Tilsyn med Basisbank A/S' håndtering af indsigtsanmodninger

Dato: 28-07-2022

Datatilsynet har afsluttet en række tilsyn med fem udvalgte bankers og sparekassers håndtering af indsigtsanmodninger fra kunder. Tilsynene fokuserede på retningslinjer og procedurer for håndtering af kunders anmodninger om indsigt.

Journalnummer: 2021-41-0122

Resume

Datatilsynet har afsluttet tilsyn med fem udvalgte bankers og sparekassers håndtering af anmodninger om indsigt fra kunder. Bankerne og sparekasserne var bl.a. udvalgt baseret på antallet af klager hos Datatilsynet og bestod af Danske Bank A/S, Sparekassen Sjælland-Fyn A/S, Basisbank A/S, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskab.

Alvorlig kritik af Danske Bank

Datatilsynet udtalte alvorlig kritik af, at Danske Banks procedure for at håndtere anmodninger om indsigt fra kunder ikke var i overensstemmelse med databeskyttelsesreglerne. Bankens procedure bestod i en lagdelt tilgang, hvor kunden kunne få indsigt i sine oplysninger på tre forskellige måder, og Datatilsynet fandt, at denne lagdelte tilgang ikke var i overensstemmelse med databeskyttelsesforordningen.  

Du kan læse Datatilsynets afgørelse i sagen om Danske Bank her.

Procedurerne hos fire ud af fem banker understøttede retten til indsigt

Datatilsynet fandt endvidere, at Sparekassen Sjælland-Fyn A/S’, Basisbank A/S’, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskabs procedurer for at håndtere anmodninger om indsigt fra kunder understøttede retten til indsigt.

Af Datatilsynets afsluttende udtalelser i de enkelte tilsyn fremgår bl.a. følgende:

  • at Sparekassen Sjælland-Fyn A/S’ procedure for at besvare af anmodninger om indsigt fra kunder består i at danne en indsigtsrapport suppleret med en manuel gennemgang af systemer og databaser, som den tekniske løsning ikke omfatter.
  • at Basisbank A/S’ har udarbejdet skabeloner til at besvare anmodninger om indsigt fra kunder, og at banken vedlægger en kopi af de oplysninger, som banken behandler om den pågældende.
  • at Sparekassen Kronjyllands håndtering af indsigtsanmodninger består i manuelt at danne en indsigtsrapport samt at supplere med øvrige oplysninger, der måtte være relevante i den enkelte sag. Datatilsynet henstillede til, at Sparekassen Kronjylland samler sine mange arbejdsgange for håndtering af indsigtsanmodninger for at understøtte en ensartet praksis i organisationen samt at tydeliggøre proceduren i arbejdsgangen.
  • at Ringkjøbing Landbobank Aktieselskab danner en indsigtsrapport, når banken besvarer en anmodning om indsigt, og vedlægger eventuelt yderligere materiale, som kunden samtidig efterspørger. Datatilsynet henstillede til, at Ringkjøbing Landbobank Aktieselskab tydeliggør processen for håndtering af indsigtsanmodninger i bankens arbejdsgang.

Du kan læse Datatilsynets afsluttende udtalelser i de andre tilsyn her: 

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet besluttede at føre tilsyn med Basisbank A/S’ håndtering af anmodninger om indsigt fra registrerede i henhold til databeskyttelsesforordningens[1] artikel 15 og artikel 12.

Datatilsynet bemærker indledningsvist, at tilsynet er afgrænset til Basisbank A/S’ håndtering af anmodninger om indsigt fra kunder.

2. Sagsfremstilling

Datatilsynet har ved brev af 10. november 2021 anmodet Basisbank A/S om en udtalelse samt kopi af bankens eventuelle procedurer, retningslinjer, skabeloner mv. for håndtering af indsigtsanmodninger, som Basisbank A/S er fremkommet med den 16. november 2021.

2.1. Basisbank A/S’ bemærkninger

Basisbank A/S har bekræftet, at banken har udarbejdet procedurer, herunder retningslinjer og skabeloner til brug for bankens efterlevelse af reglerne om indsigt i databeskyttelsesforordningen, og har indsendt en kopi af materialet til Datatilsynet.

Af materialet følger, at Basisbank A/S har udarbejdet en arbejdsbeskrivelse/procedure vedrørende håndtering af indsigtsanmodninger, samt skabeloner til brug for besvarelse af anmodninger om fuld indsigt og afgrænsede indsigtsanmodninger. Basisbank A/S har hertil bemærket, at skabelonen til besvarelse af afgrænsede indsigtsanmodninger er forbeholdt de anmodninger, der er afgrænset til indsigt i de oplysninger, som er indhentet til brug for bankens forudgående kreditvurdering af kunden, idet størstedelen af de indsigtsanmodninger, som Basisbank modtager, omfatter udlevering af disse oplysninger.

Endelig har Basisbank A/S oplyst, at alle bankens medarbejdere har gennemført obligatorisk online undervisning om bl.a. regler om indsigt, ligesom at der er afholdt intern undervisning af medarbejdere i bankens procedure i behandling af personoplysninger.

3. Afsluttende bemærkninger

3.1.

Det følger af databeskyttelsesforordningens artikel 15, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og en række supplerende oplysninger.

Et af de grundlæggende formål med indsigtsretten er, at den registrerede har mulighed for at kontrollere rigtigheden af de personoplysninger, som den dataansvarlige behandler – f.eks. med henblik på at gøre brug af andre rettigheder som retten til berigtigelse eller sletning.

Den registrerede har derfor som udgangspunkt ret til at modtage en fyldestgørende kopi af de oplysninger, som den dataansvarlige behandler om den pågældende, medmindre den registrerede har afgrænset sin anmodning til specifikke oplysninger om den pågældende, og/eller der kan gøres undtagelse til indsigtsretten i oplysninger, jf.  databeskyttelsesforordningens artikel 12, artikel 15, databeskyttelseslovens § 22 eller andet retsgrundlag.

Retten til indsigt indebærer desuden, at den registrerede skal meddeles indsigt i indholdet, af de oplysninger, som behandles om den pågældende. Det betyder, at den dataansvarlige kan vælge at udlevere kopier af eksempelvis originale dokumenter, sagsmapper mv. til den pågældende, eller at kopiere oplysningerne om den registrerede over i et nyt dokument eller lignende. Det vigtigste er, at den registreredes meddeles en egentlig kopi af oplysningerne.

Endelig følger det af databeskyttelsesforordningens artikel 12, stk. 1, at meddelelse i henhold til artikel 15, bl.a. skal være gennemsigtig.

En procedure, hvorved den registrerede alene meddeles indsigt i en indsigtsrapport, der ikke indeholder alle oplysninger, som den registrerede har krav på efter databeskyttelsesforordningens artikel 15, vil som det klare udgangspunkt således ikke være i overensstemmelse med forordningens artikel 15 og artikel 12.

3.2.

Datatilsynet har – på baggrund af det af Basisbank A/S oplyste og indsendte materiale - noteret følgende:

  • at Basisbank A/S har udarbejdet en arbejdsbeskrivelse til bankens medarbejdere angående håndtering af indsigtsanmodninger,
  • at Basisbank A/S har udarbejdet skabeloner til brug for besvarelse af anmodninger om henholdsvis fuld indsigt og afgrænsede indsigtsanmodninger.
  • at det af skabelonen til besvarelse af anmodninger om fuld indsigt fremgår, at Basisbank A/S – som bilag til skabelonen – vedlægger en kopi af de oplysninger, som banken behandler om den registrerede for hver sag (kontraktnummer), den registrerede har hos banken, for så vidt angår bankens systemer, bankens database til opbevaring af yderligere data indhentet fra eksterne kilder til brug for kreditvurdering af kunden, samt oplysninger registreret som led i det løbende kundeforhold.
  • at det af skabelonen til besvarelse af afgrænsede indsigtsanmodninger fremgår, at Basisbank A/S’ – som bilag til skabelonen – vedlægger en kopi af de oplysninger, som banken opbevarer, og som er indhentet i forbindelse med bankens kreditvurdering for hvert lån (kontraktnummer), samt kopi af lånekontrakt og kontoudtog.
  • at Basisbank A/S medsender en kopi af de supplerende oplysninger, som følger af databeskyttelsesforordningens artikel 15, stk. 1, litra a – h.

På grundlag af sagens oplysninger er det Datatilsynets vurdering, at Basisbank A/S’ procedurer for håndtering af anmodninger om indsigt understøtter de registreredes ret til indsigt inden for rammerne af databeskyttelsesforordningens artikel 12 og artikel 15.

 

[1]   Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)