Journalnummer: 2021-41-0124
Resume
Datatilsynet har afsluttet tilsyn med fem udvalgte bankers og sparekassers håndtering af anmodninger om indsigt fra kunder. Bankerne og sparekasserne var bl.a. udvalgt baseret på antallet af klager hos Datatilsynet og bestod af Danske Bank A/S, Sparekassen Sjælland-Fyn A/S, Basisbank A/S, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskab.
Alvorlig kritik af Danske Bank
Datatilsynet udtalte alvorlig kritik af, at Danske Banks procedure for at håndtere anmodninger om indsigt fra kunder ikke var i overensstemmelse med databeskyttelsesreglerne. Bankens procedure bestod i en lagdelt tilgang, hvor kunden kunne få indsigt i sine oplysninger på tre forskellige måder, og Datatilsynet fandt, at denne lagdelte tilgang ikke var i overensstemmelse med databeskyttelsesforordningen.
Du kan læse Datatilsynets afgørelse i sagen om Danske bank her.
Procedurerne hos fire ud af fem banker levede op til reglerne
Datatilsynet fandt endvidere, at Sparekassen Sjælland-Fyn A/S’, Basisbank A/S’, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskabs procedurer for at håndtere anmodninger om indsigt fra kunder understøttede retten til indsigt..
Af Datatilsynets afsluttende udtalelser i de enkelte tilsyn fremgår bl.a. følgende:
- at Sparekassen Sjælland-Fyn A/S’ procedure for at besvare af anmodninger om indsigt fra kunder består i at danne en indsigtsrapport suppleret med en manuel gennemgang af systemer og databaser, som den tekniske løsning ikke omfatter.
- at Basisbank A/S’ har udarbejdet skabeloner til at besvare anmodninger om indsigt fra kunder, og at banken vedlægger en kopi af de oplysninger, som banken behandler om den pågældende.
- at Sparekassen Kronjyllands håndtering af indsigtsanmodninger består i manuelt at danne en indsigtsrapport samt at supplere med øvrige oplysninger, der måtte være relevante i den enkelte sag. Datatilsynet henstillede til, at Sparekassen Kronjylland samler sine mange arbejdsgange for håndtering af indsigtsanmodninger for at understøtte en ensartet praksis i organisationen samt at tydeliggøre proceduren i arbejdsgangen.
- at Ringkjøbing Landbobank Aktieselskab danner en indsigtsrapport, når banken besvarer en anmodning om indsigt, og vedlægger eventuelt yderligere materiale, som kunden samtidig efterspørger. Datatilsynet henstillede til, at Ringkjøbing Landbobank Aktieselskab tydeliggør processen for håndtering af indsigtsanmodninger i bankens arbejdsgang.
Du kan læse Datatilsynets afsluttende udtalelser i de andre tilsyn her:
1. Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet besluttede at føre tilsyn med Ringkjøbing Landbobank Aktieselskabs håndtering af anmodninger om indsigt fra registrerede i henhold til databeskyttelsesforordningens[1] artikel 15 og artikel 12.
Datatilsynet bemærker indledningsvist, at tilsynet er afgrænset til Ringkjøbing Landbobank Aktieselskabs håndtering af anmodninger om indsigt fra kunder.
2. Sagsfremstilling
Datatilsynet har ved brev af 10. november 2021 anmodet Ringkjøbing Landbobank Aktieselskab om en udtalelse samt kopi af bankens eventuelle procedurer, retningslinjer, skabeloner mv. for håndtering af indsigtsanmodninger, som Ringkjøbing Landbobank Aktieselskab er fremkommet med den 30. november 2021.
Datatilsynet har efterfølgende den 17. januar 2022 spurgt ind til Ringkjøbing Landbobank Aktieselskabs procedure for dannelse af ”indsigtsrapporter”, som banken besvarede den 3. februar 2022.
2.1. Ringkjøbing Landbobank Aktieselskabs bemærkninger
Ringkjøbing Landbobank Aktieselskab har anført, at banken anser indsigtsrapporten som fundamentet i besvarelsen af en indsigtsanmodning, men at det er bankens erfaring, at rapporten sjældent vil kunne besvare den registreredes anmodning uden tillæg, hvorfor der søges dialog med den registrerede for at klarlægge formålet med anmodningen og sikre en fyldestgørende besvarelse heraf.
Ringkjøbing Landbobank Aktieselskab har efterfølgende præciseret, banken ofte tager kontakt til kunden for at sikre/høre hvilke oplysninger kunden ønsker, idet det erfaringsmæssigt ofte er kontoudtog for en given periode kunden efterspørger. Indsigtsrapporten dannes herefter og eventuel yderligere materiale vedlægges, f.eks. kontoudtog, depotoversigt eller anden materiale, som kunden samtidig efterspørger. Det kontrolleres desuden, at der ikke er registreret personoplysninger i notatfelter fx AML, notatfelt, mødereferat.
Ringkjøbing Landbobank Aktieselskab har endvidere anført, at indsigtsrapporten som udgangspunkt indeholder alle oplysninger om den registrerede, og at data i indsigtsrapporten trækkes fra systemet ”medarbejderportalen” og underliggende grundsystemer. Ringkjøbing Landbobank Aktieselskab har hertil anført, at det er bankens vurdering, at rapporten indeholder alle oplysninger som den registrerede har krav på.
Oplysninger i indsigtsrapporten er: personnummer, navn, fødselsdato, fødested, statsborgerskab, adresse, telefonnummer, e-mail, arbejdsgiver, RKI registrering, familierelationer og økonomiske oplysninger i form af aktiver (ejendomsoplysninger, bil, skib, saldo) og passiver /gæld, saldo, pant). Oplysninger som ikke medtages er interne notater, som diverse notater, AML-notater og kreditvurderinger.
Endelig har Ringkjøbing Landbobank Aktieselskab anført, at det er bankens erfaring, at kunden ofte ønsker yderligere oplysninger, end de ovenfor nævnte. Ringkjøbing Landbobank Aktieselskab har i forlængelse heraf anført:
”Oftest beder kunderne om kontoudtog for en given periode, fondsnotaer og lignende. Derfor er dialog med kunden fra central hold af yderst vigtighed, for at klarlægge behovet for indsigt og opfyldelse heraf. Ovennævnte dokumenter er som udgangspunkt ikke medtaget i indsigtsrapporten, for at sikre at indsigtsrapporten er kortfattet, gennemsigtig, letforståelig og lettilgængelig. Det skal bemærkes, at kunden til enhver tid har adgang til disse dokumenter via sin Netbank, men vi ved indsigtsanmodningen tilbyder at vedlægge disse i indsigtsrapporten fremfor alene at henvise til Netbanken.”
3. Afsluttende bemærkninger
3.1.
Det følger af databeskyttelsesforordningens artikel 15, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og en række supplerende oplysninger.
Et af de grundlæggende formål med indsigtsretten er, at den registrerede har mulighed for at kontrollere rigtigheden af de personoplysninger, som den dataansvarlige behandler – f.eks. med henblik på at gøre brug af andre rettigheder som retten til berigtigelse eller sletning.
Den registrerede har derfor som udgangspunkt ret til at modtage en fyldestgørende kopi af de oplysninger, som den dataansvarlige behandler om den pågældende, medmindre den registrerede har afgrænset sin anmodning til specifikke oplysninger om den pågældende, og/eller der kan gøres undtagelse til indsigtsretten i oplysninger, jf. databeskyttelsesforordningens artikel 12, artikel 15, databeskyttelseslovens § 22 eller andet retsgrundlag.
Retten til indsigt indebærer desuden, at den registrerede skal meddeles indsigt i indholdet, af de oplysninger, som behandles om den pågældende. Det betyder, at den dataansvarlige kan vælge at udlevere kopier af eksempelvis originale dokumenter, sagsmapper mv. til den pågældende, eller at kopiere oplysningerne om den registrerede over i et nyt dokument eller lignende. Det vigtigste er, at den registreredes meddeles en egentlig kopi af oplysningerne.
Endelig følger det af databeskyttelsesforordningens artikel 12, stk. 1, at meddelelse i henhold til artikel 15, bl.a. skal være gennemsigtig.
En procedure, hvorved den registrerede alene meddeles indsigt i en indsigtsrapport, der ikke indeholder alle oplysninger, som den registrerede har krav på efter databeskyttelsesforordningens artikel 15, vil som det klare udgangspunkt således ikke være i overensstemmelse med forordningens artikel 15 og artikel 12.
3.2.
Datatilsynet har – på baggrund af det af Ringkjøbing Landbobank Aktieselskab oplyste og indsendte materiale - noteret sig følgende:
- at Ringkjøbing Landbobank Aktieselskab oftest tager kontakt til kunden for at klarlægge, hvilke oplysninger kunden ønsker udleveret, og
- at Ringkjøbing Landbobank Aktieselskab til brug for besvarelse af anmodninger om indsigt danner en indsigtsrapport og vedlægger eventuel yderligere materiale i form af eksempelvis kontoudtog, depotoversigt eller anden materiale, som kunden samtidig efterspørger.
- at Ringkjøbing Landbobank Aktieselskab i visse tilfælde vejleder den registrerede om, hvordan vedkommende selv kan tilgå visse oplysninger via eksempelvis netbank, og at banken tilbyder at vedlægge disse, og
- at Ringkjøbing Landbobank Aktieselskab medsender en kopi af de supplerende oplysninger, som følger af databeskyttelsesforordningens artikel 15, litra a-h.
Datatilsynet forudsætter, at Ringkjøbing Landbobank Aktieselskab, ved at følge ovennævnte procedure for håndtering af indsigtsanmodninger, udleverer en kopi af de oplysninger, som den registrerede har krav på efter databeskyttelsesforordningens artikel 15.
I det omfang den registrerede henvises til selv at tilgå visse oplysninger i eksempelvis Netbank, kan dette ske inden for rammerne af databeskyttelsesforordningens artikel 12 og artikel 15, forudsat at det er enkelt og ligetil for den registrerede at finde oplysningerne selv.
På grundlag af sagens oplysninger er det Datatilsynet vurdering, at Ringkjøbing Landbobank Aktieselskabs procedurer for håndtering af anmodninger om indsigt understøtter de registreredes ret til indsigt inden for rammerne af databeskyttelsesforordningens artikel 12 og artikel 15.
Datatilsynet skal endeligt henstille til, at Ringkjøbing Landbobank Aktieselskab tydeliggør processen for håndtering af indsigtsanmodninger, som beskrevet over for Datatilsynet, i den af bankens arbejdsgang herfor.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)