Journalnummer: 2019-41-0032
Resume
Datatilsynet har i 2019 foretaget et planlagt tilsyn hos Nemlig.com A/S. Tilsynet fokuserede på virksomhedens overholdelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens artikel 15 og artikel 12.
Datatilsynet har i anledning af tilsynet udtalt kritik af, at Nemlig.com A/S’ behandling af personoplysninger ikke var sket i overensstemmelse med forordningens artikel 15 og artikel 12, stk. 3.
Af Datatilsynets afsluttende udtalelse fremgår bl.a., at Nemlig.com A/S i perioden fra den 25. maj 2018 til tidspunktet for varslingen af tilsynet har besvaret to indsigtsanmodninger, og at virksomheden i begge tilfælde ikke har givet den registrerede indsigt i de oplysninger, som virksomheden har indsamlet om vedkommendes adfærd på virksomhedens hjemmeside og/eller app, ligesom de to indsigtsanmodninger ikke var blevet besvaret inden for en måned efter modtagelsen af anmodningen.
Herudover fremgår det af udtalelsen, at det er Datatilsynets vurdering, at en procedure, hvor Nemlig.com A/S beder en registreret om at møde fysisk op hos Nemlig.com A/S med henblik på at få verificeret dennes identitet, ikke vil være i overensstemmelse med forordningens artikel 12, stk. 2.
Du kan læse Datatilsynets vejledning om registreredes rettigheder her.
Afgørelse
Nemlig.com A/S var blandt de virksomheder, som Datatilsynet havde udvalgt til tilsyn i foråret 2019. Datatilsynets planlagte tilsyn med Nemlig.com A/S fokuserede navnlig på virksomhedens overholdelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens[1] artikel 15 og artikel 12.
Efter anmodning fra Datatilsynet havde Nemlig.com A/S inden tilsynsbesøget udfyldt et spørgeskema og indsendt dette sammen med yderligere materiale til tilsynet. Selve tilsynsbesøget fandt sted den 16. maj 2019.
1. Afgørelse
Efter tilsynet med Nemlig.com A/S finder Datatilsynet anledning til sammenfattende at konkludere:
- At Nemlig.com A/S har udarbejdet retningslinjer, procedurer m.v. for virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12, men at disse indeholder enkelte beskrivelser, som efter Datatilsynets opfattelse ikke er tilstrækkelige i forhold til virksomhedens efterlevelse af forordningens artikel 12, stk. 2 og 3.
- At Nemlig.com A/S har udarbejdet skabeloner, der kan medvirke til at sikre og lette virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15, men at disse indeholder enkelte beskrivelser, som efter Datatilsynets opfattelse ikke er tilstrækkelige i forhold til virksomhedens efterlevelse af forordningens artikel 12, stk. 2 og 3.
- At Nemlig.com A/S i perioden 25. maj 2018 til tidspunktet for varslingen af dette tilsyn har modtaget og besvaret to indsigtsanmodninger, og at Nemlig.com A/S i begge tilfælde ikke har givet den registrerede indsigt i de oplysninger, som Nemlig.com A/S har indsamlet om den registreredes adfærd på virksomhedens hjemmeside og/eller app, ligesom Nemlig.com A/S i begge tilfælde ikke har besvaret anmodningen om indsigt i overensstemmelse med tidsfristerne i databeskyttelsesforordningens artikel 12, stk. 3.
Datatilsynet finder i forhold til punkt 3 grundlag for at udtale kritik af, at Nemlig.com A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 15 og artikel 12, stk. 3.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet og en begrundelse for Datatilsynets afgørelse.
2. Nemlig.com A/S’ forretningsgangsbeskrivelser
2.1. Nemlig.com A/S har forud for tilsynsbesøget fremsendt en kopi af virksomhedens forretningsgangsbeskrivelser, som var gældende på datoen for varslingen af tilsynet, vedrørende håndtering af indsigtsanmodninger i henhold til databeskyttelsesforordningens artikel 15 og artikel 12.
Under tilsynsbesøgte oplyste Nemlig.com A/S, at alle de udarbejdede forretningsgangsbeskrivelser m.v. er tilgængelige for de afdelinger, der anvender dem (dvs. primært kundeservice og IT), men at forretningsgangsbeskrivelserne og standardteksterne i princippet er tilgængelige for alle virksomhedens medarbejdere.
Herudover oplyste Nemlig.com A/S, at virksomheden bruger meget tid på at uddanne medarbejderne i forhold til databeskyttelsesreglerne, herunder eksempelvis ved træning af kundeservicemedarbejdere hver 6. uge, ligesom databeskyttelse er et fast punkt på dagsordenen ved ugentlige statusmøder, hvor der bl.a. følges op på, om forretningsgangsbeskrivelserne efterleves i praksis.
2.2. Forretningsgangsbeskrivelserne indeholder bl.a. information om, hvilken proces medarbejderne skal følge ved modtagelse af indsigtsanmodninger fra kunder, og hvordan medarbejderne sikrer sig identiteten på den person, der har anmodet om indsigt, før de besvarer en anmodning, jf. databeskyttelsesforordningens artikel 12, stk. 6. Herudover indeholder forretningsgangsbeskrivelsen information om håndtering af indsigtsanmodninger fra nuværende og tidligere medarbejdere hos Nemlig.com A/S.
I forhold til sikring af den registreredes identitet i forbindelse med indsigtsanmodninger fremgår det af forretningsgangsbeskrivelserne, at medarbejderen kan validere den registreredes identitet ved at undersøge, om det telefonnummer eller den e-mail, som den registrerede ringer/skriver fra passer med det, som fremgår af den registreredes kundekonto.
Ved usikkerhed om den registreredes identitet kan medarbejderen bede om at blive kontaktet af den registrerede via mail eller ved at udføre et tjek af identiteten med spørgsmål til tidligere indkøb på Nemlig.com A/S’ hjemmeside. Hvis det stemmer overens, og der i øvrigt ikke er usikkerhed om den registreredes identitet, kan anmodningen besvares. Hvis der ikke opnås den nødvendige sikkerhed for den registreredes identitet, opfordres den registrerede til at møde fysisk op hos Nemlig.com A/S og fremvise et gyldigt ID.
Det følger af databeskyttelsesforordningens artikel 12, stk. 2, at den dataansvarlige skal lette udøvelsen af den registreredes rettigheder i henhold til bl.a. artikel 15 om indsigt.
Ifølge CVR-registret er Nemlig.com A/S’ hovedvirksomhed beliggende i Brøndby. Herudover har virksomheden en etablering i henholdsvis Aarhus, Odense og Kolding.
Det fremgår ikke af forretningsgangsbeskrivelserne, om den registrerede vil have mulighed for at møde fysisk op hos en af Nemlig.com A/S’ etableringer i Aarhus, Odense og Kolding med henblik på at verificere sin identitet, eller om fysisk fremmøde alene kan ske hos virksomhedens hovedetablering i Brøndby.
Uanset om en registreret vil skulle møde fysisk op hos Nemlig.com A/S’ hovedetablering i Brøndby, eller om fremmøde også vil kunne ske til en af virksomhedens andre etableringer, er det Datatilsynets vurdering, at det vil være unødigt besværligt for den registrerede at skulle møde fysisk op hos Nemlig.com A/S for at kunne verificere sin identitet. Datatilsynet har herved lagt vægt på, at Nemlig.com A/S’ alene er etableret i fire byer, og at det – efter Datatilsynets opfattelse – kan være unødigt besværligt for den registrerede at skulle rejse fra sin bopæl til én af Nemlig.com A/S’ etableringer med henblik på at få verificeret sin identitet, herunder særligt i tilfælde hvor den registrerede ikke har bopæl i nærheden af etableringerne. Det fremgår eksempelvis af Nemlig.com A/S’ hjemmeside, at virksomheden kan levere varer i til kunder med bopæl i Fredericia. Den nærmeste af Nemlig.com A/S’ etableringer for kunder med bopæl i Fredericia vil således være i Kolding.
En sådan procedure kan efter tilsynets opfattelse medføre, at den registrerede – som følge af besværligheden – vil opgive sin anmodning. Det er på den baggrund Datatilsynets vurdering, at det ikke vil være i overensstemmelse med forordningens artikel 12, stk. 2, hvis Nemlig.com A/S beder en registreret om at møde fysisk op hos Nemlig.com A/S med henblik på at få verificeret dennes identitet.
Datatilsynet finder derfor, at Nemlig.com A/S skal finde et alternativ hertil for de registrerede, der ønsker indsigt. Datatilsynet skal i den forbindelse gøre opmærksom på, at tilsynet tidligere har truffet afgørelser vedrørende verificering af den registreredes identitet, hvor tilsynet bl.a. har udtalt, at en generel procedure om ID-validering forud for besvarelse af indsigtsanmodninger ikke vil være i overensstemmelse med forordningens artikel 12, og at en procedure, hvorefter den registrerede skal afgive flere oplysninger, end der oprindeligt blev indsamlet, for at få behandlet en anmodning om udøvelse af registreredes rettigheder, ikke vil være i overensstemmelse med forordningens artikel 5, stk. 1, litra c.[2]
2.3. Forretningsgangsbeskrivelserne indeholder også information om, hvordan virksomhedens medarbejdere skal håndtere fristen for besvarelse af anmodninger om indsigt. Det fremgår i den forbindelse, at fristen for besvarelse af en anmodning om indsigt løber fra det tidspunkt, hvor den registreredes identitet er verificeret. Hvis der ikke er tvivl om den registreredes identitet, løber fristen fra tidspunktet for modtagelsen af anmodningen.
Datatilsynet skal hertil bemærke, at det fremgår af databeskyttelsesforordningens artikel 12, stk. 3, at den dataansvarlige uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen skal oplyse den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til bl.a. artikel 15.
Denne periode kan forlænges med to måneder, hvis det er nødvendigt, under hensyntagen til anmodningens kompleksitet og antal. Den dataansvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen.
Det er således Datatilsynets opfattelse, at fristen for besvarelse af indsigtsanmodninger skal regnes fra det tidspunkt, hvor den dataansvarlige har modtaget anmodningen. Den dataansvarlige har herefter mulighed for at forlænge besvarelsen af anmodningen med yderligere to måneder, hvis anmodningen er kompliceret, herunder eksempelvis i tilfælde hvor det viser sig vanskeligt at identificere den registrerede person.
Den dataansvarlige skal dog i alle tilfælde bestræbe sig på at besvare anmodningen uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen.
Datatilsynet finder på den baggrund, at Nemlig.com A/S – i det omfang virksomheden ikke allerede har gjort det – skal opdatere forretningsgangsbeskrivelsernes indhold, således at det fremgår, at fristen regnes fra tidspunktet for modtagelse af anmodningen, også i tilfælde hvor der er brug for at få verificeret den registreredes identitet.
3. Nemlig.com A/S’ standardtekster
3.1. Nemlig.com A/S har fremsendt en kopi af de standardtekster, som virksomhedens medarbejdere benytter ved besvarelse af indsigtsanmodninger.
I den standardtekst, som anvendes, når Nemlig.com A/S har modtaget en anmodning om indsigt fra en kunde, bekræftes indledningsvis modtagelsen af anmodningen, og den registrerede bliver herefter ifølge teksten anmodet om at vende tilbage med en beskrivelse af, hvilke oplysninger, den registrerede ønsker at få tilsendt. Standardteksten består endvidere af et bilag, der altid vedlægges, og som har følgende overskrift: ”Generelt om indsigt i dine data hos nemlig.com” med nærmere information om de oplysninger, der behandles, behandlingens formål, modtagere af oplysningerne m.v.”
På forespørgsel fra Datatilsynet oplyste Nemlig.com A/S under tilsynsbesøget, at virksomheden så vidt muligt ønsker at få specificeret, hvilke oplysninger den registrerede vil have indsigt i, og at det er fast praksis, at virksomheden beder den registrerede om at præcisere sin anmodning ud fra standardtekstens oplysninger med det formål, at processen og indsamlingen af oplysningerne om den registrerede hos Nemlig.com A/S kan gennemføres så effektivt som muligt.
Nemlig.com A/S oplyste i forlængelse heraf, at virksomheden tjekker, om den registrerede er vendt tilbage med en præcisering efter 7 dage. Hvis den registrerede ikke er vendt tilbage inden for samlet set 10 dage fra modtagelsen af anmodningen, besvarer Nemlig.com A/S anmodningen uden en præcisering fra den registrerede og sender alle oplysninger til den registrerede kort tid efter 10. dagen. Nemlig.com A/S er af den opfattelse, at denne procedure i praksis er hurtigst muligt og uden unødig forsinkelse.
Det følger af databeskyttelsesforordningens artikel 12, stk. 2, at den dataansvarlige skal lette udøvelsen af den registreredes rettigheder i henhold til bl.a. artikel 15 om indsigt.
Henset til at anmodninger om indsigt skal besvares uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen, jf. forordningens artikel 12, stk. 3, er det Datatilsynets vurdering, at der i alle tilfælde bør foretages en konkret vurdering af, om der er behov for præcisering af en anmodning om indsigt. En anmodning om indsigt kan efter Datatilsynets opfattelse ikke siges at være blevet besvaret uden unødig forsinkelse, hvis den dataansvarlige standardmæssigt – også i tilfælde hvor en anmodning er tilstrækkelig tydelig – afventer en præcisering fra den registrerede.
3.2. Det fremgår endvidere af den ovenfor nævnte standardtekst, som anvendes, når Nemlig.com A/S har modtaget en anmodning om indsigt fra en kunde, at Nemlig.com A/S’ skelner mellem ”data vi kan sende til dig” og ”data du selv kan finde på nemlig.com under Mit nemlig, som ikke udleveres”, og at den registrerede selv kan finde følgende oplysninger på Nemlig.com A/S’ hjemmeside:
- Favoritter (dvs. en liste over de varer, som den registrerede tidligere har købt)
- Favoritopskrifter (opskrifter den registrerede har tilføjet til sin kurv i forbindelse med et køb)
- Kontoaktivitet
- Marketingssamtykke (samtykke den registrerede har givet på nemlig.com)
- Ordrehistorik
- Kreditkortoplysninger (de sidste 4 cifre og udløbsdato)
Herefter er der en specifik henvisning til, hvor på hjemmesiden den registrerede kan finde de enkelte oplysninger.
Nemlig.com A/S bekræftede under tilsynsbesøget, at virksomheden ved besvarelse af indsigtsanmodninger – i henhold til standardteksten – ikke sender en kopi af de oplysninger, som den registrerede selv har adgang til på virksomhedens hjemmeside under kundens profil.
Efter tilsynsbesøget har Nemlig.com A/S imidlertid oplyst, at virksomheden ved en ny gennemgang af de to behandlede indsigtsanmodninger kan konstatere, at de registrerede har fået udleveret en kopi af de oplysninger, som vedkommende selv kan tilgå på hjemmesiden under kundens profil.
Det følger af databeskyttelsesforordningens artikel 15, stk. 1, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne samt en række oplysninger om den eller de behandlinger, den dataansvarlige foretager.
Herudover følger det bl.a. af forordningens artikel 15, stk. 3, at den dataansvarlige skal udlevere en kopi af de personoplysninger, der behandles. Hvis den registrerede indgiver anmodningen elektronisk, og medmindre den registrerede anmoder om andet, udleveres personoplysningerne i en almindeligt anvendt elektronisk form.
Formålet med indsigtsretten er at give den registrerede mulighed for at se, hvilke personoplysninger den dataansvarlige behandler om den pågældende og at skabe mere gennemsigtighed omkring, hvordan den dataansvarlige behandler dem. På den baggrund kan den registrerede kontrollere, at personoplysninger om den pågældende er korrekte og i øvrigt behandles lovligt.
Det fremgår i den forbindelse i øvrigt bl.a. også af Datatilsynets vejledning om de registreredes rettigheder[3], at den dataansvarlige kan vælge at give den registrerede indsigt ved at udlevere kopier af originale dokumenter m.v. til den pågældende, men at den dataansvarlige også kan vælge at kopiere oplysningerne om den registrerede over i et nyt dokument eller lignende. Endvidere fremgår det, at den dataansvarlige kan give den registrerede indsigt i personoplysningerne på flere måder, herunder eksempelvis ved at den dataansvarlige elektronisk giver den registrerede adgang til at tilgå oplysningerne fra sin egen pc eller lignende.
På den baggrund er det Datatilsynets vurdering, at det i et tilfælde, som det her foreliggende, vil være tilstrækkeligt at henvise den registrerede til Nemlig.com A/S’ hjemmeside og derved give den registrerede elektronisk adgang til de oplysninger, som behandles om den pågældende, medmindre den registrerede anmoder om at modtage oplysningerne på en anden måde i henhold til forordningens artikel 15, stk. 3.
Datatilsynet lægger herved vægt på, at den registrerede også på denne måde har mulighed for at kontrollere oplysningernes nøjagtighed og behandlingens lovlighed. Endvidere lægger Datatilsynet vægt på, at den registrerede – fordi standardteksten indeholder en konkret anvisning, der tydeliggør, hvor på hjemmesiden vedkommende kan finde de enkelte oplysninger – må antages let at kunne finde frem til oplysningerne på hjemmesiden.
Nemlig.com A/S har, som nævnt ovenfor, udarbejdet et bilag, som vedlægges standardteksten for besvarelse af indsigtsanmodninger. Bilaget beskriver, hvilke typer af oplysninger Nemlig.com A/S behandler om den registrerede, behandlingens formål, modtagere af oplysningerne, Nemlig.com A/S’ opbevaring af oplysningerne samt den registreredes rettigheder.
Det fremgår bl.a. af bilaget, at Nemlig.com A/S behandler oplysninger om den registreredes adfærd på hjemmesiden eller ved brug af virksomhedens app. Det fremgår videre i forhold til modtagere af oplysningerne, at Nemlig.com A/S gør brug af tekniske underleverandører i tredjelande, herunder Ukraine.
Nemlig.com A/S har oplyst, at virksomheden efter varslingen af tilsynet har opdateret standardbilaget således, at der nu fremgår oplysninger om overførselsgrundlaget.
Hvis Nemlig.com A/S’ overførselsgrundlag består i fornødne garantier efter forordningens artikel 46, vil Nemlig.com A/S i forbindelse med besvarelsen af en indsigtsanmodning skulle underrette den registrerede om disse, jf. forordningens artikel 15, stk. 2. Datatilsynet skal således, idet omfang Nemlig.com A/S’ overførselsgrundlag består af sådanne garantier, henstille til, at Nemlig.com A/S – i det omfang virksomheden ikke allerede har gjort det – opdaterer standardbilagets indhold, således at bilaget også indeholder information om disse.
4. Nemlig.com A/S’ håndtering af anmodninger om indsigt
4.1. Nemlig.com A/S har over for Datatilsynet oplyst, at virksomheden har modtaget og besvaret to indsigtsanmodninger fra kunder i perioden fra den 25. maj 2018 til den 9. april 2019. Nemlig.com A/S har fremsendt en kopi af de to besvarelser til Datatilsynet forud for tilsynsbesøget. Nemlig.com A/S har ikke modtaget indsigtsanmodninger fra nuværende eller tidligere medarbejdere i perioden.
Det fremgår, som nævnt, af det fremsendte standardbilag med generel information om indsigt i data hos Nemlig.com A/S, at virksomheden indsamler informationer om den registreredes adfærd, når vedkommende besøger virksomhedens hjemmeside eller app.
Datatilsynet spurgte på tilsynsbesøget ind til, om det var korrekt forstået, at Nemlig.com A/S ved besvarelsen af de to indsigtsanmodninger ikke har givet de registrerede indsigt i disse oplysninger.
Nemlig.com A/S oplyste hertil, at virksomheden ved besvarelsen af de to anmodninger ikke har givet indsigt i de oplysninger, som indsamles om den registreredes adfærd på virksomhedens hjemmeside og/eller app. Nemlig.com A/S har efterfølgende fremsendt en anonymiseret kopi af de personoplysninger, som virksomheden indsamler om adfærd på virksomhedens hjemmeside og app, og har i den forbindelse oplyst at virksomheden fremadrettet vil give registrerede indsigt i disse oplysninger.
Efter en gennemgang af de oplysninger, som Nemlig.com A/S indsamler om de registreredes adfærd på hjemmesiden, er det Datatilsynets vurdering, at der er tale om personhenførbare oplysninger, hvorfor de to besvarelser af indsigtsanmodninger burde have indeholdt information heromkring, jf. databeskyttelsesforordningens artikel 15.
4.2. Nemlig.com A/S modtog den ene af de omhandlede indsigtsanmodninger den 25. maj 2018. Det fremgår af anmodningen, at den registrerede ønskede indsigt i samtlige oplysninger, Nemlig.com A/S havde registreret om vedkommende.
Nemlig.com A/S sendte den 28. maj 2018 en standardtekst til den registrerede, hvor den registrerede blev informeret om, hvilke oplysninger virksomheden opbevarede om den registrerede og formålene hermed. Den registrerede blev endvidere bedt om at bekræfte, om vedkommende ønskede at modtage oplysningerne. Den registrerede bekræftede samme dato, at vedkommende ønskede indsigt i sine personoplysninger. Nemlig.com A/S besvarede herefter anmodningen den 29. juni 2018, dvs. 1 måned og 4 dage efter modtagelsen af anmodningen.
Nemlig.com A/S har hertil oplyst, at virksomheden som følge af en menneskelig fejl ikke har været opmærksom på, at fristen var blevet overskredet. Da Nemlig.com A/S blev opmærksom på, at fristen var overskredet, prioriterede virksomheden at besvare anmodningen i stedet for at give den registrerede en underretning om forlængelsen af besvarelsen.
Nemlig.com A/S oplyste i forlængelse heraf, at anmodningen, som blev modtaget den 25. maj 2018, var den første indsigtsanmodning, som virksomheden havde modtaget, og at virksomheden efterfølgende har optimeret sine procedurer i relation til en hurtig og effektiv behandling af indsigtsanmodninger.
Nemlig.com A/S modtog den anden af de omhandlede indsigtsanmodninger telefonisk den 23. juli 2018.
Nemlig.com A/S sendte samme dato en standardtekst til den registrerede, hvor virksomheden bekræftede for modtagelsen af anmodningen, og hvor den registrerede blev bedt om at vende tilbage med en beskrivelse af, hvilke oplysninger den registrerede ønskede at få tilsendt. Der blev samtidig vedlagt et bilag ”generelt om indsigt i dine data hos nemlig.com” med nærmere information om de oplysninger, der blev behandlet, behandlingens formål, modtagere af oplysningerne m.v.
Den registrerede svarede samme dato tilbage og gjorde indsigelse over for en bestemt behandling. Den registrerede opfordrede samtidig Nemlig.com A/S til at besvare anmodningen om indsigt inden udgangen af den pågældende uge.
Nemlig.com A/S besvarede anmodningen den 3. april 2019, dvs. omkring 8 måneder efter modtagelsen af anmodningen.
Nemlig.com A/S har over for Datatilsynet oplyst, at henvendelsen med anmodningen om indsigt blev lukket den 23. august 2018 på baggrund af en telefonisk drøftelse med den registrerede. Nemlig.com A/S forstod først efterfølgende, i forbindelse med den registreredes klage til Datatilsynet, at den registrerede fortsat ønskede indsigt i sine personoplysninger. Umiddelbart efter Nemlig.com A/S blev bekendt med, at den registrerede ønskede indsigt, sendte virksomheden oplysningerne til den registrerede.
Nemlig.com A/S har i forlængelse heraf oplyst, at virksomheden efterfølgende har ændret sine procedurer, således at virksomheden i lignende tilfælde vil sende en mail til den registrerede og oplyse om, at virksomheden har forstået, at den registrerede ikke ønsker indsigt i sine personoplysninger. På den måde vil Nemlig.com A/S prøve at undgå lignende misforståelser i fremtiden.
Adspurgt herom oplyste Nemlig.com A/S på tilsynsbesøget, at virksomheden ikke havde foretaget en konkret vurdering af, om der i de to ovennævnte tilfælde var behov for at bede den registrerede om at præcisere, hvilke oplysninger vedkommende ønskede tilsendt.
Som nævnt under afsnit 2, er det Datatilsynets vurdering, at der i alle tilfælde skal foretages en konkret vurdering af, om der er behov for præcisering af en anmodning om indsigt.En anmodning om indsigt kan efter Datatilsynets vurdering ikke siges at være blevet besvaret uden unødig forsinkelse, hvis den dataansvarlige standardmæssigt – også i tilfælde hvor en anmodning er tilstrækkelig tydelig – afventer en præcisering fra den registrerede.
Det er Datatilsynets vurdering, at Nemlig.com A/S ved besvarelsen af de to indsigtsanmodninger ikke har iagttaget tidsfristerne i forordningens artikel 12, stk. 3. Datatilsynet har herved også lagt vægt på, at Nemlig.com A/S ikke har foretaget en konkret vurdering af, om der var behov for en præcisering af anmodningerne.
Datatilsynet har noteret sig det af Nemlig.com A/S oplyste om, at forlængelsen af besvarelsen af den ene indsigtsanmodning skyldtes en misforståels, og at virksomheden efterfølgende har ændret sine procedurer med henblik på at undgå lignende misforståelser i fremtiden.
4.4. Det følger af databeskyttelsesforordningens artikel 12, stk. 6, at den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der har anmodet om indsigt, kan anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.
Nemlig.com A/S har i den forbindelse oplyst, at virksomheden i efteråret 2018 har modtaget anmodninger om indsigt via appen ”WeAreDavid”, og at det i ingen af disse tilfælde var muligt for Nemlig.com A/S at identificere de registrerede, som indsigtsanmodningen angiveligt var sendt på vegne af. Nemlig.com A/S besvarede således ikke indsigtsanmodningerne, idet virksomheden ikke ønskede at registrere sig på appen for at kunne besvare anmodningerne.[4]
Datatilsynet har ingen bemærkninger hertil.
5. Konklusion
Efter tilsynet med Nemlig.com A/S finder Datatilsynet anledning til sammenfattende at konkludere:
- At Nemlig.com A/S har udarbejdet retningslinjer, procedurer m.v. for virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12, men at disse indeholder enkelte beskrivelser, som efter Datatilsynets opfattelse ikke er tilstrækkelige i forhold til virksomhedens efterlevelse af forordningens artikel 12, stk. 2 og 3.
- At Nemlig.com A/S har udarbejdet skabeloner, der kan medvirke til at sikre og lette virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15, men at disse indeholder enkelte beskrivelser, som efter Datatilsynets opfattelse ikke er tilstrækkelige i forhold til virksomhedens efterlevelse af forordningens artikel 12, stk. 2 og 3.
- At Nemlig.com A/S i perioden 25. maj 2018 til tidspunktet for varslingen af dette tilsyn har modtaget og besvaret to indsigtsanmodninger, og at Nemlig.com A/S i begge tilfælde ikke har givet den registrerede indsigt i de oplysninger, som Nemlig.com A/S har indsamlet om den registreredes adfærd på virksomhedens hjemmeside og/eller app, ligesom Nemlig.com A/S i begge tilfælde ikke har besvaret anmodningen om indsigt i overensstemmelse med tidsfristerne i databeskyttelsesforordningens artikel 12, stk. 3.
Datatilsynet finder i forhold til punkt 3 grundlag for at udtale kritik af, at Nemlig.com A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 15 og artikel 12, stk. 3.
Datatilsynet anser herefter tilsynet for afsluttet og foretager sig ikke yderligere i den anledning.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Der henvises bl.a. til Datatilsynets afgørelser med j.nr. 2019-431-0018 og 2018-7320-0166, som kan tilgås via tilsynets hjemmeside.
[3] Vejledningen kan tilgås på tilsynets hjemmeside
[4] Datatilsynet udgav den 14. november 2018 en nyhed vedrørende indsigt gennem apps. Nyheden kan tilgås på tilsynets hjemmeside.