En log er en fil, hvori et it-system gemmer oplysninger om dets drift og brug. Alt afhængig af loggens karakter, kan den indeholde personoplysninger. Det kan f.eks. være personoplysninger i form af oplysninger om, hvornår der er foretaget opslag på en given persons oplysninger, og hvem der har foretaget opslaget.
Det har været en langvarig praksis i Datatilsynet, at personoplysninger i en log ikke er omfattet af retten til indsigt efter databeskyttelsesforordningens artikel 15. Det skyldes, at loggen er en systemmæssig sikkerhedsfacilitet, hvor der ikke sker en selvstændig behandling af oplysninger, men hvor logbehandlingerne er afledt af de behandlinger, der sker på de oprindelige oplysninger.
Ny praksis
Den 22. juni 2023 tog EU-Domstolen stilling til spørgsmålet i sag C-579/21. EU-Domstolen fastslog, at databeskyttelsesforordningens artikel 15, stk. 1, skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger og vedrørende datoerne for og formålet med disse søgninger udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige.
EU-Domstolen fastslog i samme ombæring, at bestemmelsen derimod ikke giver ret til information om identiteten på de af den dataansvarliges ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra denne, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til denne forordning, og forudsat at de ansattes rettigheder og frihedsrettigheder iagttages.
Dette vil derfor være Datatilsynets praksis fremadrettet.
Hvad betyder den nye praksis?
Den nye praksis betyder, at man som dataansvarlig skal udlevere en kopi af de personoplysninger om en registreret, som man har registreret om vedkommende i sin log. Det vil f.eks. være oplysninger om søgninger i vedkommendes oplysninger og datoerne for (og formålet) med disse søgninger.
Hvis denne information – efter omstændighederne – er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder, skal man også oplyse om, hvem der har foretaget søgningen. Det kan f.eks. være, hvis den registrerede mistænker, at der er foretaget uberettiget søgning på vedkommendes oplysninger. Man skal dog ikke udlevere navnet på den, som har foretaget søgninger, hvis man som dataansvarlig efter en konkret vurdering vurderer, at udlevering af navnet kunne krænke dennes rettigheder.
Som tommelfingerregel gælder, at hvis den registrerede alene har bedt om indsigt i loggen uden at angive et specifikt formål, vil hensynet til den, som har foretaget et opslag, ofte veje tungere end hensynet til den, som anmoder om indsigt i loggen. Hvis den registrerede derimod har brug for at vide, hvem der har slået op i loggen for at kunne kontrollere lovligheden af et opslag, f.eks. fordi den registrerede har grund til at mistænke, at der er sket uberettiget opslag, vil afvejningen i mange tilfælde falde ud til fordel for den, der anmoder om indsigt. I disse tilfælde skal man altså som udgangspunkt også oplyse om, hvem der har foretaget opslaget.
Der kan gøres undtagelse til retten til indsigt efter databeskyttelsesforordningens artikel 15 i personoplysninger i en log, hvis et af de forhold, som fremgår af databeskyttelseslovens § 22 gør sig gældende.
For at kunne anvende databeskyttelseslovens § 22 er det et krav, at man foretager en konkret afvejning af de modstående interesser, som er nævnt i bestemmelsen – altså hensynet til den registrerede og det hensyn man påberåber sig for at gøre undtagelse til indsigtsretten. Det vil altså ikke være tilstrækkeligt blot at redegøre for indholdet i bestemmelsen som begrundelse for at afvise en anmodning om indsigt. Man vil heller ikke kunne bruge ressourcehensyn som begrundelse for at undlade at give indsigt, ligesom man heller ikke vil kunne henvise til, at man ikke kan bruge loggen til at kontrollere behandlingens lovlighed.
Vil du vide mere?
Læs en konkret afgørelse om retten til indsigt i logfiler her.