Klage over manglende indsigt i sikkerhedslog

Publiceret 19-12-2018
Afgørelse

Datatilsynet har afvist at indlede en klagesag over manglende indsigt i udtræk af Skattestyrelsens sikkerhedslog, da Datatilsynet anser klagen for åbenbart grundløs

J.nr. 2018-31-0500

Resume

Datatilsynet har afvist at indlede en klagesag over manglende indsigt i udtræk af Skattestyrelsens sikkerhedslog, da Datatilsynet anser klagen for åbenbart grundløs. Datatilsynet fandt, at Skattestyrelsens sikkerhedslog ikke var omfattet af klagers ret til indsigt, og at der derfor ikke var udsigt til, at Datatilsynet ville give klager ret i hans klage. 

Afgørelse

1. Ved e-mail af […] har du rettet henvendelse til Datatilsynet om Skattestyrelsensbehandling af personoplysninger om dig.

Datatilsynet har forstået din henvendelse som en klage over, at Skattestyrelsen har afslået at give dig indsigt i udtræk af Skattestyrelsens sikkerhedslog over, hvilke medarbejdere der har været inde på de oplysninger, der findes om dig i Gældsstyrelsen.

Efter en gennemgang af din henvendelse finder Datatilsynet, at der ikke er grundlag for at indlede en klagesag over for Skattestyrelsen, jf. databeskyttelsesforordningens artikel 57, stk. 4.

Nedenfor følgeren begrundelse for Datatilsynets afgørelse.

2. Reglerne om databeskyttelse findes i en generel forordning fra EU om beskyttelse af personoplysninger, som gælder i både den private og offentlige sektor[1], og databeskyttelsesloven[2], der supplerer reglerne i forordningen.

Det følger af databeskyttelsesforordningens artikel 57, stk. 1, litra f, at tilsynsmyndigheden skal behandle klager, der indgives af en registreret.

Af bestemmelsens stk. 4 fremgår, at hvis anmodningen – f.eks. en klage – er åbenbart grundløs eller uforholdsmæssig, især fordi anmodningen gentages, kan tilsynsmyndigheden afvise at efterkomme anmodningen. Bevisbyrden for, at anmodningen er åbenbart grundløs eller uforholdsmæssig, påhviler tilsynsmyndigheden.

En klage fra en registeret anses bl.a. for at være åbenbart grundløs, hvis den ikke indeholder relevante elementer omfattet af databeskyttelsesforordningen, eller hvis anmodningen allerede på det foreliggende grundlag kan siges at være klart udsigtsløs.

3. Efter Datatilsynets opfattelse er der ikke udsigt til, at tilsynet vil komme frem til, at dine personoplysninger behandles i strid med databeskyttelsesreglerne, og tilsynet afviser derfor at behandle din klage, da den er åbenbart grundløs, jf. databeskyttelsesforordningens artikel 57, stk. 4.

Datatilsynet har lagt vægt på, at der er tale om udtræk af logningsoplysninger, som er en systemmæssig facilitet, hvor der ikke sker en selvstændig behandling af dine personoplysninger, og at logningen er afledt af den egentlige behandling.

På den baggrund finder Datatilsynet, at Skattestyrelsens sikkerhedslog over, hvilke medarbejdere, som har været inde på de oplysninger, der findes om dig i Gældsstyrelsen, ikke er omfattet af din ret til indsigt efter databeskyttelsesforordningens artikel 15.

Der er således ikke udsigt til, at Datatilsynet vil give dig ret i din klage, og tilsynet afviser derfor at indlede en klagesag i anledning af din henvendelse, jf. databeskyttelsesforordningens artikel 57, stk. 4.

Datatilsynet kan til din orientering endvidere henvise til tilsynets sag med j.nr. 2005-632-0077[3] vedrørende indsigt i loggen over opslag og søgninger i CPR, hvor Datatilsynet udtalte, at retten til indsigt ikke omfattede logningsoplysninger (udtalelsens pkt. 3).

4. Datatilsynet bemærker, at Datatilsynets afgørelser ikke kan indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30. 

Datatilsynet foretager sig herefter ikke yderligere i anledning af din henvendelse.

Hvis du – efter at have læst dette brev – fortsat mener, at personoplysninger om dig behandles i strid med databeskyttelsesreglerne, kan du foretage politianmeldelse af den dataansvarlige eller forfølge kravet ved domstolene.

 

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] Afgørelsen er offentliggjort på Datatilsynets hjemmeside og kan tilgås via følgende link: https://www.datatilsynet.dk/tilsyn-og-afgoerelser/historiske-afgoerelser/2005/jun/videregivelse-af-oplysninger-fra-cpr-til-private-virksomheder-ii/.