Tilsyn med Sparekassen Kronjyllands håndtering af indsigtsanmodninger

Dato: 28-07-2022
Afgørelse Private virksomheder Ingen kritik Tilsyn / egendriftssag Retten til indsigt

Datatilsynet har afsluttet en række tilsyn med fem udvalgte bankers og sparekassers håndtering af indsigtsanmodninger fra kunder. Tilsynene fokuserede på retningslinjer og procedurer for håndtering af kunders anmodninger om indsigt.

Journalnummer: 2021-41-0125

Resume

Datatilsynet har afsluttet tilsyn med fem udvalgte bankers og sparekassers håndtering af anmodninger om indsigt fra kunder. Bankerne og sparekasserne var bl.a. udvalgt baseret på antallet af klager hos Datatilsynet og bestod af Danske Bank A/S, Sparekassen Sjælland-Fyn A/S, Basisbank A/S, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskab.

Alvorlig kritik af Danske Bank

Datatilsynet udtalte alvorlig kritik af, at Danske Banks procedure for at håndtere anmodninger om indsigt fra kunder ikke var i overensstemmelse med databeskyttelsesreglerne. Bankens procedure bestod i en lagdelt tilgang, hvor kunden kunne få indsigt i sine oplysninger på tre forskellige måder, og Datatilsynet fandt, at denne lagdelte tilgang ikke var i overensstemmelse med databeskyttelsesforordningen.  

Du kan læse Datatilsynets afgørelse i sagen om Danske Bank her.

Procedurerne hos fire ud af fem banker understøttede retten til indsigt

Datatilsynet fandt endvidere, at Sparekassen Sjælland-Fyn A/S’, Basisbank A/S’, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskabs procedurer for at håndtere anmodninger om indsigt fra kunder understøttede retten til indsigt.

Af Datatilsynets afsluttende udtalelser i de enkelte tilsyn fremgår bl.a. følgende:

  • at Sparekassen Sjælland-Fyn A/S’ procedure for at besvare af anmodninger om indsigt fra kunder består i at danne en indsigtsrapport suppleret med en manuel gennemgang af systemer og databaser, som den tekniske løsning ikke omfatter.
  • at Basisbank A/S’ har udarbejdet skabeloner til at besvare anmodninger om indsigt fra kunder, og at banken vedlægger en kopi af de oplysninger, som banken behandler om den pågældende.
  • at Sparekassen Kronjyllands håndtering af indsigtsanmodninger består i manuelt at danne en indsigtsrapport samt at supplere med øvrige oplysninger, der måtte være relevante i den enkelte sag. Datatilsynet henstillede til, at Sparekassen Kronjylland samler sine mange arbejdsgange for håndtering af indsigtsanmodninger for at understøtte en ensartet praksis i organisationen samt at tydeliggøre proceduren i arbejdsgangen.
  • at Ringkjøbing Landbobank Aktieselskab danner en indsigtsrapport, når banken besvarer en anmodning om indsigt, og vedlægger eventuelt yderligere materiale, som kunden samtidig efterspørger. Datatilsynet henstillede til, at Ringkjøbing Landbobank Aktieselskab tydeliggør processen for håndtering af indsigtsanmodninger i bankens arbejdsgang.

Du kan læse Datatilsynets afsluttende udtalelser i de andre tilsyn her: 

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet besluttede at føre tilsyn med Sparekassen Kronjyllands håndtering af anmodninger om indsigt fra registrerede i henhold til databeskyttelsesforordningens[1] artikel 15 og artikel 12.

Datatilsynet bemærker indledningsvist, at tilsynet er afgrænset til Sparekassens Kronjyllands håndtering af anmodninger om indsigt fra kunder.

2. Sagsfremstilling

Datatilsynet har ved brev af 10. november 2021 anmodet Sparekassen Kronjylland om en udtalelse samt kopi af sparekassens eventuelle procedurer, retningslinjer, skabeloner mv. for håndtering af indsigtsanmodninger. Sparekassen Kronjylland har den 26. november 2021 bekræftet, at sparekassen har udarbejdet procedurer for håndtering af anmodninger om indsigt fra registrerede, og fremsendt kopi af disse procedurer til Datatilsynet.

Datatilsynet har herefter den 17. januar 2022 spurgt ind til Sparekassen Kronjyllands procedure for dannelse af ”indsigtsrapporter”, som sparekassen besvarede den 7. februar 2022.

2.1. Sparekassen Kronjyllands bemærkninger

Sparekassen Kronjylland har over for Datatilsynet redegjort nærmere for sparekassens procedure for dannelse af indsigtsrapporter.

Sparekassen Kronjylland har herom anført, at indsigtsrapporten udarbejdes manuelt – og ikke automatisk/maskinelt. Sparekassen Kronjylland har yderligere anført, at indsigtsrapporten ikke udgør en udtømmende opregning af, hvad der medtages i svaret til anmoderen – men blot skal forstås som de oplysninger, som typisk er relevante. Rapporten suppleres med de øvrige oplysninger, der måtte være relevante i den enkelte sag.

Sparekassen har i forlængelse af ovenstående anført følgende:

”Sparekassen Kronjyllands procedurer og skabeloner har til formål at sikre, at alle oplysninger medtages i svaret på indsigtsanmodningen. Så vidt muligt fremsendes der ligeledes kopi af oplysningerne. Der kan dog være situationer, hvor dette ikke er hensigtsmæssigt, blandt andet grundet karakteren af de oplysninger, der behandles. I så fald kan det på anden vis sikres, at anmoderen modtager kopi af oplysningerne, eksempelvis ved at vejlede om, hvordan vedkommende selv kan tilgå kopi af oplysningerne. Et eksempel på dette kan være visse oplysninger, som kunder selv kan tilgå via deres netbank, og hvor det er mest hensigtmæssigt, at de selv tilgår oplysningerne. Dermed kan det sikres, at oplysningerne er opdaterede på det tidspunkt, hvor vedkommende får indsigt i dem.”

3. Afsluttende bemærkninger

3.1.

Det følger af databeskyttelsesforordningens artikel 15, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og en række supplerende oplysninger.

Et af de grundlæggende formål med indsigtsretten er, at den registrerede har mulighed for at kontrollere rigtigheden af de personoplysninger, som den dataansvarlige behandler – f.eks. med henblik på at gøre brug af andre rettigheder som retten til berigtigelse eller sletning.

Den registrerede har derfor som udgangspunkt ret til at modtage en fyldestgørende kopi af de oplysninger, som den dataansvarlige behandler om den pågældende, medmindre den registrerede har afgrænset sin anmodning til specifikke oplysninger om den pågældende, og/eller der kan gøres undtagelse til indsigtsretten i oplysninger, jf.  databeskyttelsesforordningens artikel 12, artikel 15, databeskyttelseslovens § 22 eller andet retsgrundlag.

Retten til indsigt indebærer desuden, at den registrerede skal meddeles indsigt i indholdet, af de oplysninger, som behandles om den pågældende. Det betyder, at den dataansvarlige kan vælge at udlevere kopier af eksempelvis originale dokumenter, sagsmapper mv. til den pågældende, eller at kopiere oplysningerne om den registrerede over i et nyt dokument eller lignende. Det vigtigste er, at den registreredes meddeles en egentlig kopi af oplysningerne.

Endelig følger det af databeskyttelsesforordningens artikel 12, stk. 1, at meddelelse i henhold til artikel 15, bl.a. skal være gennemsigtig.

En procedure, hvorved den registrerede alene meddeles indsigt i en indsigtsrapport, der ikke indeholder alle oplysninger, som den registrerede har krav på efter databeskyttelsesforordningens artikel 15, vil som det klare udgangspunkt således ikke være i overensstemmelse med forordningens artikel 15 og artikel 12.

3.2.

Datatilsynet har – på baggrund af det af Sparekassen Kronjylland oplyste og indsendte materiale - noteret sig følgende:

  • at Sparekassen Kronjylland har tre forskellige arbejdsgange, som angår sparekassens håndtering af indsigtsanmodninger (bilag 3, 4 og 6), samt en juridisk håndbog om indsigtsret. (bilag 5)
  • at Sparekassen Kronjylland har oplyst, at sparekassens håndtering af indsigtsanmodninger fra registrerede består i manuelt at danne en indsigtsrapport, samt at supplere med øvrige oplysninger, der måtte være relevante i den enkelte sag.
  • at Sparekassen Kronjylland i visse tilfælde vejleder den registrerede om, hvordan vedkommende selv kan tilgå visse oplysninger via eksempelvis netbank, og
  • at Sparekassen Kronjylland medsender en kopi af de supplerende oplysninger, som følger af databeskyttelsesforordningens artikel 15, litra a-h.

Datatilsynet forudsætter, at Sparekassen Kronjylland, ved at følge ovennævnte procedure for håndtering af indsigtsanmodninger, udleverer en kopi af de oplysninger, som den registrerede har krav på efter databeskyttelsesforordningens artikel 15.

I det omfang den registrerede henvises til selv at tilgå visse oplysninger i eksempelvis Netbank, kan dette ske inden for rammerne af databeskyttelsesforordningens artikel 12 og artikel 15, forudsat at det er enkelt og ligetil for den registrerede at finde oplysningerne selv.

På grundlag af sagens oplysninger er det Datatilsynets vurdering, at Sparekassens Kronjyllands procedurer for håndtering af anmodninger om indsigt understøtter de registreredes ret til indsigt inden for rammerne af databeskyttelsesforordningens artikel 12 og artikel 15.

Datatilsynet skal endeligt henstille til, at Sparekassen Kronjyllands mange arbejdsgange for håndtering af indsigtsanmodninger samles med henblik på at understøtte en ensartet praksis i hele organisationen, og at proceduren for håndtering af indsigtsanmodninger, som beskrevet over for Datatilsynet, tydeliggøres i arbejdsgangen.

 

[1]   Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)