Journalnummer: 2019-423-0202
Resume
Datatilsynet har i 2019 foretaget et planlagt tilsyn hos Odense Kommune. Tilsynet fokuserede på kommunens overholdelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens artikel 15 og artikel 12.
Datatilsynet har i anledning af tilsynet udtalt kritik af, at Odense Kommunes behandling af personoplysninger ikke var sket i overensstemmelse med forordningens artikel 12, stk. 3.
Af Datatilsynets afsluttende udtalelse fremgår bl.a., at Odense Kommunes håndtering af indsigtsanmodninger generelt er sket i overensstemmelse med forordningens artikel 15, men at kommunen i tre tilfælde har besvaret en anmodning om indsigt senere end en måned efter modtagelsen af anmodningen.
Du kan læse Datatilsynets vejledning om registreredes rettigheder her.
Afgørelse
Odense Kommune var blandt de offentlige myndigheder, som Datatilsynet havde udvalgt til tilsyn i foråret 2019. Datatilsynets planlagte tilsyn med Odense Kommune fokuserede navnlig på myndighedens efterlevelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens[1] artikel 15 og artikel 12.
Efter anmodning fra Datatilsynet havde Odense Kommune inden tilsynsbesøget udfyldt et spørgeskema og indsendt dette sammen med yderligere materiale til tilsynet. Selve tilsynsbesøget fandt sted den 20. maj 2019.
1. Afgørelse
Efter tilsynet med Odense Kommune finder Datatilsynet anledning til sammenfattende at konkludere:
- At Odense Kommune i en vis grad har udarbejdet retningslinjer, procedurer m.v. for kommunens efterlevelse af databeskyttelsesforordningens artikel 15.
- At Odense Kommune i en vis grad har udarbejdet skabeloner, der kan medvirke til at sikre og lette kommunens efterlevelse af databeskyttelsesforordningens artikel 15.
- At Odense Kommune har modtaget og besvaret 9 indsigtsanmodninger i perioden 25. maj 2018 til tidspunktet for varslingen af tilsynet, og at kommunen i tre af tilfældene ikke besvaret en anmodning om indsigt i overensstemmelse med tidsfristerne i databeskyttelsesforordningens artikel 12, stk. 3
Datatilsynet finder i forhold til punkt 3 grundlag for at udtale kritik af, at Odense Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 12, stk. 3.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet og en begrundelse for Datatilsynets afgørelse.
2. Odense Kommunes retningslinjer og procedurer
Odense Kommune har forud for tilsynsbesøget fremsendt en kopi af kommunens procedurer og retningslinjer, som var gældende på datoen for varslingen af tilsynet, vedrørende håndtering af indsigtsanmodninger i henhold til databeskyttelsesforordningens artikel 15.
Odense Kommune har i forhold til kommunens generelle procedure for håndtering af indsigtsanmodninger oplyst, at anmodninger om indsigt typisk bliver sendt til kommunens databeskyttelsesrådgiver, som herefter videreformidler anmodningerne til de enkelte forvaltninger med henblik på, at de enkelte forvaltninger indsamler oplysningerne om den registrerede fra de relevante systemer. Forvaltningerne gives en frist på 14 dage til at fremsende oplysningerne om den registrerede til databeskyttelsesrådgiveren. Databeskyttelsesrådgiveren gennemgår herefter oplysningerne fra de enkelte forvaltninger og besvarer anmodningen.
Odense Kommune har udarbejdet procedurer for hver af kommunens fem forvaltninger. Procedurerne indeholder bl.a. information om, hvordan medarbejderne i de enkelte forvaltninger skal fremsøge oplysninger om den registrerede, herunder hvilke systemer, der kan være relevante at søge i, ligesom procedurerne indeholder information om, hvem der står for håndteringen af indsigtsanmodninger internt i de pågældende forvaltninger.
Det fremgår af en af de fremsendte procedurer, at ”personen, der har anmodet om indsigt kontaktes med henblik på at finde ud af, om det er specifikke områder, der ønskes aktindsigt i”.
Adspurgt herom oplyste Odense Kommune på tilsynsbesøget, at dette skal forstås således, at kommunen plejer at kontakte borgeren med henblik på at afklare, om vedkommende ønsker aktindsigt eller indsigt, idet det er kommunens erfaring, at borgeren ikke i alle tilfælde er opmærksom på forskellen mellem de to begreber og regelsæt. Kommunen anmoder dog ikke om en præcisering i de tilfælde, hvor det klart fremgår af henvendelsen, at borgeren ønsker indsigt efter databeskyttelsesforordningens artikel 15, herunder i tilfælde hvor borgeren ønsker alle oplysninger om sig selv udleveret.
Datatilsynet spurgte herefter ind til, hvordan kommunen forholder sig i tilfælde, hvor borgeren ikke er vendt tilbage med en præcisering.
Odense Kommune oplyste hertil, at kommunen endnu ikke har oplevet, at en borger ikke er vendt tilbage med en præcisering, men at kommunen i givet fald vil besvare anmodningen i overensstemmelse med de frister, som følger af forordningens artikel 12.
Datatilsynet spurgte på tilsynsbesøget ind til, hvorfor de fremsendte procedurer for forvaltningernes håndtering af indsigtsanmodninger ikke indeholder konkret information om reglerne om indsigt, herunder om forordningens artikel 15 og artikel 12.
Odense Kommune bekræftede, at kommunen ikke har udarbejdet konkret information om selve reglerne til de enkelte forvaltninger og oplyste, at kommunen alene har udarbejdet de tilsendte procedurer i forhold til den generelle håndteringen af anmodninger om indsigt, idet medarbejderne i forvaltningerne ikke står for selve besvarelsen af indsigtsanmodningerne.
Datatilsynet spurgte på den baggrund ind til, hvordan Odense Kommune sikrer, at medarbejderne i forvaltningerne er bekendt med reglerne om indsigt, herunder at medarbejderne er i stand til at identificere anmodninger om indsigt, når disse modtages.
Odense Kommune oplyste hertil, at der har været undervisning af medarbejderne i de enkelte forvaltninger.
Endvidere oplyste kommunen, at medarbejderne er bekendt med, at henvendelser både om indsigt og aktindsigt skal videreformidles til Jura-kontoret og/eller databeskyttelsesrådgiveren, som herefter står for den videre håndtering af anmodningen.
Datatilsynet har generelt ingen bemærkninger til, at Odense Kommunes procedurer går ud på, at der er en bestemt afdeling eller person, der skal besvare alle anmodninger fra de registrerede, fordi de ansatte i denne afdeling eller den pågældende person har særlige forudsætninger i forhold til håndteringen af databeskyttelsesreglerne. Datatilsynet skal dog understrege vigtigheden af, at alle medarbejdere er bekendt med denne procedure, så der ikke er tvivl om hvem i organisationen, der skal iagttage de registreredes rettigheder, og hvor anmodninger om indsigt fra de registrerede skal sendes hen, herunder eksempelvis i de tilfælde hvor en anmodning ikke sendes direkte til databeskyttelsesrådgiveren.
Odense Kommune kan med fordel – hvis kommunen ikke allerede har gjort det – udarbejde nogle procedurer, retningslinjer m.v. vedrørende Jura-kontorets og databeskyttelsesrådgiverens håndtering af indsigtsanmodninger, som indeholder mere konkret information om forordningens regler om indsigt med henblik på at understøtte kommunens iagttagelse af den registreredes indsigtsret.
For så vidt angår de tidsfrister, der standardmæssigt gives til de enkelte forvaltninger, henvises til pkt. 4.2. nedenfor.
3. Odense Kommunes standardtekster
Enkelte af de procedurer, som er udarbejdet for kommunens forvaltninger, indeholder standardskrivelser, som den pågældende forvaltning kan bruge i forbindelse med den interne håndtering af indsigtsanmodninger.
En forvaltning har udarbejdet en standardtekst, som kan bruges, når der internt i forvaltningen skal fremsøges oplysninger om den registrerede. Standardteksten anvendes til at anmode en systemansvarlig om at undersøge, om den registrerede står i sager eller fagsystemer, som denne har ansvaret for.
En anden forvaltning har udarbejdet en tilsvarende standardtekst, hvor den systemansvarlige bedes fremsende eventuelt bidrag til indsigtsanmodningen inden for 14 dage. Den systemansvarlige bedes endvidere informere om og begrunde, hvis der opstår situationer, som medfører en længere sagsbehandlingstid.
Datatilsynet kan efter en gennemgang af de fremsendte procedurer, herunder standardskrivelser, ikke umiddelbart konstatere, at Odense Kommune har udarbejdet skabeloner m.v., som kan bruges i forbindelse med kommunens kommunikation med den registrerede, herunder eksempelvis ved besvarelse af anmodninger om indsigt i henhold til forordningens artikel 15, underretning om forlængelse af besvarelsen til den registrerede efter forordningens artikel 12, stk. 3, eller ved anmodning om yderligere oplysninger med henblik på identificering af den registrerede efter forordningens artikel 12, stk. 6.
Datatilsynet skal derfor anbefale, at Odense Kommune – hvis kommunen ikke allerede har gjort det – udarbejder skabeloner m.v., som kan bruges i forbindelse med kommunens kommunikation med den registrerede, herunder særligt til brug for Jura-kontoret og databeskyttelsesrådgiveren, som efter det oplyste står for besvarelsen af den registreredes anmodninger og kommunikationen med den registrerede i øvrigt.
4. Odense Kommunes håndtering af anmodninger om indsigt
4.1. Odense Kommune har over for Datatilsynet oplyst, at kommunen har modtaget og besvaret 9 indsigtsanmodninger i perioden fra den 25. maj 2018 til den 16. april 2019. Odense Kommune har fremsendt en kopi af besvarelserne til Datatilsynet forud for tilsynsbesøget.
Datatilsynet har generelt ingen bemærkninger til Odense Kommunes besvarelser af de 9 indsigtsanmodninger, jf. databeskyttelsesforordningens artikel 15.
I tre af tilfældene har Odense Kommune dog besvaret anmodningen senere end 1 måned efter modtagelsen af anmodningen.
Odense Kommune modtog således den 17. juni 2018 en anmodning om indsigt, som kommunen besvarede den 9. august 2018, dvs. 1 måned og 23 dage efter modtagelsen af anmodningen.
I denne sag underrettede Odense Kommune den 25. juni 2018 den registrerede om, at besvarelsen ville blive forlænget som følge af sommerferieperiode hos kommunen, og at den registrerede kunne forvente svar på anmodningen i august.
Det fremgår af forordningens artikel 12, stk. 3, at en anmodning kan forlænges, hvis det findes nødvendigt af hensyn til anmodningens kompleksitet og antal. Datatilsynet finder, at Odense Kommune ved besvarelsen af denne indsigtsanmodning ikke har iagttaget tidsfristen i forordningens artikel 12, stk. 3, idet kommunen ud fra det oplyste ikke har forlænget besvarelsen som følge af anmodningens kompleksitet og antal, men alene som følge af sommerferieperiode hos kommunen.
Odense Kommune har herudover den 25. september 2018 modtaget en anmodning om indsigt, som kommunen besvarede den 6. november 2018, dvs. 1 måned og 12 dage efter modtagelsen af anmodningen. Odense Kommune har som årsag hertil oplyst, at kommunen ved en fejl ikke havde fået vedhæftet dokumenterne i den oprindelige besvarelse til den registrerede, som blev sendt den 10. oktober 2019. Fejlen skyldtes, at Digital Post indeholder en begrænsning på, hvor mange – og hvor store – filer, det er muligt at vedhæfte.
Det er her Datatilsynets vurdering, at Odense Kommune ikke har iagttaget tidsfristen i forordningens artikel 12, stk. 3, idet indsigtsanmodningen ved en fejl blev besvaret 1 måned og 12 dage efter modtagelsen. Datatilsynet har imidlertid noteret sig, at forsinkelsen af besvarelsen for så vidt angår den ene indsigtsanmodning skyldtes, at Odense Kommune ved en fejl ikke havde fået vedhæftet dokumenterne til den registrerede ved den oprindelige besvarelse.
Odense Kommune har endvidere modtaget en anmodning om indsigt den 12. februar 2019, som kommunen besvarede i fire dele. Den første del af besvarelsen blev sendt til den registrerede den 19. marts 2019. Den anden del af besvarelsen blev sendt den 21. marts 2019. Den tredje del af besvarelsen blev sendt den 22. marts 2019, og den sidste del af besvarelsen blev sendt den 25. marts 2019. Indsigtsanmodningen blev således endeligt besvaret 1 måned og 13 dage efter modtagelsen af anmodningen.
Odense Kommune har oplyst, at besvarelsen af denne anmodning blev forlænget, idet anmodningen omfattede mange dokumenter, og at det ikke var muligt for kommunen at nå igennem alle dokumenterne inden for fristen, hvorfor anmodningen må anses som kompliceret. Odense Kommune underrettede den 21. marts 2019, dvs. 1 måned og 9 dage efter modtagelsen af anmodningen, den registrerede om forlængelsen af besvarelsen, herunder at forlængelsen skyldtes anmodningens kompleksitet, og at den registrerede ville modtage oplysningerne løbende, som kommunen fik dem færdige. Odense Kommune besvarede endeligt anmodningen den 6. november 2018, dvs. 1 måned og 12 dage efter modtagelsen af anmodningen.
Datatilsynet har ingen bemærkninger til Odense Kommunes vurdering af anmodningens kompleksitet. Det er imidlertid Datatilsynets vurdering, at Odense Kommune ikke har iagttaget tidsfristen i forordningens artikel 12, stk. 3, idet den registrerede først blev underrettet om forlængelsen af besvarelsen 1 måned og 9 dage efter modtagelsen af anmodningen.
4.2. Ved gennemgangen af de fremsendte eksempler på besvarelser af indsigtsanmodninger har Datatilsynet kunne konstatere, at tre ud af 9 anmodninger – som beskrevet ovenfor – blev besvaret senere end 1 måned efter modtagelsen af anmodningen, og at de øvrige anmodninger blev besvaret akkurat inden for 1 måned efter modtagelsen.
Adspurgt oplyste Odense Kommune på tilsynsbesøget, at kommunen er opmærksom på, at besvarelserne generelt ligger tæt på fristens udløb, men at dette skyldes, at kommunen i gennemsnit bruger omkring 137 mandetimer pr. anmodning om indsigt.
Som tidligere beskrevet gives de enkelte forvaltninger en frist på 14 dage til at indsamle oplysninger om den registrerede i de relevante systemer. Herefter bruger databeskyttelsesrådgiveren omkring en uge til at udarbejde en besvarelse til den registrerede. Adspurgt herom oplyste Odense Kommune, at forvaltningernes gives en frist på 14 dage til at indsamle oplysninger, idet der typisk er tale om meget omfangsrigt materiale, og at der generelt er mange systemer, som skal søges igennem for oplysninger om den registrerede.
Datatilsynet skal generelt bemærke, at anmodninger om indsigt skal besvares uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen, jf. forordningens artikel 12, stk. 3. Den dataansvarlige har dog mulighed for at forlænge besvarelsen af anmodningen med yderligere to måneder, hvis anmodningen viser sig at være kompliceret.
En anmodning om indsigt kan efter Datatilsynets vurdering ikke siges at være blevet besvaret uden unødig forsinkelse, hvis kommunens forvaltninger standardmæssigt gives en frist på 14 dage til at fremsøge oplysninger om den registrerede, og hvis forvaltningerne i den konkrete sag ikke har behov for 14 dage hertil.
Datatilsynet skal derfor henstille til, at Odense Kommune genovervejer, om det er nødvendigt standardmæssigt at give forvaltningerne en frist 14 dage til at fremsøge oplysninger om den registrerede, herunder i tilfælde hvor en anmodning ikke kan anses som kompliceret.
4.3. Odense Kommune har over for Datatilsynet oplyst, at kommunen har modtaget anmodninger om indsigt, hvor der herskede tvivl om identiteten af den fysiske person, og hvor kommunen derfor har været nødsaget til at anmode om yderligere oplysninger for at kunne bekræfte den registreredes identitet, jf. forordningens artikel 12, stk. 6.
Som eksempel herpå har Odense Kommune oplyst, at kommunen typisk modtager anmodninger om indsigt fra en ikke-sikker e-mail, hvor der som det eneste fremgår oplysninger om den registreredes navn og e-mailadresse. I sådanne situationer har kommunen kontaktet den registrerede og efterspurgt en adresse eller et cpr-nummer, således at den pågældende kan slås op i cpr-registreret og i kommunens systemer samt til brug for Digital Post.
Datatilsynet har ingen bemærkninger hertil.
5. Konklusion
Efter tilsynet med Odense Kommune finder Datatilsynet anledning til sammenfattende at konkludere:
- At Odense Kommune i en vis grad har udarbejdet retningslinjer, procedurer m.v. for kommunens efterlevelse af databeskyttelsesforordningens artikel 15.
- At Odense Kommune i en vis grad har udarbejdet skabeloner, der kan medvirke til at sikre og lette kommunens efterlevelse af databeskyttelsesforordningens artikel 15.
- At Odense Kommune har modtaget og besvaret 9 indsigtsanmodninger i perioden 25. maj 2018 til tidspunktet for varslingen af tilsynet, og at kommunen i tre af tilfældene ikke besvaret en anmodning om indsigt i overensstemmelse med tidsfristerne i databeskyttelsesforordningens artikel 12, stk. 3
Datatilsynet finder i forhold til punkt 3 grundlag for at udtale kritik af, at Odense Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 12, stk. 3.
Datatilsynet anser herefter tilsynet for afsluttet og foretager sig ikke yderligere i den anledning.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).