Tilsyn med Danske Bank A/S' håndtering af indsigtsanmodninger

Dato: 28-07-2022
Afgørelse Private virksomheder Alvorlig kritik Tilsyn / egendriftssag Retten til indsigt

Datatilsynet har afsluttet en række tilsyn med fem udvalgte bankers og sparekassers håndtering af indsigtsanmodninger fra kunder. Tilsynene fokuserede på retningslinjer og procedurer for håndtering af kunders anmodninger om indsigt.

Journalnummer: 2021-41-0121

Resume

Datatilsynet har afsluttet tilsyn med fem udvalgte bankers og sparekassers håndtering af anmodninger om indsigt fra kunder. Bankerne og sparekasserne var bl.a. udvalgt baseret på antallet af klager hos Datatilsynet og bestod af Danske Bank A/S, Sparekassen Sjælland-Fyn A/S, Basisbank A/S, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskab.

Alvorlig kritik af Danske Bank

Datatilsynet udtalte alvorlig kritik af, at Danske Banks procedure for at håndtere anmodninger om indsigt fra kunder ikke var i overensstemmelse med databeskyttelsesreglerne. Bankens procedure bestod i en lagdelt tilgang, hvor kunden kunne få indsigt i sine oplysninger på tre forskellige måder, og Datatilsynet fandt, at denne lagdelte tilgang ikke var i overensstemmelse med databeskyttelsesforordningen.  

Procedurerne hos fire ud af fem banker understøttede retten til indsigt

Datatilsynet fandt endvidere, at Sparekassen Sjælland-Fyn A/S’, Basisbank A/S’, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskabs procedurer for at håndtere anmodninger om indsigt fra kunder understøttede retten til indsigt.

Af Datatilsynets afsluttende udtalelser i de enkelte tilsyn fremgår bl.a. følgende:

  • at Sparekassen Sjælland-Fyn A/S’ procedure for at besvare af anmodninger om indsigt fra kunder består i at danne en indsigtsrapport suppleret med en manuel gennemgang af systemer og databaser, som den tekniske løsning ikke omfatter.
  • at Basisbank A/S’ har udarbejdet skabeloner til at besvare anmodninger om indsigt fra kunder, og at banken vedlægger en kopi af de oplysninger, som banken behandler om den pågældende.
  • at Sparekassen Kronjyllands håndtering af indsigtsanmodninger består i manuelt at danne en indsigtsrapport samt at supplere med øvrige oplysninger, der måtte være relevante i den enkelte sag. Datatilsynet henstillede til, at Sparekassen Kronjylland samler sine mange arbejdsgange for håndtering af indsigtsanmodninger for at understøtte en ensartet praksis i organisationen samt at tydeliggøre proceduren i arbejdsgangen.
  • at Ringkjøbing Landbobank Aktieselskab danner en indsigtsrapport, når banken besvarer en anmodning om indsigt, og vedlægger eventuelt yderligere materiale, som kunden samtidig efterspørger. Datatilsynet henstillede til, at Ringkjøbing Landbobank Aktieselskab tydeliggør processen for håndtering af indsigtsanmodninger i bankens arbejdsgang.

Du kan læse Datatilsynets afsluttende udtalelser i de andre tilsyn her: 

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet besluttede at føre tilsyn med Danske Bank A/S’ håndtering af anmodninger om indsigt fra registrerede i henhold til databeskyttelsesforordningens[1] artikel 15 og artikel 12.

Datatilsynet bemærker indledningsvist, at tilsynet er afgrænset til Danske Bank A/S’ håndtering af anmodninger om indsigt fra kunder.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Danske Bank A/S’ procedure for håndtering af anmodninger om indsigt fra registrerede ikke har været i overensstemmelse med databeskyttelsesforordningens artikel 15 og artikel 12, hvilket giver tilsynet grundlag for at udtale alvorlig kritik.

Datatilsynet har noteret sig, at Danske Bank A/S efterfølgende har ændret bankens processer for håndtering af indsigtsanmodninger.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet har ved brev af 10. november 2021 anmodet Danske Bank A/S om en udtalelse samt kopi af bankens eventuelle procedurer, retningslinjer, skabeloner mv. for håndtering af indsigtsanmodninger, som Danske Bank A/S er fremkommet med den 14. december 2021.

Datatilsynet har efterfølgende den 17. januar 2022 stillet en række uddybende spørgsmål til Danske Bank A/S, som banken har besvaret den 3. marts 2022.

2.1. Danske Bank A/S’ bemærkninger

Danske Bank A/S har oplyst, at bankens procedure for behandling af en kundes anmodning om indsigt i personoplysninger har tre komponenter, hvorved kunden kan få adgang til oplysninger om sig selv. Komponenterne består af a) selvbetjeningsløsninger, hvor kunden selv kan tilgå en række oplysninger b) en automatisk genereret rapport over udvalgte oplysninger, kaldet ”Customer Data Insight Rapport” (CDI rapport) og c) en uddybende rapport med personoplysninger registreret som led i kundeforholdet.

Danske Bank A/S har om de tre komponenter anført følgende:

”a) Selvbetjeningsløsninger

Kunden har mulighed for at tilgå en række almindelige personoplysninger, som behandles om kunden, via bankens selvbetjeningsløsninger. Kunden kan i netbanken og Danske Mobil Bank få et overblik over fx navn, adresse, e-mail, kundenummer og telefonnummer.

Yderligere kan kunden få et overblik over de afgivne samtykker, transaktioner, kontooversigter, beskeder fra banken og elektroniske aftaledokumenter, som fremgår af netbanken.

  1. b) Customer Data Insight rapport

Kunden kan også anmode om en Customer Data Insight rapport (CDI rapport). CDI rapporten indeholder et overblik over en række oplysninger, som Danske Bank behandler om kunden som led i kundeforholdet, herunder personoplysninger. CDI rapporten indeholder ikke alle registrerede oplysninger om kunden, hvilket kunden informeres om i følgebrevet. Det fremgår endvidere af følgebrevet, at kunden kan skrive til GDPRinsight@danskebank.dk, såfremt kunden ønsker at modtage en uddybende oversigt over de oplysninger, som Danske Bank behandler om kunden.

Kunden kan rekvirere CDI rapporten ved at benytte en online-formular på Danske Banks hjemmeside eller via Danske Mobil Bank. Kunden kan også rekvirere CDI rapporten ved at kontakte en filial, Danske Banks kundeservice, kundens rådgiver eller ved at ringe til Danske Banks hovednummer.

CDI rapporten generes herefter automatisk på baggrund af udtræk fra Danske Banks systemer, hvorefter CDI rapporten sendes til kundens netbank eller til den med kunden aftalte kanal, fx e-boks, e-mail eller fysisk post.

  1. c) Uddybende rapport

Såfremt kunden ønsker af få adgang til flere oplysninger, kan kunden rekvirere en uddybende rapport. Kunden har mulighed for at anmode om en uddybende rapport ved første anmodning om indsigt eller efter modtagelse af CDI-rapporten.

Kunden kan rekvirere den uddybende rapport ved at skrive til GDPRinsight@

danskebank.dk. Som nævnt ovenfor informeres kunden om muligheden herfor i følgebrevet til CDI rapporten. Kunden kan også rekvirere den uddybende rapport ved at kontakte en filial, Danske Banks kundeservice, kundens rådgiver eller ved at ringe til Danske Banks hovednummer.

En uddybende rapport generes manuelt af Danske Banks GDPR Support Team, som undersøger Danske Banks systemer og identificerer yderligere personoplysninger, blandt andet historiske oplysninger, som Danske Bank behandler om kunden. De historiske oplysninger omfatter f.eks. tidligere registrerede adresser, betalingsaftaler, sikkerhedsstillelse og aftaler, som kunden har haft med banken. Oplysningerne bliver samlet i den uddybende rapport, som herefter sendes til kunden via samme kanal som CDI rapporten.”

Danske Bank A/S har i forlængelse heraf oplyst, at banken har udarbejdet en række specifikke og procesorienterede forretningsgange og retningslinjer for håndteringen af indsigtsanmodninger, heriblandt en forretningsgang rettet mod medarbejdere med kundekontakt, der beskriver kundens mulighed for at rekvirere en CDI rapport og en uddybende rapport. Yderligere indeholder forretningsgangen en arbejdsbeskrivelse for Danske Bank A/S’ medarbejdere ved modtagelse af en anmodning om indsigt samt processen for bestilling af en CDI rapport og/eller en uddybende rapport. Danske Bank A/S har endvidere udarbejdet en arbejdsbeskrivelse, der beskriver arbejdsgangene for GDPR Support Teamet ved modtagelse af en anmodning om indsigt, når anmodningen modtages via Danske Bank A/S’ hjemmeside, når indsigtsanmodningen vedrører børn eller enkeltmandsvirksomheder, og når der skal udarbejdes en uddybende rapport. Danske Bank A/S har yderligere til sagen indsendt kopi af bankens skabeloner på CDI rapporten, den uddybende rapport og rapport til enkeltmandsvirksomheder.

Danske Bank A/S har efterfølgende uddybet, at selvbetjeningsløsningen ikke er beregnet til at være en fuld besvarelse af en anmodning om indsigt, men alene en hurtig måde for kunden at få adgang til et struktureret overblik over udvalgte persondata, herunder korrespondance, vedrørende vedkommende. CDI-rapporten indeholder heller ikke, og indikerer heller ikke, at indeholde alle persondata behandlet om kunden, hvilket kunden er informeret om i følgebrevet til CDI-rapporten. Endelig kan kunden anmode om en uddybende rapport. Det er Danske Bank A/S’ opfattelse, at en sådan lagdelt tilgang generelt overholder databeskyttelsesforordningens artikel 12 og 15. Dette forudsætter a) at kunden er bekendt med, at de første to komponenter ikke er udtryk for fuld indsigt oplysninger om kunden behandlet af Danske Bank A/S b) at kunden har modtaget fuld indsigt gennem den tredje komponent.

Danske Bank A/S har endelig oplyst, at banken, som følge af kundehenvendelser og klager til Datatilsynet, har nedsat en arbejdsgruppe, der har gennemgået Danske Bank A/S' eksisterende processer fra start til slut i relation til håndteringen af anmodninger om indsigt fra registrerede. Danske Bank A/S har – som et resultat af den nedsatte arbejdsgruppes arbejde – ændret processen for håndtering af anmodninger om indsigt.  Dette indebærer ændringer i kommunikationen vedrørende CDI-rapporten og indholdet af den uddybende rapport. Derudover er der foretaget strukturelle ændringer i Danske Bank A/S i forhold til processen for håndtering af anmodninger om indsigt.

Danske Bank A/S vil fremover – ved modtagelse af en anmodning om indsigt, som ikke er begrænset til specifikke oplysninger – udlevere den uddybende rapport. Dette indebærer, at der vil blive søgt efter oplysninger om kunden i de systemer, som Danske Bank A/S har angivet over for tilsynet, samt oplysninger opbevaret i andre datalagre. Persondata vil herefter blive leveret i passende formater, herunder kopier af kunderelaterede dokumenter og korrespondance. Det centrale team er ansvarlig for at sikre, at dokumenter/oplysninger, der ikke er omfattet af retten til indsigt, fjernes/overstreges, hvor relevant.

Det vil fortsat være muligt for kunder at anmode om en CDI-rapport på bankens hjemmeside samt gennem andre kanaler, f.eks. ved at ringe til kundens bankrådgiver. Ifølge Danske Bank A/S vil CDI-rapporten tydeligere blive kommunikeret som en hurtig måde at få overblik over visse data, som Danske Bank A/S behandler om kunden.

Endelig har Danske Bank A/S oplyst, at det er bankens opfattelse, at den ændrede løsning lever op til databeskyttelsesforordningens artikel 15, jf. artikel 12.  

3. Begrundelse for Datatilsynets afgørelse

3.1.

Det følger af databeskyttelsesforordningens artikel 15, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og en række supplerende oplysninger.

Et af de grundlæggende formål med indsigtsretten er, at den registrerede har mulighed for at kontrollere rigtigheden af de personoplysninger, som den dataansvarlige behandler – f.eks. med henblik på at gøre brug af andre rettigheder som retten til berigtigelse eller sletning.

Den registrerede har derfor som udgangspunkt ret til at modtage en kopi af de oplysninger, som den dataansvarlige behandler om den pågældende, medmindre den registrerede har afgrænset sin anmodning til specifikke oplysninger om den pågældende, og/eller der kan gøres undtagelse til indsigtsretten i oplysninger, jf. databeskyttelsesforordningens artikel 12, artikel 15, databeskyttelseslovens § 22 eller andet retsgrundlag.

Retten til indsigt indebærer desuden, at den registrerede skal meddeles indsigt i indholdet, af de oplysninger, som behandles om den pågældende. Det betyder, at den dataansvarlige kan vælge at udlevere kopier af eksempelvis originale dokumenter, sagsmapper mv. til den pågældende, eller at kopiere oplysningerne om den registrerede over i et nyt dokument eller lignende. Det vigtigste er, at den registreredes meddeles en egentlig kopi af oplysningerne.

Endelig følger det af databeskyttelsesforordningens artikel 12, stk. 1, at meddelelse i henhold til artikel 15, bl.a. skal være gennemsigtig og lettilgængelig.

3.2.

Datatilsynet lægger til grund, at Danske Bank A/S’ procedure for håndtering af indsigtsanmodninger fra registrerede består i en lagdelt tilgang, hvorved kunden kan få indsigt i sine oplysninger på følgende tre forskellige måder:

  1. ved at tilgå visse oplysninger om sig selv via bankens selvbetjeningsløsning
  2. ved at anmode om en såkaldt ”CDI-rapport”, der ikke indeholder alle de oplysninger, som banken behandler om den pågældende, og
  3. ved specifikt at anmode om en såkaldt uddybende rapport, som indeholder flere oplysninger om den pågældende.

Datatilsynet finder, at Danske Bank A/S’ procedure for håndtering af indsigtsanmodninger, som har bestået i en lagdelt tilgang, ikke har været i overensstemmelse med databeskyttelsesforordningens artikel 15 og artikel 12, hvilket givet tilsynet grundlag for at udtale alvorlig kritik.

Datatilsynet har herved lagt vægt på, at Danske Bank A/S’ procedure, hvorved den registrerede alene meddeles indsigt i en rapport, der ikke indeholder alle oplysninger, som den registrerede har krav på efter databeskyttelsesforordningens artikel 15 – og en dertil medfølgende oplysning om, at yderligere personoplysninger kan udleveres efter anmodning – ikke er i overensstemmelse med databeskyttelsesforordningens regler for indsigt.

I det omfang den registrerede henvises til selv at tilgå visse oplysninger i eksempelvis Netbank, kan dette ske inden for rammerne af databeskyttelsesforordningens artikel 12 og artikel 15, forudsat at det er enkelt og ligetil for den registrerede at finde oplysningerne selv.

Datatilsynet har noteret sig, at Danske Bank A/S, i forbindelse med nærværende tilsynssag, har oplyst over for tilsynet, at banken har ændret eksisterende processer for bankens håndtering af indsigtsanmodninger. Datatilsynet bemærker, at tilsynet ikke har foretaget en særskilt undersøgelse af bankens nye procedurer.

 

[1]   Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).