af forekomster. Dokumenterne indeholdt alene navn og kontaktoplysninger på den registrerede samt oplysninger, der kunne henføres til dennes selskaber. Herudover var der dubletter af akter i forbindelse med den registreredes klage til Procesbevillingsnævnet.
Civilstyrelsen oplyste endvidere, at myndigheden ikke kunne være helt sikker på, om der kunne være personoplysninger, som den registrerede ikke havde fået udleveret, men at den registrerede var bekendt med de oplysninger, som Civilstyrelsen behandler om vedkommende, idet den registrerede hovedsageligt selv havde sendt oplysningerne ind til myndigheden.
Datatilsynet lægger i forhold til anmodningen af den 29. november 2018 til grund, at de oplysninger, som den registrerede blev givet i forbindelse med Indsamlingsnævnets delbesvarelse den 2. december 2018, alene knytter sig til sager i Indsamlingsnævnet, og at den registrerede ved den efterfølgende besvarelse vedrørende sager i Fri Proceskontoret ikke har fået den manglende information om de om berørte kategorier af personoplysninger og hvorfra oplysningerne stammer i forhold til sager i Indsamlingsnævnet.
Det er på den baggrund Datatilsynets vurdering, at Civilstyrelsens behandling af personoplysninger i dette tilfælde ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 15, stk. 1, litra b og g.
Det fremgår af sagen, at Civilstyrelsen telefonisk den 30. november 2018 anmodede den registrerede om at præcisere sin anmodning, og at den registrerede oplyste, at vedkommende ønskede både aktindsigt og indsigt efter databeskyttelsesforordningen i alle sager og oplysninger, som Civilstyrelsen var i besiddelse af og havde registreret.
Civilstyrelsen bad henholdsvis den 4. og 21. december 2018 igen den registrerede om at præcisere sin anmodning med henvisning til det omfattende materiale, som anmodningen vedrørte.
Det følger af databeskyttelsesforordningens artikel 12, stk. 2, at den dataansvarlige skal lette udøvelsen af den registreredes rettigheder i henhold til bl.a. artikel 15 om indsigt.
Henset til at anmodninger om indsigt skal besvares uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen, jf. forordningens artikel 12, stk. 3, er det Datatilsynets vurdering, at der i alle tilfælde bør foretages en konkret vurdering af, om der er behov for præcisering af en anmodning om indsigt. En anmodning om indsigt kan efter Datatilsynets opfattelse ikke siges at være blevet besvaret uden unødig forsinkelse, hvis den dataansvarlige i tilfælde, hvor en anmodning er tilstrækkelig tydelig, afventer en præcisering fra den registrerede.
Det er Datatilsynets vurdering, at Civilstyrelsen – på baggrund af samtalen med den registrerede den 30. november 2018 – kunne lægge til grund, at den registrerede ønskede indsigt i samtlige oplysninger, som myndigheden måtte have registreret om vedkommende, og at der således ikke var behov for, at Civilstyrelsen igen anmodede den registrerede om at præcisere sin anmodning yderligere for at kunne besvare indsigtsanmodningen.
Den dataansvarlige kan efter forordningens artikel 12, stk. 3, forlænge besvarelsen af en indsigtsanmodning med to måneder, hvis det er nødvendigt under hensyntagen til anmodningens kompleksitet og antal. Den dataansvarlige skal i så fald underrette den registrerede om en sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen.
Datatilsynet er opmærksom på, at sagens omstændigheder indikerer, at Civilstyrelsen ville have haft mulighed for at forlænge besvarelsen af den konkrete indsigtsanmodning under henvisning til anmodningens kompleksitet og antal efter forordningens artikel 12, stk. 3. Civilstyrelsen har imidlertid ikke påberåbt sig denne mulighed eller i øvrigt begrundet forsinkelsen over for den registrerede. På den baggrund er det Datatilsynets vurdering, at Civilstyrelsen – ved i ikke at have foretaget en konkret vurdering af, om der i dette tilfælde var behov for en præcisering af anmodningen – ikke har iagttaget tidsfristerne i forordningens artikel 12, stk. 3.
Det fremgår desuden af sagen, at Civilstyrelsen – ved besvarelsen af anmodningen om indsigt i sager i Fri Proceskontoret den 22. januar 2019 – ikke har givet den registrerede en kopi af de oplysninger, som myndigheden behandler om vedkommende. Som begrundelse herfor har Civilstyrelsen anført, at det ikke var formålstjenstligt at udlevere en kopi af alle dokumenterne henset til oplysningernes karakter og antallet af forekomster, og at den registrerede havde fået indsigt i den væsentligste del af de oplysninger, der var registreret om vedkommende i forbindelse med myndighedens besvarelse af aktindsigtsanmodningen den 21. december 2018. Herudover har Civilstyrelsen anført, at den registrerede i øvrigt måtte antages at være bekendt med de oplysninger, som Civilstyrelsen behandler om vedkommende, idet vedkommende hovedsageligt selv havde sendt oplysningerne ind til myndigheden.
Det følger af forordningens artikel 15, stk. 3, at den dataansvarlige skal udlevere en kopi af de personoplysninger, der behandles.
Formålet med indsigtsretten er at give den registrerede mulighed for at se, hvilke personoplysninger den dataansvarlige behandler om den pågældende og at skabe mere gennemsigtighed omkring, hvordan den dataansvarlige behandler dem. På den baggrund kan den registrerede kontrollere, at personoplysninger om den pågældende er korrekte og i øvrigt behandles lovligt.
Retten til indsigt begrænses imidlertid af forordningens artikel 15, stk. 4, hvorefter retten til at modtage en kopi af de personoplysninger, der behandles, ikke må krænke andres rettigheder og frihedsrettigheder.
Endvidere indeholder databeskyttelseslovens[2] § 22 en række begrænsninger i retten til indsigt.
Det er Datatilsynets opfattelse, at det følger af databeskyttelsesforordningen, at der som altovervejende hovedregel skal gives indsigt i personoplysninger, og at der altid skal foretages en konkret vurdering af, om indsigt kan afslås efter undtagelsesreglerne.
Det er i det konkrete tilfælde Datatilsynets vurdering, at Civilstyrelsen ikke med rette har nægtet at udlevere en kopi af de oplysninger, som myndigheden behandlede om den registrerede med den ovenfor nævnte begrundelse, idet begrundelsen efter tilsynets opfattelse ikke falder ind under en af undtagelsesreglerne i henholdsvis databeskyttelsesforordningen og databeskyttelsesloven.
Det er på den baggrund Datatilsynets vurdering, at Civilstyrelsen – ved ikke at have udleveret en kopi af oplysningerne til den registrerede – ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 15, stk. 3.
5. Konklusion
Efter tilsynet med Civilstyrelsen finder Datatilsynet anledning til sammenfattende at konkludere:
- At Civilstyrelsen ikke har udarbejdet retningslinjer, procedurer m.v. for myndighedens efterlevelse af databeskyttelsesforordningens regler om indsigt.
- At Civilstyrelsen har udarbejdet en skabelon, der kan medvirke til at sikre og lette myndighedens medarbejderes efterlevelse af databeskyttelsesforordningens artikel 15.
- At Civilstyrelsen har modtaget og besvaret 11 anmodninger om indsigt i perioden 25. maj 2018 til tidspunktet for varslingen af dette tilsyn.
- At Civilstyrelsen i to tilfælde ikke har givet den registrerede information om de berørte kategorier af personoplysninger og hvorfra oplysningerne stammer, jf. databeskyttelsesforordningens artikel 15, stk. 1, litra b og g.
- At Civilstyrelsen i ét tilfælde ikke har iagttaget databeskyttelsesforordningens artikel 12, stk. 3.
- At Civilstyrelsen i ét tilfælde ikke har givet den registrerede en kopi af de personoplysninger, der behandles, jf. databeskyttelsesforordningens artikel 15, stk. 3.
Datatilsynet finder i forhold til punkt 4 anledning til at udtale kritik af, at Civilstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 15, stk. 1, litra b og g.
Herudover finder Datatilsynet også i forhold til punkt 5-6 anledning til at udtale kritik af, at Civilstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 12, stk. 3, og artikel 15, stk. 3.
Datatilsynet anser herefter tilsynet for afsluttet og foretager sig ikke yderligere i den anledning.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).