Journalnummer: 2021-31-5085
Resume
Klager havde anmodet om indsigt i forbindelse med en verserende retssag.
Anmodningen om indsigt ville gøre det nødvendigt at identificere, indsamle, gennemgå og vurdere mere end en mio. dokumenter fordelt på forskellige selskaber for at afgøre, hvorvidt personoplysninger om klager, der måtte fremgå af disse dokumenter, skulle udleveres.
Den store mængde dokumenter, som kunne indeholde oplysninger om klager, relaterede sig i al væsentlighed til virksomheden Q, hvor klager var bestyrelsesmedlem, og virksomheden Z, hvor klager var administrerende partner, samt til igangværende retssager, herunder mod klager, i forlængelse af en virksomhedsoverdragelse.
Under disse omstændigheder fandt Datatilsynet – efter at sagen havde været behandlet i Datarådet – at de dataansvarlige ikke var forpligtet til at fremsøge og gennemgå dokumenterne for at identificere og udlevere oplysninger om klager. På den baggrund fandt Datatilsynet ikke grundlag for at kritisere de dataansvarliges håndtering af klagers anmodning om indsigt.
Datatilsynet lagde vægt på, at klager ikke nærmere havde specificeret sin anmodning sådan, at omfanget af materiale, som skulle gennemgås for at identificere eventuelle oplysninger om ham, blev nedbragt.
Datatilsynet lagde herefter vægt på, at der var tale om et større antal dokumenter, som kunne indeholde oplysninger om klager, men hvor man måtte antage, at eventuelle oplysninger om klager kun ville optræde ”accessorisk” i forhold til formålet med dokumenterne (i denne sammenhæng virksomhedsdrift).
Sagen ligger således i forlængelse af tidligere sager om samme emne, herunder sager om arbejdsgiveres mulighed for at afvise anmodninger om indsigt, som er tilgængelig her.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor A den 18. maj og 2. juni 2021 har rettet henvendelse til tilsynet med en klage over X og Y’ besvarelse af hans anmodning om indsigt i henhold til databeskyttelsesforordningens artikel 15.
A (”klager”) har i sagen været repræsenteret af advokatfirmaet Kromann Reumert.
X og Y (“de indklagede”) har i sagen været repræsenteret af advokatfirmaet Gorrissen Federspiel.
1. Afgørelse
Datatilsynet finder – efter at sagen har været behandlet i Datarådet – at de indklagede ikke var forpligtet til at fremsøge og gennemgå dokumenterne for at identificere og udlevere oplysninger om klager, jf. databeskyttelsesforordningens[1] artikel 12, stk. 5, litra b, og Datatilsynet finder under hensyn hertil ikke grundlag for at kritisere de indklagedes håndtering af klagers anmodning om indsigt.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
2.1.
Klager rettede den 18. maj 2021 (første gang) henvendelse til Datatilsynet med en klage over de indklagedes besvarelse af klagers anmodning om indsigt. Det fremgår heraf:
”…
On behalf of our client A we hereby submit a complaint to the Danish Data Protection Agency in relation to infringement of A’s right to gain access to his personal data within the mandatory time limit, cf. article 15 and article 12 (3) of the EU General Data Protection Regulation (GDPR).
On 16 February 2021 Kromann Reumert requested on behalf of A access to his personal data processed by the following data controllers: X, Y and Q. The letters are attached as appendix 1.
On 15 March 2021 Kromann Reumert received a letter from the law firm Gorrissen Federspiel on behalf of the above mentioned data controllers stating that it was necessary to extend the mandatory response period by two further months, taking into account the complexity and number of the requests, and specifically due to the large scale of the material to be reviewed in order to provide access to the data subject's personal data. The letter is attached as appendix 2.
On 16 March 2021 Kromann Reumert reserved the right to complaint to the Danish Data Protection Agency due to non-compliance with art. 12(3). The e-mail is attached as appendix 3.
As of today, 18 May 2021, neither Kromann Reumert nor A personally have received a response to the submitted data subject access requests.
Taking into consideration that the mandatory maximum time limit for the response, including any necessary extensions, to a data subject access request is three months, X, Y and Q as data controllers have clearly infringed A’s right to gain access to his personal data.
In the light of the above, we hereby submit a complaint to the Danish Data Protection Agency regarding X, Y and Q’s infringement of article 15 and article 12 (3) of the GDPR…”
Vedlagt som bilag til klagen var den af klager fremsatte anmodning om indsigt af 16. februar 2021, de indklagedes udsættelse af svarfristen af 15. marts 2021 og klagers bemærkninger hertil af 16. marts 2021.
2.2.
Den 26. maj 2021 fremsendte de indklagede af egen drift bemærkninger til sagen. Det fremgår heraf:
”…
Ved brev af 18. maj 2021 har Kromann Reumert på vegne af A (”…”) indgivet klage til Datatilsynet. Klagen vedrører en begæring fra A om indsigt efter GDPR art. 15, jf. databeskyttelseslovens § 22, i personoplysninger om A, som behandles af X, Y og Q (de ”dataansvarlige”). Ifølge klagen er indsigtsbegæringen ikke blevet besvaret rettidigt.
Gorrissen Federspiel skal på vegne de dataansvarlige gøre opmærksom på, at indsigtsbegæringen fra A blev besvaret netop d. 18. maj 2021, dvs. samme dag, som klagen blev indgivet til Datatilsynet, jf. vedhæftede. Det er vores opfattelse, at datoen d. 18. maj var rettidig i forhold til den absolutte 3-måneders frist for besvarelse af indsigtsanmodninger efter GDPR art. 15. Det bemærkes i den forbindelse, at det ikke af GDPR eller praksis herefter er klart, hvordan 1- henholdsvis 3-måneders fristen i GDPR art. 15 nærmere skal beregnes, herunder i forhold til fx søgne-/helligdage, februar med kun 28 dage, henvendelser der modtages efter almindelig kontortids ophør mv.
Selv hvis det lægges til grund, at fristen udløb på det absolut tidligste tidspunkt, dvs. d. 17. maj 2021, er der kun tale om én dags forsinkelse, hvilket ikke kan have ført til noget retstab for A.
Klagen fra Kromann Reumert giver Gorrissen Federspiel anledning til at henlede Datatilsynets opmærksomhed på et andet – og væsentlig større og mere principielt – problem i forbindelse med anmodninger om indsigtsbegæringer efter GDPR art. 15.
Den sag, der har givet anledning til indsigtsbegæringen fra A, vedrører et større verserende retssagskompleks, hvor en af de dataansvarlige, Y, har stævnet bl.a. A i forlængelse af Y’s overtagelse af Q d. […]. Sagen vedrører, om en række personer, herunder A, bevidst manipulerede med regnskabsoplysninger om Q forud for overtagelsen, og om de selskaber, som disse personer repræsenterede, hæfter herfor.
Sælger af Q,[…], blev i […] ved en voldgiftsret dømt til at betale […] tilbage til Y, fordi retten fandt det bevist, at en række personer, som bl.a. repræsenterede holdingselskabet, havde foretaget regnskabsmanipulation.
Den verserende retssag mod bl.a. A omfatter mere end 1,1 mio. dokumenter. Indsigtsanmodningen fra Kromann Reumert på vegne af A i medfør af GDPR art. 15 nødvendiggør således en gennemgang af mere end en million dokumenter for at kunne vurdere, hvorvidt personoplysninger om A, der måtte være indeholdt i disse dokumenter, konkret skal udleveres.
Det er vores bestemte opfattelse, at GDPR og persondataretten herved bliver misbrugt til at omgå de almindelige editionsregler i retsplejeloven, trainere retssagen unødigt og påføre modparten i sagen et uforholdsmæssigt stort ressourceforbrug og dermed uforholdsmæssige omkostninger til behandling af anmodninger efter GDPR, som reelt ikke føjer noget nyt og væsentligt til retssagen i forhold til det, de almindelige civilprocessuelle regler i retsplejeloven fører til.
Det er desværre vores indtryk, at Kromann Reumert og deres klients adfærd i denne sag er udtryk for en mere generel tendens til, at GDPR i meget omfattende retssagskomplekser misbruges på den beskrevne måde og med de beskrevne formål. Dette kan bidrage til at underminere legitimiteten bag og hensigten med de grundlæggende retsprincipper, som GDPR varetager. Det kan desuden fordyre førelse af retssager så meget, at mange helt vil afholde sig herfra – til skade for den ”access to justice”, der er fundamental for enhver retsstat og beskyttet efter både Den Europæiske Menneskerettighedskonvention art. 6 og EU’s Charter om grundlæggende rettigheder art. 47.
Vi skal på den baggrund anmode om Datatilsynets, eventuelt Datarådets, principielle stillingtagen til, hvordan indsigtsanmodninger nærmere skal behandles – herunder i forhold til dybden af behandlingen – i retssagskomplekser, der omfatter et ekstraordinært stort antal dokumenter, og hvor den registreredes rettigheder i meget vid udstrækning i forvejen er beskyttet af regler i andre regelsæt, herunder retsplejeloven…”
2.3.
Den 2. juni 2021 rettede klager henvendelse til Datatilsynet med en fornyet klage i sagen. Det fremgår heraf:
”…
We kindly refer to our complaint of 18 May 2021 submitted on behalf of our client A.
We can inform the Data Protection Agency that we subsequently have received a response from the data controllers in relation to the data subject access requests, including limited material made available to our client. The response letter is attached as appendix 4.
No response within the mandatory time limit
As the data subject access requests were set forward on 16 February 2021, the three-month mandatory response period expired on 16 May 2021.
Neither Kromann Reumert nor A had, however, received any response to the data subject access requests before the complaint to the Data Protection Agency was submitted on 18 May 2021. A copy of the complaint to the Data Protection Agency was also sent to the law firm Gorrissen Federspiel in accordance with the Code of Conduct for the Danish Bar and Law Society, and approximately three hours after the submission of the complaint to the Data Protection Agency, Kromann Reumert received the response letter and a link to a folder with a limited number of documents. A’s right to gain access to his personal data was therefore clearly not provided in due time and in compliance with the mandatory maximum time limit as stipulated in art. 12(3) of the GDPR.
Moreover, based on the limited material made available to A and the nature of such material, it seems obvious that the material could have been provided within the usual response period of one month and the two-month extension was unfounded under the given circumstances.
The material received
A received access to only 66 documents, relating to travel planning, practical matters related to the conduction of board meetings, KYC-information (i.e., copy of driver's license and copy of passport), separate documents with only e-mail logos on and a few personal e-mails regarding dinner and sports.
The data controllers have not provided any personal data or documents related to the pending legal claims between the data controllers and inter alia A, including ongoing legal proceedings, and nothing of material substance related to A’s position as a board member of the data controller Q from the period […] have been provided, even though such material undisputedly is in the possession of the data controllers. In fact, it is quite significant that the data controllers in their response letter have informed that they process personal data of A related to the period […] but at the same time only have provided access to 66 - irrelevant and futile - documents.
The legal proceedings
One of the data controllers Y (a holding company within D) purchased V, including the wholly owned operating company Q and its subsidiaries (“…") T. (a holding company within the Z group) (the "Seller") by way of a Share Sales and Puchase Agreement of […] and […] as transaction date ("Closing").
Shortly after Closing, the Q Group and its auditors discovered alleged irregularities in the records of Q, which according to Y significantly reduced the value of the group, and ultimately Y instigated an arbitration case against the Seller on […], claiming breach of warranties and a purchase price adjustment.
On 20 December 2019 Y furthermore initiated a court case against four entities within the Z group, A, the former CFO of Q and the former CEO of Q (collectively "the Defendants"), claiming payment of its loss related to the purchase of the Q Group.
The court case is scheduled to take place in Q1 2023 and so far, the proceedings has included submission of i) statements of defence on 1 September 2020, ii) reply on 16 November 2020, iii) a motion for discovery (edition) on 1 March 2021 and a request for a court appointed expert process to be initiated at a later point in time to assess the value of Q. The VP Engineering at Q and Q itself were joined as third party defendants, in September and December 2020, respectively.
Y and Q have claimed that the motion for discovery must be declined in its entirety.
Inapplicable exemptions invoked by data controllers
The data controllers have exempted personal data from A’s right of access with reference to the exemptions following from GDPR article 15(4) and the Danish Data Protection Act section 22 (2), no. 9 and 10. However, the conditions for the said exemptions are not met.
Art. 15(4) of the GDPR can be applied where the right of access may adversely affect the rights and freedoms of others, including trade secrets or intellectual property, and in particular the copyright protecting the software (recital 63), and as such it is of no relevance in this case. Further, it is specifically stated in recital 63 that the result of the considerations to exempt the material from the data subject's right of access should not be a refusal to provide the information to the data subject. Thus, even if the conditions of art. 15(4) of the GDPR had been met, the data controllers should apply redactions in terms of specific information and provide the rest of the information to the data subject, avoiding to withhold whole documents.
Section 22 (2), no. 9 and 10 of the Danish Data Protection Act, is clearly inapplicable, as this provision requires that with-holding information takes place due to essential considerations of public interests, such as exercise of powers of official authorities or carrying out actions in relation hereto. As all three data controllers are private entities not carrying out any such tasks in public interest, the exemption in question cannot justify limitations in A’s right of access to his personal data.
In case the right of access indeed has been restricted due to essential considerations of private interests which are deemed to override the data subject's interest in obtaining the information, see section 22 (1) of the Danish Data Protection Act, any exemptions used in this context must be applied restrictively and thus have a narrow scope. In accordance with the preparatory legal works to section 22 (1) of the Danish Data Protection Act, "essential considerations of private interests" must be interpreted as obvious high risk that disclosing the personal data to the data subject would lead to considerable material or immaterial damage for the data controllers. Therefore, this exemption requires a concrete assessment in relation to each category of personal data.
The provision can clearly not be (mis)used to withhold relevant information, based on the reason that it will impair the data controller's possibility of having a successful outcome of a court case vis-à-vis the data subject if relevant material is provided. Moreover, the data controllers should apply redaction techniques if specific information can be omitted, and provide redacted documents to the data subject, rather than withholding the material completely.
In the light of the above, we hereby submit a supplementary complaint to the Data Protection Agency regarding X, Y and Q’s infringement of article 15 and article 12 (3) of the GDPR…”
Vedlagt denne klage var de indklagedes besvarelse af 18. maj 2021 af den fremsatte anmodning. Det fremgår heraf:
”…
Scope of the request
[…]
Y has informed us that it processes personal data on A in connection with the ongoing legal claims against, inter alia, A.
X has informed us that it processes personal data on A in connection with the ongoing legal claims against, inter alia, A (and Z, where A was managing partner at the time of the purchase of Q from funds managed by Z.
The personal data relates only to the above-mentioned period up until late […] where A left the board of Q. Personal data which has been processed before this period has been deleted in accordance with X’s privacy policy and thus no longer exist.
A number of documents containing personal data on A has been found to be exempted from the right of access in accordance with the exceptions following from GDPR article 15(4), the Danish Data Protection act § 22, sect. 2, no. 9 and 10 (with appurtenant preparatory legal works) and guidelines from Datatilsynet based on its practice.
The exceptions concern situations where the data subject’s interest in the information is found to be overridden by essential considerations of private interests, including, inter alia, essential considerations regarding investigation and prosecution of legal claims, confidentiality obligations and protection of trade secrets etc. ..“
Foruden denne besvarelse var besvarelsen af 18. maj 2021 vedlagt informationer i henhold til databeskyttelsesforordningens artikel 15, stk. 1, og en række dokumenter.
2.4.
Den 9. juni 2021 fremkom de indklagede af egen drift med bemærkninger til Datatilsynet i anledning af klagers fornyede klage. Det fremgår heraf:
”…
Ved brev af 2. juni 2021 har Kromann Reumert på vegne af A (”Klager”) indgivet en supplerende klage til Datatilsynet i forlængelse af den oprindelige klage af 18. maj 2021. Klagerne vedrører en begæring om indsigt efter GDPR art. 15, jf. databeskyttelseslovens § 22, i personoplysninger om Klager, som behandles af vores klienter, X, Y og Q (herefter ”de Dataansvarlige”).
Mens den oprindelige klage vedrørte, at indsigtsbegæringen ikke skulle være blevet besvaret rettidigt, vedrører den supplerende klage, at indsigtsbegæringen ikke skulle være behandlet korrekt i henhold til GDPR og databeskyttelsesloven.
På vegne af de Dataansvarlige skal vi afvise begge dele af klagen. Vi skal samtidig på ny udtrykke vores beklagelse og generelle bekymring over et forsøg som det foreliggende på at misbruge GDPR og persondataretten til at omgå de almindelige editionsregler i retsplejeloven, trænere retssager unødigt og påføre modparter i sådanne retssager et uforholdsmæssigt stort ressourceforbrug og dermed uforholdsmæssige omkostninger til behandling af anmodninger efter GDPR.
Vi henviser her i det hele til vores brev til Datatilsynet af 26. maj 2021, hvori vi tillige anmoder om Datatilsynets, eventuelt Datarådets, principielle stillingtagen til, hvordan indsigtsanmodninger nærmere skal behandles – herunder i forhold til dybden af behandlingen og det afledte medgåede ressourceforbrug – i verserende retssagskomplekser, der omfatter et ekstraordinært stort antal dokumenter, og hvor den registreredes rettigheder i meget vid udstrækning i forvejen er beskyttet af regler i andre regelsæt, herunder ikke mindst retsplejelovens almindelige regler.
For så vidt angår den påståede fristoverskridelse i nærværende sag henviser vi i det hele til det i brevet af 26. maj 2021 anførte. For så vidt angår påstanden om, at indsigtsbegæringen ikke skulle være blevet behandlet korrekt, bemærkes, at den verserende retssag mod bl.a. Klager på de Dataansvarliges side involverer tre selskaber og i alt mere end 1,1 mio. dokumenter. Indsigtsanmodningen fra Klager i med før af GDPR art. 15 har således nødvendiggjort identifikation, indsamling, gennemgang og vurdering af mere end én million dokumenter fordelt på forskellige selskaber, for at kunne afgøre, hvorvidt personoplysninger om Klager, der måtte være indeholdt i disse dokumenter, konkret har skullet udleveres.
Dette har medført et særdeles omfattende indsamlings- og analysearbejde, der bl.a. har krævet bistand fra et førende konsulenthus inden for ”Forensics Services”. Det er selvsagt også årsagen til, at det har været nødvendigt at gøre brug af den forlængede 3-måneders frist.
Ved behandlingen og vurderingen af dokumenterne er de Dataansvarlige meget omhyggeligt gået frem efter den procedure, der ligger indlejret i GDPR art. 15 og databeskyttelseslovens § 22, og hvorefter den registrerede skal gives indsigt, medmindre den registreredes interesse i at få kendskab til oplysningerne konkret findes at burde vige for afgørende hensyn til private interesser.
Efter GDPR, databeskyttelseslovens § 22 og dennes forarbejder samt Datatilsynets praksis kan der således efter en konkret vurdering undtages fra indsigtsretten i en række situationer, herunder a) hvis indsigt vil stride imod en tavshedspligt, b) hvis indsigt væsentligt vil skade forretningshemmeligheder, c) hvis indsigt vil skade den dataansvarliges varetagelse af en legitim interesse, herunder i forbindelse med en aktuel eller potentiel retssag, og d) hvis den pågældende person er en ansat og kun er omtalt i kraft af sin ansættelsesmæssige funktion – ikke som privatperson.
De oplysninger, som de Dataansvarlige har udleveret i nærværende sag, er således et resultat af den foreskrevne vurdering og afvejning af hensynet til den registrerede, Klager, over for hensynet til de Dataansvarlige. Ved denne vurdering har navnlig de Dataansvarliges varetagelse af sine legitime interesser i forbindelse med den verserende retssag mod bl.a. Klager selvsagt vejet tungt. Det skal i den forbindelse erindres, at retten til ”a fair trial” efter EMRK art. 6 og EU’s Charter om grundlæggende rettigheder art. 47, er en grundrettighed på lige fod med retten til privatlivets fred og persondatabeskyttelse efter EMRK art. 8 og EU’s Charter om grundlæggende rettigheder art. 7 og 8.
Klagers supplerende klage om, at de Dataansvarlige ikke skulle have behandlet og besvaret indsigtsbegæringen fra Klager korrekt, er således åbenlyst ubegrundet og må følgelig klart afvises. De Dataansvarlige har tværtimod nøje – og med betydelige omkostninger til følge – fulgt den fremgangsmåde for behandling af indsigtsbegæringer, som GDPR og databeskyttelsesloven foreskriver.
Klagers supplerende klage synes tværtimod med al tydelighed at illustrere den mere principielle problemstilling, som de Dataansvarlige gav udtryk for i henvendelsen til Datatilsynet af d. 26. maj 2021, nemlig at sagen afspejler en bekymrende tendens, der synes at være til, at GDPR forsøges misbrugt til at omgå editionsreglerne i store retssager.
Den sag, der har givet anledning til indsigtsbegæringen fra A, vedrører et større verserende retssagskompleks, hvor en af de dataansvarlige, Y, har stævnet bl.a. Klager (A) i forlængelse af Y’s overtagelse af Q d. […].
Sagen vedrører, om en række personer, herunder Klager, bevidst manipulerede med regnskabsoplysninger om Q forud for overtagelsen, og om de selskaber, som disse personer repræsenterede, hæfter herfor.
Sælger af Q, […], blev […] ved en voldgiftsret dømt til at betale […] tilbage til Y, fordi retten fandt det bevist, at en række personer, som bl.a. repræsenterede holdingselskabet, havde foretaget regnskabsmanipulation. Den verserende retssag mod bl.a. Klager er anlagt i forlængelse af denne voldgiftssag.
Nærværende sag viser med al tydelighed, at indsigtsanmodningen efter GDPR kun bliver bragt i anvendelse som alternativ til almindelig edition efter retsplejeloven. Af den supplerende klage fremgår således udtrykkeligt, at Klager i den verserende retssag d. 1. marts 2020 begærede edition efter retsplejeloven; en begæring, som retten endnu ikke har taget stilling til. I stedet for at afvente udfaldet af editionsbegæringen forsøger Klager således at omgå editionsreglerne og i stedet misbruge indsigtsretten efter GDPR. Det skal i den forbindelse bemærkes, at sælger af Q (og dermed indirekte Klager) under voldgiftssagen forud for den verserende retssag fik adgang til ca. 1.200 dokumenter som svar på editionsbegæringer.
Det er da også påfaldende, at Klager aldrig tidligere ses at have indgivet nogen indsigtsbegæring i den ellers lange periode, han var bestyrelsesmedlem i Q, og heller ikke i tiden derefter, mens voldgiftssagen verserede. Indsigtsbegæringen kommer først nu i forbindelse med den verserende retssag.
I relation til forholdet mellem GDPR og editionsreglerne skal særligt bemærkes, at et af de grundlæggende formål med reglerne i retsplejeloven, herunder editionsreglerne, netop er at finde den rette balance mellem de i retssagen involverede parters interesser, således at begge parter opnår ”a fair trial” i overensstemmelse med den grundrettighed herom, der er beskyttet efter både EMRK art. 6 EU’s Charter om grundlæggende rettigheder art. 47. Det er ikke – og har aldrig været – hensigten med GDPR og persondataretten at forrykke denne balance.
Som anført i henvendelsen til Datatilsynet af 26. maj 2021 kan den tendens, der synes at være til, at GDPR forsøges misbrugt til at omgå de almindelige editionsregler i store retssager, bidrage til at underminere legitimiteten bag og hensigten med den grundlæggende ret til privatlivsfred, som GDPR varetager. Det kan desuden fordyre førelse af retssager så meget, at mange helt vil afholde sig herfra – til skade for den ”access to justice”, der er fundamental for enhver retsstat og ligeledes er beskyttet efter både Den Europæiske Menneskerettighedskonvention art. 6 og EU’s Charter om grundlæggende rettigheder art. 47.
På den baggrund skal vi på vegne de Dataansvarlige på ny anmode om Datatilsynets, eventuelt Datarådets, principielle stillingtagen til, hvordan indsigtsanmodninger nærmere skal behandles – herunder i forhold til dybden af behandlingen – i retssagskomplekser, der omfatter et ekstraordinært stort antal dokumenter, og hvor den registreredes rettigheder i meget vid udstrækning i forvejen er beskyttet af regler i andre regelsæt, herunder navnlig retsplejelovens almindelige regler…”
2.5.
Som svar på Datatilsynets anmodning om en udtalelse af 18. juni 2021 fremkom de indklagede den 6. juli 2021 med en udtalelse til sagen. Af udtalelsen fremgår:
”…
Ved brev af 18.juni 2021 har Datatilsynet anmodet om en udtalelse i ovennævnte sag, hvor Kromann Reumert på vegne af A (Klager) har henvendt sig til Datatilsynet. De anmodede oplysninger følger nedenfor, idet vi samtidig henviser til vores tidligere breve i sagen af 26. maj og 7. juni 2021.
- Ad kategorier af oplysninger
Datatilsynet har bedt om oplysning om, hvilke kategorier af oplysninger om Klager, X og Y ("de Dataansvarlige") behandler i relation til den nærværende sag.
Vi kan oplyse, at de Dataansvarlige behandler følgende kategorier af oplysninger om Klager:
- Identitetsoplysninger såsom navn, initialer, e-mail, adresse, foto, kopi af pas mv.
- Klagers titel og rolle i forbindelse med Y’s køb af Q […], herunder som medlem af bestyrelsen for Q […] og administrerende partner for Z.
- Personoplysninger relateret til de igangværende civile krav, bl.a. mod Klager, i fortsættelse af købet af Q den […].
- Ad typer af oplysninger
Vi kan oplyse, at de indsamlede og behandlede oplysninger ikke er følsomme oplysninger omfattet af GDPR art. 9.
Som nævnt i vores tidligere breve er oplysningerne indsamlet og behandlet til brug for en verserende retssag mod bl.a. Klager. Retssagen er en civil erstatningssag, og de Dataansvarlige behandler således ikke oplysningerne som oplysninger om strafbare forhold omfattet af GDPR art. 10.
Det kan dog ikke udelukkes, at politiet eller andre vil behandle oplysningerne som oplysninger om strafbare forhold omfattet af GDPR art. 10. Vi henviser i den forbindelse til det i vores tidligere breve anførte om, at den verserende retssag vedrører, om en række personer, herunder Klager, bevidst manipulerede med regnskabsoplysninger om Q forud for Y’s overtagelse af Q, og om de selskaber, som disse personer repræsenterede, hæfter herfor. Ved en voldgiftsafgørelse fra […], som den verserende retssag er en udløber af, blev sælger af Q, […] forvaltet af Z, dømt til at betale […] tilbage til Y, fordi retten fandt det bevist, at en række personer, som bl.a. repræsenterede holdingselskabet, havde foretaget regnskabsmanipulation.
Der er heller ikke i øvrigt tale om oplysninger, der efter andre regler anses for fortrolige, og hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne (jf. fx straffelovens § 152 sammenholdt med forvaltningslovens § 27). Der er med andre ord udelukkende tale om almindelige data, jf. det under pkt. 1 anførte.
- Ad begrundelse for ikke at udlevere personoplysninger
Som nævnt i vores tidligere henvendelser i sagen involverer den verserende retssag mod bl.a. Klager på de Dataansvarliges side tre selskaber og i alt mere end 1,1 mio. dokumenter. Indsigtsanmodningen fra Klager i medfør af GDPR art. 15 har således nødvendiggjort identifikation, indsamling, gennemgang og vurdering af mere end en million dokumenter fordelt på forskellige selskaber for at kunne afgøre, hvorvidt personoplysninger om Klager, der måtte være indeholdt i disse dokumenter, konkret har skullet udleveres.
Det er ikke muligt manuelt at gennemgå og vurdere mere end 1,1 mio. dokumenter. Det har derfor været nødvendigt at anvende en fremgangsmåde, der både er operationel og ressourcemæssig forsvarlig, og som samtidig opfylder kravene efter GDPR og databeskyttelsesloven, herunder de tidsmæssige krav. Metoden er udviklet sammen med Deloittes afdeling for "Forensics Services", der som grundlag for den verserende retssag har etableret en særlig database (herefter "Databasen") til at samle og strukturere de mange dokumenter i.
Den anvendte fremgangsmåde afspejler systematikken i GDPR art. 15 og databeskyttelseslovens § 22, hvorefter den registrerede skal gives indsigt, medmindre den registreredes interesse i at få kendskab til oplysningerne konkret findes at burde vige for afgørende hensyn til private interesser.
I den forbindelse er det væsentligt at understrege, at samtlige godt 1,1 mio. dokumenter - og de deri indeholdte personoplysninger - som nævnt relaterer sig til retssagen mod bl.a. Klager (eventuelle andre personoplysninger om Klager er slettet efter de almindelige regler i GDPR og selskabernes interne retningslinjer om sletning). Der er derfor tale om oplysninger, der formodningsvis har afgørende betydning for de Dataansvarliges varetagelse af sine legitime interesser i forbindelse med den verserende retssag. Da dokumenterne vedrører en meget stor virksomhedsovertagelse, er der samtidig tale om oplysninger, der er "født" særdeles forretningskritiske og dermed har karakter af forretningshemmeligheder.
Den anvendte fremgangsmåde er følgende:
- På baggrund af indsigtsanmodningen fra Klager foretoges en søgning i Databasen på dokumenter, hvor Klager er nævnt eller er afsender, modtager eller sat cc.
- Gorrissen Federspiel gennemgik og vurderede herefter manuelt ca. 25 % af dokumenterne (tilfældigt udvalgt) i henhold til den i GDPR og databeskyttelsesloven foreskrevne procedure, dvs. foretog en konkret vurdering af retten til indsigt over for de efter lov, forarbejder og praksis gældende undtagelser hertil (jf. nærmere om retsgrundlaget nedenfor under pkt. 4).
- For de dokumenter og oplysningers vedkommende, der blev fundet ikke at skulle udleveres, anførtes i Databasen den relevante juridiske undtagelse (til hovedreglen om indsigt).
- På baggrund af den manuelle gennemgang og kvalificering defineredes en række søgeord og ordsammenhænge, der med overvejende sandsynlighed ville føre til, at oplysninger i et givent dokument enten ville være genstand for indsigt eller omfattet af en undtagelse.
- På baggrund af de definerede søgeord og ordsammenhænge foretoges herefter en automatiseret filtrering af de øvrige dokumenter i Databasen indeholdende personoplysninger om Klager.
- Dokumenterne inddeltes herefter i 3 kategorier: 1) dokumenter og oplysninger, der skulle udleveres i henhold til indsigtsanmodningen, 2) dokumenter, der ikke skulle udleveres, og 3) dokumenter hvor vurderingen var usikker og derfor krævede en nærmere vurdering.
- For de dokumenters vedkommende, hvor vurderingen fandtes at være usikker, foretog Gorrissen Federspiel manuelt den endelige juridiske vurdering.
- De dokumenter og oplysninger, der efter gennemløb af hele metoden var genstand for indsigt, i alt 100 dokumenter, blev herefter udleveret til Klagers advokat i krypteret form.
Når ikke flere end i alt 100 dokumenter blev udleveret til Klager, skyldes det således, at det for de øvrige dokumenters vedkommende på baggrund af den beskrevne fremgangsmåde er vurderet, at afgørende hensyn til de Dataansvarlige taler for ikke at udlevere oplysningerne til Klager, jf. databeskyttelseslovens § 22, stk. 1.
I denne vurdering og hensynsafvejning må indgå, at Klagers interesse i at få indsigt som tidligere beskrevet skal vurderes i sammenhæng med, at Klager - fordi indsigtsanmodningen er uløseligt forbundet med en større verserende retssag, hvori Klager er sagsøgt - har mulighed for via retsplejelovens almindelige editionsregler at få udleveret de oplysninger, der er relevante for Klager for at kunne varetage sine retlige interesser på en rimelig og afbalanceret måde. Se nærmere om det retlige grundlag straks nedenfor.
- Ad det retlige grundlag
For hovedparten af de oplysninger, som de Dataansvarlige ligger inde med om Klager, gælder som anført, at disse oplysninger er fundet at være omfattet af en eller flere af undtagelserne til indsigtsretten efter GDPR art. 15.
Efter GDPR, databeskyttelseslovens § 22 og dennes forarbejder samt Datatilsynets praksis kan der således undtages fra indsigtsretten i en række situationer, herunder a) hvis indsigt vil stride imod en tavshedspligt, b) hvis indsigt væsentligt vil skade forretningshemmeligheder, c) hvis indsigt vil skade den dataansvarliges varetagelse af en legitim interesse, herunder i forbindelse med en aktuel eller potentiel retssag, og d) hvis den pågældende person kun er omtalt i kraft af sin ansættelsesmæssige funktion (dvs. selve opgavevaretagelsen) - ikke som person.
I relation til sidstnævnte undtagelse, der er udviklet i Datatilsynets praksis (jf. vejledning af december 2020 om Databeskyttelse i forbindelse med ansættelsesforhold), bemærkes, at reale grunde må tale for, at bestyrelsesmedlemmer behandles efter samme principper som egentlige ansatte, idet bestyrelsesmedlemmer på samme måde som andre personer i virksomheden varetager en funktion, som kan adskilles fra den pågældende person selv. Det bemærkes i øvrigt, at der ved anvendelsen af denne undtagelse ikke skal foretages nogen konkret interesseafvejning, idet de pågældende oplysninger, fordi de er knyttet til personens funktion og ikke personen selv, slet ikke udgør personoplysninger i GDPR's forstand, jf. art. 4, nr. 1.
Idet Klager i nærværende sag i udstrakt grad har modtaget dokumenterne i kopi, uden at være hverken afsender eller adressat for det pågældende dokument, er Klager i vidt omfang kun omtalt i kraft af sin funktion, ikke i kraft af sin person.
For så vidt angår undtagelsen vedrørende forretningshemmeligheder bemærkes som tidligere nævnt, at dokumenterne vedrører en meget stor virksomhedsovertagelse, hvorfor der er tale om dokumenter, herunder personoplysninger, der er "født" særdeles forretningskritiske og dermed har karakter af forretningshemmeligheder.
I relation til undtagelsen om varetagelse af en legitim interesse gælder som ligeledes nævnt, at samtlige 1,1 mio. dokumenter i nærværende indsigtssag relaterer sig til retssagen mod bl.a. Klager. Der er derfor tale om oplysninger, der formodningsvis har afgørende betydning for de dataansvarliges varetagelse af sine legitime interesser i forbindelse med den verserende retssag.
Hertil kommer som nævnt, at Klager, fordi der verserer en retssag, har mulighed for at anvende de almindelige editionsregler i retsplejeloven til at få adgang til de dokumenter og oplysninger, der er relevante for, at Klager kan varetage sine legitime interesser i sagen. Som tidligere nævnt er et af de grundlæggende formål med reglerne i retsplejeloven, herunder editionsreglerne, netop at finde den rette balance mellem de i retssagen involverede parters interesser, således at begge parter opnår adgang til "a fair trial" i overensstemmelse med den grundrettighed herom, der er beskyttet efter både EMRK art. 6 EU's Charter om grundlæggende rettigheder art. 47. Det er ikke - og har aldrig været - hensigten med GDPR og persondataretten at forrykke denne balance.
Som anført i henvendelsen til Datatilsynet af 26. maj 2021 er nærværende indsigtssag udtryk for en bekymrende tendens til, at GDPR forsøges misbrugt til at omgå de almindelige editionsregler i store retssager. Dette kan underminere legitimiteten bag og hensigten med den grundlæggende ret til privatlivsfred, som GDPR varetager. Det kan desuden fordyre førelse af retssager så meget, at mange helt vil afholde sig herfra - til skade for den "access to justice", der er fundamental for enhver retsstat og ligeledes er beskyttet efter både Den Europæiske Menneskerettighedskonvention art. 6 og EU's Charter om grundlæggende rettigheder art. 47.
I relation til databeskyttelseslovens § 22 fremgår det af forarbejderne til bestemmelsen (jf. lovforslag L 68, FT 2017-18), at afvejningen efter § 22 (om begrænsninger i den registreredes rettigheder) må foretages for hver enkelt oplysning for sig, med den virkning, at hvis der er oplysninger, der kan undtages fra indsigtsretten, må der ved ekstrahering gives indsigt i de øvrige oplysninger.
Disse regler, der ifølge lovforarbejderne har forbillede i offentlighedslovens aktindsigtsregler, giver udmærket mening i indsigtssager, hvor der er tale om et forholdsvis overkommeligt antal dokumenter. I store retssagskomplekser som det foreliggende med millioner af dokumenter er reglerne imidlertid klart uproportionale, i hvert fald hvis det ligger som en forudsætning i reglerne, at vurderingen af dokumenterne og oplysningerne udelukkende skal ske manuelt. Her vil reglerne føre til en så markant fordyrelse af retssager, at mange som nævnt helt vil afholde sig herfra til skade for den grundlæggende ret til "access to justice", jf. Den Europæiske Menneskerettighedskonvention art. 6 og EU's Charter om grundlæggende rettigheder art. 47.
Det uproportionale i reglerne styrkes kun af, at retsplejelovens almindelige editionsregler i sådanne store retssagskomplekser tilgodeser de samme interesser som indsigtsretten efter GDPR. Det bemærkes i den forbindelse, at editionsreglerne udmærket kan rumme de nødvendige databeskyttelseshensyn, jf. herved fx UfR 2007.196 H. Indsigtsretten efter GDPR bør derfor ikke kunne bruges til i forbindelse med en retssag at "gå på fisketur" efter oplysninger, som man ikke måtte være berettiget til efter editionsreglerne. Dette ville underminere den balance, der er indbygget i editionsreglerne, jf. også princippet om "equality of arms" efter EMRK art. 6.
I forhold til de refererede lovbemærkninger til databeskyttelseslovens § 22, der som nævnt har forbillede i offentlighedslovens aktindsigtsregler, skal desuden bemærkes, at de synes at savne det fornødne grundlag i GDPR. GDPR art. 15 foreskriver ikke en ufravigelig, konkret "dokument-for-dokument" vurdering med indbygget ekstraheringspligt. Tværtimod betoner GDPR overalt proportionalitetsprincippet og rimelighedsprincippet, jf. art. 5, ligesom en indsigtsanmodning helt kan afvises, hvis den er åbenbart grundløs eller overdreven, jf. art. 12, stk. 5.
Dette taler for en fortolkning af databeskyttelseslovens § 22, hvorefter indsigtsanmodninger i omfattende retssagskomplekser med uhyre store mængder dokumenter kan behandles og besvares som sket i nærværende sag, dvs. ved en delvist automatiseret fremgangsmåde baseret på manuelle input og løbende manuel validering af resultaterne.
Vi minder i den forbindelse om, at reglerne i GDPR kap. III om den registreredes rettigheder i det hele er udtryk for totalharmonisering. Ifølge GDPR art. 22 kan medlemsstaterne begrænse den registreredes rettigheder efter GDPR kap. III, men kan ikke udvide dem. Det må derfor anses for tvivlsomt, om de i lovbemærkningerne til databeskyttelseslovens § 22 fastsatte krav - hvis de skal forstås meget rigidt og ufleksibelt, jf. ovenfor - er i overensstemmelse med GDPR.
- Sammenfatning
Sammenfattende er det derfor vores opfattelse, at den oven for anførte - delvist automatiserede - fremgangsmåde til behandling af indsigtsanmodninger, der i sig selv er ganske tids- og omkostningskrævende, fuldt ud opfylder kravene i GDPR i store retssagskomplekser som det foreliggende. Såfremt Datatilsynet måtte være af en anden opfattelse, skal vi venligst - og under hensyntagen til sagens principielle rækkevidde - anmode tilsynet om at redegøre nærmere herfor. Vi skal endvidere anmode om, at sagen forelægges Datarådet til udtalelse…”
2.6.
Den 18. august 2021 fremkom klager med bemærkninger til sagen. Af bemærkningerne fremgår:
”…
Voldgiftsretten udtalte ikke kritik af A
- De Dataansvarlige anfører, at det ikke kan udelukkes, at politiet eller andre vil behandle de indsamlede og behandlede oplysninger som oplysninger om strafbare forhold og henviser til, at retssagen anlagt af Y mod bl.a. A vedrører spørgsmålet om, hvorvidt en række personer i Q, herunder A, har manipuleret regnskabsoplysninger.
- De Dataansvarlige henviser videre til, at sælger af anparterne i […] ved en voldgiftskendelse fra […] blev dømt til at betale et større beløb til Y, fordi voldgiftsretten fandt det bevist, at en række personer havde foretaget regnskabsmanipulation.
- A var netop ikke en af de personer, som voldgiftsretten mente havde foretaget regnskabsmanipulation. Tværtimod udtalte voldgiftsretten ikke kritik af A, på trods af, at Y - som det også er beskrevet i de Dataansvarliges brev - øjensynligt havde gennemgået mere end 1,1 mio. dokumenter og e-mails og i det hele taget udfoldet helt uhørte bestræbelser på at hæfte A op på de påståede uregelmæssigheder.
Antallet af dokumenter kan ikke begrunde afvisning
- De Dataansvarlige henviser som en del af begrundelsen for ikke at udlevere oplysninger til, at der er tale om mere end 1,1 mio. dokumenter, som skal gennemgås. Hverken indsigtsreglerne i GDPR eller undtagelsesbestemmelserne i databeskyttelsesloven gør det dog muligt at tilbageholde personoplysninger, der søges indsigt i, grundet omfanget af det materiale, der skal gennemgås i forbindelse med en indsigtsanmodning.
- Retssagskomplekser kan selvsagt indeholde store mængder dokumenter, men det samme kan gælde eksempelvis sager hos en kommune, der potentielt kan behandle oplysninger om den registrerede i forskellige forvaltninger, et moderselskab i en større koncern, hvor en række koncernselskaber kan være involveret i de relevante behandlingsaktiviteter, eller et konkursbo, hvor en stor mængde af oplysninger med ganske kort varsel kan overgå til en kurator, som intet kendskab har hertil. Konsekvenserne af at inddrage sådanne hensyn i en persondataretlig vurdering i en digital tidsalder er selvsagt bekymrende og uholdbare.
- Begrundelsen omkring omfanget af dokumenterne fremstår endvidere efter sin natur uden bonitet, når det tages i betragtning, at de Dataansvarlige har undladt at gennemgå og ekstrahere dokumenter, på trods af at de Dataansvarlige øjensynligt er fuldt bevidst om, at dette er et krav efter (forarbejderne til) databeskyttelseslovens § 22, som de blot mener er i strid med EU-retten, og at de Dataansvarlige desuden kun har udleveret et yderst begrænset antal dokumenter.
Det er ikke gældende praksis, at oplysninger kan undtages, fordi de vedrører en "funktion"
- I forhold til bemærkningerne om en persons ageren i professionel sammenhæng kan et tidligere bestyrelsesmedlem ikke sidestilles med en ansat, bl.a. fordi et bestyrelsesmedlem vælges af generalforsamlingen og foretager handlinger, træffer beslutninger og har et (personligt) ansvar, der ikke kan sammenlignes med ansattes.
- Det følger endvidere ikke af Datatilsynets praksis, at oplysninger, som behandles under et ansættelsesforhold og vedrører handlinger udført i forbindelse med ens opgavevaretagelse, ikke skal anses for personoplysninger som defineret i GDPR, art. 4, nr. 1. Sådanne oplysninger vil i mange tilfælde utvivlsomt udgøre information om en identificeret eller identificerbar fysisk person. Der er derfor ikke tale om nogen automatisk udelukkelse af sådanne oplysninger fra indsigtsretten, blot fordi oplysningerne relaterer sig til en (job)funktion eller ageren i professionel sammenhæng.
- Endeligt kan og bør der ikke som led i håndtering af en indsigtsanmodning ske en klar adskillelse af den registreredes person og dennes "funktion". Som det også fremgår af Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold (december 2020), har det betydning, hvorvidt der eksempelvis er tale om en beskrivelse af en handlemåde, som er udtryk for et personligt valg foretaget af den pågældende eller en reaktion fra dennes side. Handlinger, beslutninger og vurderinger i professionel sammenhæng, herunder særligt for bestyrelsesmedlemmer, kan bestemt være udtryk for et mere eller mindre personligt valg, præference eller reaktion, og de Dataansvarliges omtale og efterfølgende vurdering heraf må klart anses at være omfattet af indsigtsretten, medmindre oplysningerne specifikt kan undtages på baggrund af de relevante undtagelsesbestemmelser.
Hævdede forretningshemmeligheder
- De Dataansvarlige henviser til, at de relevante dokumenter vedrører en stor virksomhedsoverdragelse, hvorfor der er tale om dokumenter, der er "født" forretningskritiske og har karakter af forretningshemmeligheder. Begrundelsen harmonerer imidlertid dårligt med, at oplysningerne samtidig er undtaget med henvisning til, at de vedrører A’s arbejde som bestyrelsesmedlem, og at han i udstrakt grad har modtaget dokumenterne i kopi.
- A var bestyrelsesmedlem i Q fra […]og helt frem til gennemførelsen (closing) af den omtalte virksomhedshandel i […], og han er derfor præsumptivt bekendt med - og har potentielt deltaget i udviklingen af - visse dokumenter, der af de Dataansvarlige søges klassificeret som "forretningshemmeligheder". De Dataansvarlige kan allerede af den grund ikke foretage en (generel) afvisning af indsigt i de personoplysninger, der måtte være indeholdt heri.
De Dataansvarliges interesse i den verserende retssag går ikke forud for A’s ret til indsigt
- De Dataansvarlige henviser til, at oplysningerne "formodningsvis har afgørende betydning for de dataansvarliges varetagelse af sine legitime interesser i forbindelse med den verserende retssag". De Dataansvarlige har ikke nærmere redegjort for, hvorfor oplysningerne skulle have en sådan afgørende betydning, og de Dataansvarlige har heller redegjort for, hvorfor dette hensyn - et hensyn til egne interesser i en retssag indledt af en af de Dataansvarslig selv mod netop A - skulle veje tungere end A’s ret til at få indsigt i de oplysninger, der behandles om ham, og i særdeleshed hvordan det skulle kunne føre til en de facto komplet afvisning af indsigt.
- Som det også fremgår af forarbejderne til databeskyttelseslovens § 22, stk. 1, giver bestemmelsen ikke adgang til generelt at undtage bestemte former for behandling af oplysninger fra indsigtsretten, og en sådan praksis må også anses for at gå imod hovedformålet med indsigtsretten, nemlig at sikre gennemsigtighed med behandling af personoplysninger.
- De Dataansvarliges bemærkninger om, at A har mulighed for at anvende retsplejelovens editionsregler som led i den verserende retssag tager ikke højde for, at editionsreglerne og GDPR varetager forskellige hensyn, formål og funktioner. Mens editionsreglerne vedrører potentielt alle typer af oplysninger og dokumenter, men stiller krav om angivelse af formål og betydning for en retssag, stiller GDPR intet krav om angivelse af formål eller begrundelse, men vedrører kun personoplysninger. Der er da heller ikke tale om, at A har anmodet om indsigt i andet eller mere end de personoplysninger, der behandles om ham selv. Hverken editionsreglerne eller indsigtsretten har i øvrigt til formål at begrænse retten til oplysninger, men derimod under nærmere angivne omstændigheder at sikre adgang hertil.
- De Dataansvarlige anfører, at det ikke er hensigten med GDPR at gribe ind i retsplejelovens editionsregler og retten til "a fair trial" i henhold til EMRK art. 6 og EU's Charter om grundlæggende rettigheder art. 47. Lige så lidt er det imidlertid hensigten med editionsreglerne at gribe ind i indsigtsretten efter GDPR og retten til respekt for privatlivet og beskyttelse af personoplysninger i henhold til EMRK art. 8 og EU's Charter om grundlæggende rettigheder art. 7 og 8. Der er således intet grundlag for synpunktet om, at eksistensen af en retssag, og det faktum, at et datasubjekt har mulighed for at gøre brug af editionsreglerne som led heri, skulle begrænse indsigtsretten efter GDPR.
- Anmodningen er derfor heller ikke udtryk for en "bekymrende tendens" til, at GDPR søges "misbrugt til at omgå" editionsreglerne. Dette er inddragelse af uvedkommende og urimelige hensyn i behandlingen af en helt legitim indsigtsanmodning. Hvis noget skal give anledning til bekymring, er det snarere de Dataansvarliges forsøg på at begrænse indsigtsretten med henvisning til en retssag, som en af de Dataansvarlige selv har indledt mod datasubjektet…”
2.7.
Den 20. september 2021 fremkom de indklagede med yderligere bemærkninger til sagen. Det fremgår heraf:
”…
Datatilsynet har anmodet om de Dataansvarliges eventuelle bemærkninger til Klagers, A’s udtalelse af 18. august 2021 i ovennævnte sag. Vi skal på den baggrund på vegne af de Dataansvarlige bemærke følgende, idet vi i øvrigt i det hele henholder os til vores tidligere udtalelser og redegørelser i sagen.
- Ad typer af oplysninger
Klager gør gældende, at han ikke var en af de personer, som voldgiftsretten mente havde foretaget regnskabsmanipulation. Det skal hertil bemærkes, at voldgiftssagen, som vi tidligere har anført, var en civil sag, der vedrørte spørgsmålet, om de foretagne regnskabsdispositioner gav grundlag for et erstatningsansvar mod det selskab, som bl.a. Klager repræsenterede. Dette fandt voldgiftsretten var tilfældet. Voldgiftsretten tog således ikke stilling til et eventuelt strafansvar i sagen, herunder om der er grundlag for et individualansvar mod de involverede ledelsespersoner, bl.a. Klager.
Det skal derfor fastholdes, at det ikke kan udelukkes, at politiet eller andre vil behandle oplysningerne om Klager som oplysninger om strafbare forhold omfattet af GDPR art. 10.
Klagers bemærkning om, at de Dataansvarlige "i det hele taget [har] udfoldet helt uhørte bestræbelser på at hæfte A op på de påståede uregelmæssigheder", hører ikke hjemme i en i øvrigt saglig og seriøs skriftveksling.
- Ad begrundelse for ikke at udlevere personoplysninger
Klager anfører, at antallet af dokumenter, mere end 1,1 mio., ikke kan begrunde afvisning. Dette er helt korrekt, og de Dataansvarlige har da netop heller ikke afvist indsigtsbegæringen. Tværtimod har de dataansvarlige udviklet en fremgangsmåde til behandling af så omfattende indsigtsanmodninger i lyset af, at det ikke er muligt manuelt at gennemgå så store mængder dokumenter dokument for dokument.
Den anvendte fremgangsmåde, der er en delvist automatiseret fremgangsmåde baseret på manuelle input og løbende manuel validering af resultaterne, overholder kravene i GDPR art. 15 og databeskyttelseslovens § 22, samtidig med, at den gør det praktisk muligt på en lovlig og forsvarlig måde at gennemgå så store mængder dokumenter.
Fremgangsmåden er detaljeret beskrevet i vores redegørelse til Datatilsynet af 6. juli 2021, hvortil i det hele henvises.
- Gældende praksis vedrørende oplysninger, der vedrører en "funktion"
Det fastholdes, at reale grunde må tale for, at bestyrelsesmedlemmer behandles efter samme principper som egentlige ansatte, idet bestyrelsesmedlemmer på samme måde som andre personer i virksomheden varetager en funktion, som kan adskilles fra den pågældende person selv.
I Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold (december 2000) skelnes ikke mellem, om den pågældende indtager en høj eller lav position i virksomheden. Det afgørende er alene, om der er tale om oplysninger om den pågældende selv (dvs. personoplysninger), eller om oplysninger, der først og fremmest beskriver den funktion, som den pågældende varetager eller har varetaget. At denne grundlæggende sondring ikke skulle omfatte sager om indsigtsanmodninger, sådan som Klager synes at mene, er uden belæg i vejledningen eller Datatilsynets praksis i øvrigt.
- Undtagelsen vedrørende forretningshemmeligheder
Klager bestrider, at dokumenterne om virksomhedsoverdragelsen kan have karakter af forretningshemmeligheder, når Klager samtidig - i sin egenskab af bestyrelsesmedlem i det overtagne selskab - har modtaget dokumenterne i kopi. Det er vanskeligt helt at forstå dette - noget besynderlige - argument. Det er indlysende, at et dokument ikke fortaber sin karakter af forretningshemmelighed, fordi det sendes til udvalgte nøglepersoner, herunder bestyrelsesmedlemmer - nærmest tværtimod.
Samtidig synes det noget selvmodsigende, at Klager søger indsigt i dokumenter, som Klager nu gør gældende "i udstrakt grad" selv at ligge inde med.
- Varetagelse af de Dataansvarliges legitime interesser i forbindelse med en retssag
Klager anfører, at de Dataansvarlige ikke nærmere har redegjort for, hvorfor oplysningerne skulle have afgørende betydning for den verserende retssag, og hvorfor hensynet til de Dataansvarlige skulle veje tungere end hensynet til Klager.
Hertil skal bemærkes, at det burde være indlysende, at en retssag, der er en udløber af en voldgiftssag, hvor voldgiftsretten tilkendte de Dataansvarlige en erstatning på […] som følge af begået regnskabsmanipulation i forbindelse med en virksomhedsoverdragelse, har afgørende betydning for de Dataansvarlige. Der er da heller ikke i GDPR eller forarbejderne til databeskyttelseslovens § 22 noget krav om, at en dataansvarligs legitime interesser i forbindelse med en retssag skal begrundes ud over det, der - som i tilfældet her - er helt åbenlyst.
At hensynet til de Dataansvarlige konkret overstiger hensynet til Klager, skyldes bl.a. Klagers mulighed for at anvende retsplejelovens almindelige editionsregler, jf. nærmere vores redegørelse til Datatilsynet af 6. juli 2021. Hertil kommer, at Klager nu selv har oplyst allerede at være i besiddelse af hovedparten af dokumenterne, jf. det oven for anførte. Klager er således fuldt ud i stand til at varetage sine egne interesser i retssagen.
Vi henviser i øvrigt i det hele til vores tidligere skrivelser i sagen…”
2.8.
Den 22. oktober 2021 fremkom klager med yderligere bemærkninger til sagen. Det fremgår heraf:
”…
Det følger ikke af Datatilsynets vejledning eller praksis, at personoplysninger undtages fra retten til indsigt, fordi de anses at vedrøre en "funktion"
- De Dataansvarlige antyder, at der eksisterer en gældende (og evt. generel) praksis om, at personoplysninger undtages fra den registreredes ret til indsigt, hvis der er tale om personoplysninger, som vedrører en arbejdsfunktion, og at der gælder nogle generelle principper for ansatte i den forbindelse. Som Datatilsynet givetvis er opmærksom på, er dette ikke korrekt.
- Der er derimod alene tale om angivelse af et konkret eksempel i Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold, som blot illustrerer, hvordan en arbejdsgiver i et konkret tilfælde begrundet kan afvise at give en tidligere ansat indsigt i eksempelvis breve, notater og e-mails, som er underskrevet, udfærdiget eller sendt af den pågældende i forbindelse med sin opgavevaretagelse, med henvisning til, at henvendelsen er overdreven, jf. GDPR art. 12, stk. 5. I samme eksempel angives der, at der ved vurderingen heraf kan tillægges betydning, om personoplysningerne i den givne situation først og fremmest beskriver en funktion, som den pågældende har foretaget på arbejdspladsen. Det fremgår tilsvarende af vejledningen, at der altid skal foretages en konkret vurdering af, om indsigt kan afslås, og en arbejdsgiver kan således ikke generelt afskære bestemte typer af oplysninger fra indsigtsretten.
- A er ikke en tidligere medarbejder hos de Dataansvarlige, hvorfor eksemplet ikke er anvendeligt i den angivne situation og allerede af denne grund ikke bør tillægges særlig betydning. Det relevante fortolkningsbidrag må til gengæld være, at undtagelsen til A’s ret til indsigt i databeskyttelseslovens § 22, stk. 1 skal anvendes restriktivt, og de Dataansvarlige skal foretage en konkret vurdering, som begrunder undtagelse fra hans ret til indsigt. Ønsker de Dataansvarlige således at undtage personoplysninger fra indsigt grundet den pågældendes arbejdsfunktion, skal det naturligvis indgå i vurderingen, hvilken position den pågældende har haft, og hvordan dette helt konkret kan begrunde undtagelse fra indsigtsretten. Den specifikke arbejdsfunktion kan derfor have betydning for muligheden at anvende undtagelsen databeskyttelseslovens § 22, stk. 1, men det er åbenbart ikke muligt at anlægge en generel betragtning om, at personoplysninger, som måtte vedrøre en funktion, skal eller kan undtages fra indsigtsretten.
A er ikke i besiddelse af de personoplysninger, der søges indsigt i
- De Dataansvarlige anfører, at "Klager søger indsigt i dokumenter, som Klager nu gør gældende "i udstrakt grad" selv at ligge inde med" og at "Klager nu selv har oplyst allerede at være i besiddelse af hovedparten af dokumenterne". Dette er ukorrekt og baseret på en misforståelse eller fordrejning af de fremsatte synspunkter.
- I brev af 18. august 2021 til Datatilsynet på vegne af A blev det bemærket, at de Dataansvarliges afvisning af give indsigt i oplysninger med henvisning til hævdede "forretningshemmeligheder", harmonerer dårligt med, at oplysningerne samtidig er undtaget med henvisning til, at de vedrører A’s arbejde som bestyrelsesmedlem, og at han i udstrakt grad har modtaget dokumenterne i kopi.
- Det er tilsyneladende sidstnævnte bemærkning om, at A har modtaget dokumenter i kopi, som de Dataansvarlige særligt har hæftet sig ved og nu benytter som grundlag for en hævdelse om, at A selv ligger inde med dokumenterne. Bemærkningen er imidlertid blot en henvisning til de Dataansvarliges synspunkter fremsat i brev af 6. juli 2021, hvor de Dataansvarlige anførte, at "Idet Klager i nærværende sag i udstrakt grad har modtaget dokumenterne i kopi, uden at være hverken afsender eller adressat for det pågældende, er Klager i vidt omfang kun omtalt i kraft af sin funktion, ikke i kraft af sin person" (vores understregning).
- Som anført i brevet af 18. august 2021 har dette betydning, fordi de Dataansvarlige ikke kan foretage en (generel) afvisning af indsigt med henvisning til hævdede "forretningshemmeligheder", som A præsumptivt er bekendt med, fx igennem sit bestyrelsesarbejde i Q og/eller fordi han - altså ifølge de Dataansvarlige selv - har modtaget visse dokumenter i kopi.
- Det forhold, at A på et tidspunkt har modtaget visse dokumenter i kopi, betyder dog selvsagt ikke, at han (fortsat) er i besiddelse af sådanne dokumenter eller oplysningerne indeholdt deri. Det er tværtimod væsentligt at understrege, at A netop ikke er i besiddelse af de oplysninger, der søges indsigt i.
Datatilsynets praksis viser, at de Dataansvarliges interesse i en retssag ikke går forud for A’s ret til indsigt
- De Dataansvarlige anfører, at hensynet til de Dataansvarliges interesser den retssag, som de Dataansvarlige har anlagt mod bl.a. A, overstiger hensynet til A’s ret til indsigt. Dette er vedvarende blevet bestridt og bestrides fortsat, og synspunktet er også i modstrid med Datatilsynets praksis.
- Datatilsynet har således i en afgørelse af 6. september 2021 (j.nr. 2020-31-3586) udtalt alvorlig kritik af et forsikringsselskab, som havde nægtet at give en tidligere kunde indsigt i overvågningsmateriale med henvisning til, at kunden ville bruge materialet i en mulig retssag mod forsikringsselskabet. Datatilsynet udtaler bl.a. i afgørelsen:
[…]
- Afgørelsen viser således, at det forhold, at personoplysninger vil kunne inddrages i en retstvist til skade for den dataansvarlige, ikke udgør et så afgørende hensyn til den dataansvarliges interesser, at personoplysningerne kan undtages fra indsigt i medfør af databeskyttelseslovens § 22. Afgørelsen understreger dermed, at de Dataansvarlige ikke har været berettiget til at afvise A’s anmodning om indsigt i personoplysninger med henvisning til de Dataansvarliges egne interesser i retssagen anlagt mod bl.a. A…”
2.9.
Den 8. november 2021 fremkom de indklagede med afsluttende bemærkninger i sagen. Det fremgår heraf:
”…
- Ad Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold
Klager gør på ny gældende, at de Dataansvarlige generelt skulle have undtaget oplysninger om en persons arbejdsmæssige funktion fra indsigtsretten. Dette er ikke korrekt. Som beskrevet i vores tidligere korrespondance i sagen, herunder vores udtalelse til Datatilsynet af 6. juli 2021, har de Dataansvarlige ikke generelt udeholdt nogen typer af oplysninger fra indsigtsretten, men har udviklet en delvist automatiseret fremgangsmåde, der overholder kravene i GDPR art. 15 og databeskyttelseslovens § 22 samtidig med, at den gør det praktisk muligt at gennemgå og vurdere så store mængder dokumenter, som der her er tale om.
Det fastholdes tillige, at reale grunde må tale for at fortolke Datatilsynets vejledning således, at bestyrelsesmedlemmer behandles efter samme principper som almindeligt ansatte, idet bestyrelsesmedlemmer på samme må som andre personer i virksomheden varetager en funktion, som kan adskilles fra den pågældende person selv.
- A’s egen besiddelse af de relevante personoplysninger
Klager gør nu gældende - i direkte modstrid med Klagers forrige indlæg i sagen - at Klager alligevel ikke er i besiddelse af de personoplysninger, der søges indsigt i. Af klagers forrige indlæg fremgår: ”A var bestyrelsesmedlem i Q fra […] og helt frem til gennemførelsen (closing af) den omtalte virksomhedshandel i […], og han er derfor præsumptivt bekendt med - og har potentielt deltaget i udviklingen af - visse dokumenter, der af de Dataansvarlige søges klassificeret som ''forretningshemmeligheder"". Udtalelsen stemmer fint overens med det naturlige i, at et bestyrelsesmedlem enten selv er involveret i udarbejdelsen af dokumenter af relevans for bestyrelsen, eller i hvert fald fast modtager kopi sådanne dokumenter. Dette gælder i særlig grad, hvis der er tale om dokumenter af forretningskritisk karakter, som der er tale om i relation til den verserende retssag, der vedrører en betydelig virksomhedsoverdragelse.
- Datatilsynets praksis
Til støtte for synspunktet om, at de Dataansvarliges interesse ikke går forud for Klagers ret til indsigt, henviser Klager til Datatilsynets afgørelse af 6. september 2021 (j.nr. 2020-31-3586). Denne sag adskiller sig imidlertid på afgørende punkter fra den nærværende.
For det første er der i nærværende sag i allerhøjeste grad tale om en konkret og verserende retssag (med en meget betydelig sagsgenstand), mens der i den nævnte afgørelse alene var tale om en potentiel retssag.
For det andet var der tale om en type personoplysninger - et overvågningsmateriale bestående af observationsrapporter, fotos og videoer - som Datatilsynet naturligt nok fandt, ikke havde et indhold, der kunne medføre nærliggende fare for, at private interesser ville kunne lidt skade.
De pågældende oplysninger var overvejende af faktuel karakter og ville utvivlsomt under alle omstændigheder blive fremlagt som bevismateriale i en eventuel retssag. I nærværende sag, derimod, er der i vidt omfang tale om oplysninger, der kan være af væsentlig betydning for de Dataansvarliges tilrettelæggelse og varetagelse af den verserende retssag, herunder i relation til afhøringstemaer og procedure. Her har de Dataansvarlige vurderet, at det kan medføre en nærliggende fare for, at de Dataansvarliges legitime interesser i retssagen kan lide skade af væsentlig betydning, jf. databeskyttelseslovens § 22, stk. 1.
Vi henviser i øvrigt i det hele til vores tidligere skrivelser i sagen…”
3. Begrundelse for Datatilsynets afgørelse
3.1. Sagens afgrænsning
Datatilsynet har afgrænset tilsynets undersøgelse til spørgsmålet om indholdet af de indklagedes besvarelse af klagers anmodning om indsigt, og tilsynet har således ikke forholdt sig til, om besvarelsen er sket inden for de tidsfrister, som fremgår af databeskyttelsesforordningens artikel 12, stk. 3, herunder om der var grundlag for som sket at forlænge fristen for besvarelse af klagers anmodning om indsigt med to måneder.
3.2. De generelle regler
Det følger af databeskyttelsesforordningens artikel 15, stk. 1, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og den information, som fremgår af bestemmelsens litra a-h.
Af databeskyttelsesforordningens artikel 15, stk. 3, følger det, at den dataansvarlige udleverer en kopi af de personoplysninger, der behandles.
De nærmere regler for udøvelsen af den registreredes rettigheder, herunder anmodninger om indsigt efter databeskyttelsesforordningens artikel 15, fremgår af databeskyttelsesforordningens artikel 12. Det følger af artikel 12, stk. 5, at enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 15 er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten, jf. artikel 12, stk. 5, litra a, opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give oplysninger eller meddelelser eller træffe den ønskede foranstaltning, eller, jf. litra b, afvise at efterkomme anmodningen.
Det følger af Datatilsynets praksis (2019-812-0035 og 2021-32-2438[2]), at en dataansvarlig – under henvisning til at henvendelsen er overdreven, jf. databeskyttelsesforordningens artikel 12, stk. 5, litra b – som udgangspunkt kan afslå at fremsøge og gennemgå en større mængde breve, notater og e-mails mv., som er underskrevet af eller sendt til den registrerede i forbindelse med vedkommendes opgavevaretagelse, for at identificere og udlevere eventuelle oplysninger om den pågældende, som måtte fremgå heraf.
Baggrunden for dette er, at det har formodningen for sig, at oplysninger om den registrerede, f.eks. den pågældendes navn, der måtte fremgå af et brev, notat eller en e-mail, som den pågældende har underskrevet eller modtaget i forbindelse med sin opgavevaretagelse, alene optræder accessorisk i forhold til den funktion, som den pågældende har udført, og formålet med den pågældende behandling. Oplysninger som disse siger således ikke i sig selv noget om den pågældende og er heller ikke registreret med det formål at behandle oplysninger om vedkommende.
Dog vil der efter Datatilsynets opfattelse kunne forekomme tilfælde, hvor sådanne oplysninger ikke alene beskriver en funktion, som den pågældende har varetaget, men hvor registreringen i videre omfang indeholder oplysninger ”om” den pågældende.
3.3. Den konkrete sag
Det fremgår af sagen, at indsigtsanmodningen fra klager ville nødvendiggøre identifikation, indsamling, gennemgang og vurdering af mere end en mio. dokumenter fordelt på forskellige selskaber for at afgøre, hvorvidt personoplysninger om klager, der kunne være indeholdt i disse dokumenter, konkret ville skulle udleveres.
Hertil kommer, at det må lægges til grund, at den store mængde dokumenter, som kunne indeholde oplysninger om klager, i det væsentligste relaterer sig til Q, hvori klager var bestyrelsesmedlem, og Z, hvor klager var administrerende partner, samt til igangværende retssager, herunder mod klager, i forlængelse af en virksomhedsoverdragelse.
Under disse omstændigheder finder Datatilsynet, at de indklagede ikke var forpligtet til at fremsøge og gennemgå dokumenterne for at identificere og udlevere oplysninger om klager, jf. databeskyttelsesforordningens artikel 12, stk. 5, litra b, og Datatilsynet finder under hensyn hertil ikke grundlag for at kritisere de indklagedes håndtering af klagers anmodning om indsigt.
Datatilsynet har i den forbindelse lagt vægt på, at klager ikke nærmere har specificeret sin anmodning på en sådan måde, at det samlede antal dokumenter, som skulle gennemgås for at identificere eventuelle oplysninger om ham, blev nedbragt.
Datatilsynet har herefter lagt vægt på, at der er tale om et større antal dokumenter, som potentielt indeholder oplysninger om klager, sammenholdt med, at de oplysninger om klager, som måtte fremgå heraf, i det væsentligste må antages alene at optræde accessorisk i forhold til formålet (virksomhedsdrift) og således må antages at beskrive en funktion, som klager har varetaget.
Datatilsynet har på baggrund af det ovenstående ikke fundet anledning til nærmere at vurdere indklagedes fremgangsmåde i forbindelse med besvarelsen af klagers indsigtsanmodning.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Afgørelserne er tilgængelige på Datatilsynets hjemmeside