Tilsyn med Ørsted A/S’ behandling af personoplysninger

Journalnummer: 2019-41-0030

Resume

Datatilsynet har i 2019 foretaget et planlagt tilsyn hos Ørsted A/S. Tilsynet fokuserede på virksomhedens overholdelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens artikel 15 og artikel 12.

Datatilsynet har på baggrund af det gennemførte tilsyn ikke fundet anledning til at udtale kritik af Ørsted A/S’ behandling af personoplysninger.

Af Datatilsynets afsluttende udtalelse fremgår bl.a., at Ørsted A/S efter det oplyste ikke har modtaget nogen anmodninger om indsigt fra de registrerede personer i perioden fra den 25. maj 2018 til tidspunktet for varslingen af tilsynet.

Herudover fremgår det, at Ørsted A/S har udarbejdet en vejledning om virksomhedens efterlevelse af reglerne om indsigt, ligesom virksomheden i et vist omfang har udarbejdet standardtekster på området.

Du kan læse Datatilsynets vejledning om registreredes rettigheder her.

Afgørelse

Ørsted A/S var blandt de virksomheder, som Datatilsynet havde udvalgt til tilsyn i foråret 2019. Datatilsynets planlagte tilsyn med Ørsted A/S fokuserede navnlig på virksomhedens overholdelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens^[1] artikel 15 og artikel 12.

Efter anmodning fra Datatilsynet havde Ørsted A/S den 3. maj 2019 udfyldt et spørgeskema og indsendt dette sammen med yderligere materiale til tilsynet. Ørsted A/S oplyste i den forbindelse, at virksomheden ikke havde modtaget nogen indsigtsanmodninger i perioden fra den 25. maj 2018 til den 16. april 2019 – dvs. tidspunktet for Datatilsynets indledende tilsynsbrev til Ørsted A/S. På den baggrund besluttede Datatilsynet at aflyse det planlagte fysiske tilsynsbesøg og i stedet gennemføre et skriftligt tilsyn med Ørsted A/S’ håndtering af anmodninger om indsigt fra nuværende, tidligere og potentielle medarbejdere.

1. Afgørelse

Efter tilsynet med Ørsted A/S finder Datatilsynet anledning til sammenfattende at konkludere:

•          At Ørsted A/S efter det oplyste ikke har modtaget nogen anmodninger om indsigt fra registrerede personer i perioden fra den 25. maj 2018 til tidspunktet for varslingen af dette tilsyn.
•          At Ørsted A/S har udarbejdet en vejledning om virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12.
•          At Ørsted A/S i et vist omfang har udarbejdet standardtekster, der kan medvirke til at sikre og lette virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12.

På denne baggrund anser Datatilsynet tilsynet for afsluttet og foretager sig ikke yderligere i den anledning.

Nedenfor følger en gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet og en nærmere gennemgang af Datatilsynets afgørelse.

2. Ørsted A/S’ procedurer og retningslinjer

Ørsted A/S har over for Datatilsynet oplyst, at virksomheden ikke har modtaget indsigtsanmodninger i perioden fra den 25. maj 2018 til den 16. april 2019.

Ørsted A/S har fremsendt en kopi af virksomhedens vejledning til håndtering af indsigtsbegæringer i afdelingen People & Development, som er den afdeling, der står for håndteringen af indsigtsanmodninger fra nuværende, tidligere og potentielle medarbejdere.

Ørsted A/S har oplyst, at virksomheden ikke behandler oplysninger om privatkunder, hvorfor Ørsted A/S videreformidler modtagne anmodninger om indsigt fra privatkunder til de relevante datterselskaber, herunder eksempelvis Ørsted Salg og Service A/S eller Radius Forsyningsnet A/S.

Ørsted A/S’ vejledning indeholder generel information om, hvordan medarbejderne i afdelingen People & Development kan identificere en indsigtsanmodning, hvilken proces de skal følge ved modtagelse af indsigtsanmodninger, og hvordan de sikrer sig identiteten på den person, der har anmodet om indsigt, før de besvarer en anmodning.

Ørsted A/S har oplyst, at virksomhedens interne kommunikation om databeskyttelse, herunder vedrørende den registreredes ret til indsigt, finder sted på flere måder, herunder bl.a. via intranettet, e-learning og afdelingsmøder. På intranettet er en side og en række undersider vedrørende databeskyttelse, hvor medarbejderne bl.a. informeres om retten til indsigt, herunder at medarbejderne skal kontakte afdelingen People & Development, hvis der modtages en anmodning om indsigt, eller hvis en medarbejder selv ønsker indsigt i sine personoplysninger.

Ørsted A/S’ vejledning om håndtering af indsigtsanmodninger indeholder nogle standardtekster, som medarbejderne bl.a. kan bruge, når de skal sikre identiteten på den person, der har anmodet om indsigt, eller hvis der er behov for præcisering af en indsigtsanmodning.

I forhold til sikring af den registreredes identitet fremgår det af vejledningen, at medarbejderne – ved modtagelsen af indsigtsanmodninger – som det første skal sikre sig identiteten på den person, indsigtsanmodningen kommer fra. Videre fremgår det, at medarbejderen skal efterspørge, om afsenderen af indsigtsanmodningen henvender sig som nuværende, tidligere eller potentiel medarbejder m.v. Hvis medarbejderen, som håndterer anmodningen, i forvejen er bekendt med den sammenhæng, afsenderen henvender sig i, er det ikke nødvendigt at spørge ind til relationen. I forlængelse heraf fremgår det, at medarbejderen skal afkræve supplerende identifikationsoplysninger fra den registrerede, dvs. kopi af enten pas eller kørekort, hvis medarbejderen ikke i forvejen er bekendt med identiteten på den registrerede.

Det følger af databeskyttelsesforordningens artikel 12, stk. 2, at den dataansvarlige skal lette udøvelsen af den registreredes rettigheder i henhold til bl.a. artikel 15 om indsigt.

Efter databeskyttelsesforordningens artikel 12, stk. 6, kan en dataansvarlig, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning om f.eks. indsigt, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Videre følger det af databeskyttelsesforordningens principper for behandling af personoplysninger, at personoplysninger bl.a. skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles, jf. artikel 5, stk. 1, litra c (”dataminimering”).

Det er Datatilsynets opfattelse, at en anmodning om yderligere oplysninger med henblik på at identificere indsigtsanmoder skal være begrænset til, hvad der er nødvendigt, jf. artikel 5, stk. 1, litra c. Den dataansvarlige må derfor ikke afkræve flere oplysninger, end hvad der er nødvendigt for at kunne identificere den pågældende person.

Den dataansvarlige skal derfor til enhver tid foretage en konkret vurdering af, om det vil være nødvendigt at afkræve oplysninger i form af enten pas, kørekort eller andre oplysninger, eller om den registrerede eksempelvis vil kunne identificeres ud fra de oplysninger, der oprindeligt er blevet indsamlet om vedkommende.

Det er således Datatilsynets vurdering, at en eventuel indsamling af oplysninger i form af kopi af kørekort eller pas ikke vil være i overensstemmelse med forordningens artikel 5, stk. 1, litra c, hvis det vil være muligt at verificere den registreredes identitet ud fra de oplysninger, som oprindeligt er blevet indsamlet om vedkommende eller ved at indsamle færre oplysninger om vedkommende.

Datatilsynet finder på den baggrund, at Ørsted A/S skal opdatere vejledningen i overensstemmelse hermed.

3. Ørsted A/S’ standardtekster

Vejledningen indeholder endvidere en standardtekst, som medarbejderne kan bruge, når de skal besvare en anmodning om indsigt.

En gennemgang af standardteksten for besvarelse af indsigtsanmodninger viser, at standardteksten alene indeholder en kort og generel angivelse af, hvilke informationer, der skal gives til den registrerede. Der skal således vedhæftes et bilag til standardteksten med uddybende information i henhold til forordningens artikel 15, stk. 1.

Herudover indeholder standardteksten ikke information om, hvorvidt Ørsted A/S træffer automatiske afgørelser, herunder profilering, som omhandlet i forordningens artikel 22, stk. 1, jf. artikel 15, stk. 1, litra h. Ørsted A/S har hertil oplyst, at virksomheden ikke træffer afgørelser, der alene er baseret på automatisk behandling, hvorfor forordningens artikel 15, stk. 1, litra h, ikke er angivet i standardteksten. Datatilsynet har ingen bemærkninger hertil.

Datatilsynet anbefaler, at Ørsted A/S – i det omfang virksomheden ikke allerede har gjort det – udarbejder en supplerende standardtekst/skabelon til besvarelse af indsigtsanmodninger, som indeholder uddybende information i overensstemmelse med forordningens artikel 15, stk. 1.

4. Konklusion

Efter tilsynet med Ørsted A/S finder Datatilsynet anledning til sammenfattende at konkludere:

•          At Ørsted A/S efter det oplyste ikke har modtaget nogle anmodninger om indsigt fra registrerede personer i perioden fra den 25. maj 2018 til tidspunktet for varslingen af dette tilsyn.
•          At Ørsted A/S har udarbejdet en vejledning om virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12.
•          At Ørsted A/S i et vist omfang har udarbejdet standardtekster, der kan medvirke til at sikre og lette virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12.

På denne baggrund anser Datatilsynet tilsynet for afsluttet og foretager sig ikke yderligere i den anledning.

[1]   Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse