Journalnummer: 2020-31-3887.
Datatilsynet vender hermed tilbage til sagen, hvor [X] (herefter klager) den 13. september 2020 har klaget til tilsynet over, at Group Buy ApS ikke har besvaret hans anmodning om indsigt.
Resume
Datatilsynet har truffet afgørelse i en sag, hvor en tidligere kunde har klaget over Group Buy ApS’ håndtering af hans indsigtsanmodning.
Klager rettede i sagen henvendelse til Group Buy ApS for at opsige sit abonnement og for at anmode om indsigt i oplysninger om sig selv. Group Buy ApS kvitterede dagen efter for at have modtaget anmodningen og oplyste, at oplysninger om klager ville blive slettet. Klager oplyste samme dag, at anmodningen ikke skulle forstås som en sletteanmodning, men at anmodningen var en anmodning om indsigt.
Tre måneder senere rettede klager igen henvendelse til Group Buy ApS og oplyste, at han fortsat ikke havde modtaget indsigt i oplysninger om sig selv. Group Buy ApS kvitterede og oplyste igen, at oplysninger om klager ville blive slettet. Klager gjorde igen - samme dag - opmærksom på, at hans henvendelse var en indsigtsanmodning – og ikke en anmodning om sletning. Klager indgav herefter en klage til Datatilsynet.
Datatilsynet fandt i sagen, at Group Buy ApS ikke havde håndteret klagers indsigtsanmodning i overensstemmelse med databeskyttelsesforordningens artikel 15, jf. artikel 12, stk. 2 (den dataansvarliges forpligtelse til at lette udøvelsen af de(n) registreredes rettigheder), idet Group Buy ApS – på trods af, at klager flere gange gjorde Group Buy ApS opmærksom herpå – håndterede klagers henvendelse som en anmodning om sletning, og ikke som en indsigtsanmodning.
Datatilsynets afgørelse illustrerer, at dataansvarlige har en forpligtelse til at lette udøvelsen af de registreredes rettigheder, jf. forordningens artikel 12, stk. 2, og at det vil være i strid med denne forpligtelse at håndtere en anmodning som noget andet. Dataansvarlige skal således være opmærksomme på, hvad en anmodning fra den registrerede vedrører.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Group Buys behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 15, jf. artikel 12, stk. 2.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at klager den 10. juni 2020 rettede henvendelse til Group Buy, hvor klager bl.a. opsagde et abonnement og anmodede om indsigt i oplysninger om ham, som Group Buy måtte behandle.
Group Buy besvarede den 11. juni 2020 henvendelsen og oplyste, at oplysninger om klager ville blive slettet som følge af hans henvendelse på nær oplysninger, som Group Buy var forpligtet til at opbevare i henhold til lovgivning.
Samme dag besvarede klager Group Buys besked og oplyste, at han ikke havde anmodet om at få slettet oplysninger om ham selv, men at han havde bedt om indsigt i oplysninger om ham.
Klager henvendte sig igen den 8. september 2020 til Group Buy og oplyste, at han fortsat ikke havde modtaget indsigt i oplysninger om ham på trods af, at fristen for besvarelse for længst var overskredet, hvorfor klager påtænkte at indgive en klage til Datatilsynet.
Den 9. september 2020 besvarede Group Buy henvendelsen og oplyste, at oplysninger om klager ville blive slettet. Klager oplyste samme dag igen, at hans henvendelser ikke skulle forstås som sletteanmodninger, men at han ønskede indsigt i oplysninger om sig selv.
Klager indgav herefter den 13. september 2020 en klage til Datatilsynet, som Datatilsynet sendte i høring den 11. november 2020 og anmodede Group Buy om en udtalelse til sagen.
Group Buy fremkom med en udtalelse til sagen den 21. januar 2021, hvorefter udtalelsen blev sendt til klager den 9. februar 2021. Klager er ikke fremkommet med bemærkninger som følge heraf.
2.1. Klagers bemærkninger
Klager har overordnet anført, at Group Buy ikke har besvaret hans anmodning om indsigt på trods af, at han flere gange har anmodet herom og gjort det klart for Group Buy, at han ønskede indsigt i oplysninger om ham, og ikke at oplysninger om ham blev slettet.
2.2. Group Buys bemærkninger
Group Buy har til sagen oplyst, at Group Buy erkender, at der er begået fejl ved håndteringen af klagers sag.
Group Buy har hertil oplyst, at kundeservicemedarbejderen, som sad med sagen, grundet klagers sprog i hans indledende henvendelse forstod klagers henvendelse forkert, hvorfor den blev registreret forkert i Group Buys system og dermed håndteret forkert fra start til slut. Sagen endte derfor også i en forkert afdeling, som udførte sletning af alle oplysninger, som Group Buy ikke var retligt forpligtet til at opbevare.
Group Buy blev først opmærksom på, at klager ønskede indsigt i oplysninger om ham, da Datatilsynet rettede henvendelse til Group Buy. Group Buy har som følge heraf oplyst, at Group Buy vil rette henvendelse til klager med henblik på at udlevere (de resterende) oplysninger, som Group Buy behandler om klager.
Afslutningsvis har Group Buy oplyst, at Group Buy som følge af nærværende sag har ændret organisationen således, at personen, som håndterer GDPR i Group Buy, nu sidder sammen med kundeservicemedarbejderne, så der er lettere adgang til sparring mellem disse.
3. Begrundelse for Datatilsynets afgørelse
3.1.
Af databeskyttelsesforordningens artikel 15 følger det, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles. Derudover har den dataansvarlige pligt til at give den registrerede en række informationer om bl.a. den dataansvarlige og dennes behandling af personoplysninger.
Det følger endvidere af bestemmelsen, at såfremt den dataansvarlige behandler oplysninger om den registrerede, har den registrerede ret til at få udleveret en kopi af de personoplysninger, der behandles, jf. artikel 15, stk. 3.
I medfør af databeskyttelsesforordningens artikel 12, stk. 2, påhviler det den dataansvarlige at lette udøvelsen af de registreredes rettigheder i henhold til bl.a. artikel 15 om retten til indsigt.
3.2.
Datatilsynet finder, at Group Buys håndtering af klagers anmodning om indsigt er sket i strid med databeskyttelsesforordningens artikel 15, jf. artikel 12, stk. 2.
Datatilsynet har herved lagt vægt på, at Group Buy ved at have slettet oplysninger, som umiddelbart var omfattet af klagers ret til indsigt, uden forinden at have behandlet klagers indsigtsanmodning, ikke i tilstrækkelig grad har givet klager mulighed for at udøve sin ret til indsigt.
Group Buy har herved reelt også afskåret klager klageadgangen efter databeskyttelseslovens § 39, stk. 1, og databeskyttelsesforordningens artikel 79, idet klager, i tilfælde af at Datatilsynet eller domstolene i forbindelse med en klagesag ville give klager medhold, ikke længere ville kunne få adgang til oplysningerne.
Datatilsynet har noteret sig, at Group Buy forstod klagers henvendelse som en anmodning om sletning, og at Group Buy først i forbindelse med klagers klage til Datatilsynet er blevet opmærksom på, at klager ønskede indsigt i oplysninger om ham selv.
Dette er dog uden betydning for sagens afgørelse, da klager flere gange efterfølgende påpegede, at han anmodede om indsigt – og ikke sletning. Det må som følge heraf have stået klart for Group Buy, at klager ikke ønskede oplysninger om ham slettet, men derimod indsigt i oplysninger om ham.
Som følge heraf finder Datatilsynet grundlag for at udtale alvorlig kritik af Group Buys behandling af klagers anmodning om indsigt, jf. databeskyttelsesforordningens artikel 15, jf. artikel 12, stk. 2.
Datatilsynet har noteret sig det af Group Buy oplyste om, at Group Buy vil rette henvendelse til klager og besvare hans indsigtsanmodning, ligesom at Group Buy har foretaget en organisationsændring, som fremadrettet skal forhindre lignende tilfælde.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).