Journalnummer: 2021-41-0123
Resume
Datatilsynet har afsluttet tilsyn med fem udvalgte bankers og sparekassers håndtering af anmodninger om indsigt fra kunder. Bankerne og sparekasserne var bl.a. udvalgt baseret på antallet af klager hos Datatilsynet og bestod af Danske Bank A/S, Sparekassen Sjælland-Fyn A/S, Basisbank A/S, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskab.
Alvorlig kritik af Danske Bank
Datatilsynet udtalte alvorlig kritik af, at Danske Banks procedure for at håndtere anmodninger om indsigt fra kunder ikke var i overensstemmelse med databeskyttelsesreglerne. Bankens procedure bestod i en lagdelt tilgang, hvor kunden kunne få indsigt i sine oplysninger på tre forskellige måder, og Datatilsynet fandt, at denne lagdelte tilgang ikke var i overensstemmelse med databeskyttelsesforordningen.
Du kan læse Datatilsynets afgørelse i sagen om Danske Bank her.
Procedurerne hos fire ud af fem banker understøttede retten til indsigt
Datatilsynet fandt endvidere, at Sparekassen Sjælland-Fyn A/S’, Basisbank A/S’, Sparekassen Kronjylland og Ringkjøbing Landbobank Aktieselskabs procedurer for at håndtere anmodninger om indsigt fra kunder understøttede retten til indsigt.
Af Datatilsynets afsluttende udtalelser i de enkelte tilsyn fremgår bl.a. følgende:
- at Sparekassen Sjælland-Fyn A/S’ procedure for at besvare af anmodninger om indsigt fra kunder består i at danne en indsigtsrapport suppleret med en manuel gennemgang af systemer og databaser, som den tekniske løsning ikke omfatter.
- at Basisbank A/S’ har udarbejdet skabeloner til at besvare anmodninger om indsigt fra kunder, og at banken vedlægger en kopi af de oplysninger, som banken behandler om den pågældende.
- at Sparekassen Kronjyllands håndtering af indsigtsanmodninger består i manuelt at danne en indsigtsrapport samt at supplere med øvrige oplysninger, der måtte være relevante i den enkelte sag. Datatilsynet henstillede til, at Sparekassen Kronjylland samler sine mange arbejdsgange for håndtering af indsigtsanmodninger for at understøtte en ensartet praksis i organisationen samt at tydeliggøre proceduren i arbejdsgangen.
- at Ringkjøbing Landbobank Aktieselskab danner en indsigtsrapport, når banken besvarer en anmodning om indsigt, og vedlægger eventuelt yderligere materiale, som kunden samtidig efterspørger. Datatilsynet henstillede til, at Ringkjøbing Landbobank Aktieselskab tydeliggør processen for håndtering af indsigtsanmodninger i bankens arbejdsgang.
Du kan læse Datatilsynets afsluttende udtalelser i de andre tilsyn her:
1. Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet besluttede at føre tilsyn med Sparekassen Sjælland-Fyn A/S’ håndtering af anmodninger om indsigt fra registrerede i henhold til databeskyttelsesforordningens[1] artikel 15 og artikel 12.
Datatilsynet bemærker indledningsvist, at tilsynet er afgrænset til Sparekassens Sjælland-Fyn A/S’ håndtering af anmodninger om indsigt fra kunder.
2. Sagsfremstilling
Datatilsynet har ved brev af 10. november 2021 anmodet Sparekassen Sjælland-Fyn A/S om en udtalelse samt kopi af sparekassens eventuelle procedurer, retningslinjer, skabeloner mv. for håndtering af indsigtsanmodninger, som Sparekassen Sjælland-Fyn A/S er fremkommet med den 1. december 2021.
Datatilsynet har efterfølgende den 17. januar 2022 spurgt ind til Sparekassen Sjælland-Fyn A/S’ procedure for dannelse af ”indsigtsrapporter”, som sparekassen besvarede den 4. februar 2022.
2.1. Sparekassen Sjælland-Fyn A/S’ bemærkninger
Sparekassen Sjælland-Fyn A/S har oplyst, at sparekassens tekniske løsning, der muliggør automatisk generering af indsigtsrapporter, ikke har adgang til samtlige af sparekassens systemer og databaser, hvorfor rapporten ikke omfatter alle de oplysninger, som sparekassen behandler om den registrerede, jf. databeskyttelsesforordningens artikel 15. Sparekassen Sjælland-Fyn A/S supplerer derfor indsigtsrapporterne med en manuel gennemgang af de af sparekassens systemer og databaser, som den tekniske løsning ikke omfatter.
Sparekassen Sjælland-Fyn A/S har hertil oplyst, at sparekassen ikke kan garantere, at tilbagemeldinger til de registrerede i alle tilfælde har været fejlfri, idet sparekassen, ud af fire behandlede indsigtsanmodninger i 2021, besvarede to ved brug af automatisk generede indsigtsrapporter og to ved brug af rapporter suppleret med en manuel gennemgang af systemer og databaser.
Endelig har Sparekassen Sjælland-Fyn A/S oplyst, at sparekassen – bl.a. på baggrund af Datatilsynets supplerende henvendelse af 17. januar 2022 – har valgt at præcisere den operationelle proces for håndtering af indsigtsanmodninger, så enkelte trin i processen fremgår tydeligere af den relevante arbejdsgang. Sparekassen Sjælland-Fyn A/S har sendt en kopi af sparekassens opdaterede arbejdsgang til Datatilsynet.
3. Afsluttende bemærkninger
3.1.
Det følger af databeskyttelsesforordningens artikel 15, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og en række supplerende oplysninger.
Et af de grundlæggende formål med indsigtsretten er, at den registrerede har mulighed for at kontrollere rigtigheden af de personoplysninger, som den dataansvarlige behandler – f.eks. med henblik på at gøre brug af andre rettigheder som retten til berigtigelse eller sletning.
Den registrerede har derfor som udgangspunkt ret til at modtage en fyldestgørende kopi af de oplysninger, som den dataansvarlige behandler om den pågældende, medmindre den registrerede har afgrænset sin anmodning til specifikke oplysninger om den pågældende, og/eller der kan gøres undtagelse til indsigtsretten i oplysninger, jf. databeskyttelsesforordningens artikel 12, artikel 15, databeskyttelseslovens § 22 eller andet retsgrundlag.
Retten til indsigt indebærer desuden, at den registrerede skal meddeles indsigt i indholdet, af de oplysninger, som behandles om den pågældende. Det betyder, at den dataansvarlige kan vælge at udlevere kopier af eksempelvis originale dokumenter, sagsmapper mv. til den pågældende, eller at kopiere oplysningerne om den registrerede over i et nyt dokument eller lignende. Det vigtigste er, at den registreredes meddeles en egentlig kopi af oplysningerne.
Endelig følger det af databeskyttelsesforordningens artikel 12, stk. 1, at meddelelse i henhold til artikel 15, bl.a. skal være gennemsigtig.
En procedure, hvorved den registrerede alene meddeles indsigt i en indsigtsrapport, der ikke indeholder alle oplysninger, som den registrerede har krav på efter databeskyttelsesforordningens artikel 15, vil som det klare udgangspunkt således ikke være i overensstemmelse med forordningens artikel 15 og artikel 12.
3.2.
Datatilsynet har – på baggrund af det af Sparekassen Sjælland-Fyn A/S oplyste og indsendte materiale - noteret sig følgende:
- at Sparekassen Sjælland-Fyn A/S’ procedure for besvarelse af indsigtsanmodninger består i at danne en indsigtsrapport suppleret med en manuel gennemgang af systemer og databaser, som den tekniske løsning ikke omfatter.
- at Sparekassen Sjælland-Fyn A/S har opdateret sin arbejdsgang for håndtering af anmodninger om indsigt fra registrerede, således at det nu fremgår, at sparekassen – udover at danne en indsigtsrapport – indhenter eventuelle yderligere oplysninger til rapporten, som ikke kan hentes af den tekniske løsning og
- at Sparekassen Sjælland-Fyn A/S’ medsender en kopi af de supplerende oplysninger, som følger af databeskyttelsesforordningens artikel 15, stk. 1, litra a-h.
På grundlag af sagens oplysninger er det Datatilsynets vurdering, at Sparekassens Sjælland-Fyn A/S’ procedurer for håndtering af anmodninger om indsigt understøtter de registreredes ret til indsigt inden for rammerne af databeskyttelsesforordningens artikel 12 og artikel 15.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)