Hvad er indsigt efter persondatareglerne?
Persondatareglerne (dvs. databeskyttelsesforordningen og databeskyttelsesloven) indeholder nogle centrale rettigheder for de personer, som Digitaliseringsministeriets departement behandler oplysninger om (herefter omtalt: ”den registrerede”).
En af disse rettigheder er indsigtsretten, som indebærer, at den registrerede har ret til at få kopi af de personoplysninger, som vi behandler om den pågældende – uanset hvor og hvordan oplysningerne forefindes.
Herudover indebærer indsigtsretten en ret for den registrerede til at modtage en række oplysninger om den eller de behandlinger, vi foretager om vedkommende, f.eks. formålet med behandlingen, kilden til oplysningerne m.m.
Persondatareglerne om indsigt fremgår af databeskyttelsesforordningens artikel 15 samt databeskyttelseslovens § 22.
I denne kvikguide finder du information om, hvad du bør overveje, når du behandler en anmodning om indsigt efter persondatareglerne. Guiden er udarbejdet på baggrund af Datatilsynets vejledning om de registreredes rettigheder, som du med fordel også kan læse.
Der er udarbejdet et koncept til brug for besvarelse af en anmodning om indsigt efter persondatareglerne, som du skal anvende. Du finder konceptet på intranettet.
Du er også altid velkommen til at spørge Organisationsudvikling og Jura og ministeriets DPO til råds.
1. Sikring af den registreredes identitet
Du må ikke give uvedkommende indsigt i den registreredes personoplysninger.
Derfor skal du sikre dig og kunne dokumentere, at den registrerede også er den, som vedkommende præsenterer sig som.
Hvis en henvendelse er fremsat skriftligt, og hvis navn og adresse i brevet, mailen mv. er identisk med de oplysninger, som i forvejen fremgår af sagen, vil der i almindelighed ikke være grund til at foretage særlige undersøgelser, inden oplysningerne sendes til den registrerede på den angivne adresse.
2. Afgrænsning af anmodningen
Start med at afklare, hvad den registrerede anmoder om indsigt i (alle oplysninger om den pågældende, oplysninger i en bestemt sag, tv-overvågningsbilleder, oplysninger i tidligere journalsystemer)?
Du må godt anmode den registrerede om at præcisere sin anmodning. Du må dog som udgangspunkt ikke afvise anmodningen, hvis den registrerede ikke ønsker at præcisere. Se mere under punkt 5.
Hvis en registreret anmoder om indsigt i alle oplysninger om vedkommende, skal du ved fremsøgningen af relevante oplysninger anvende den fremgangsmåde for søgninger, som er beskrevet på intranetsiden om aktindsigt vedr. tværgående aktindsigtsanmodninger. Se linket her.
3. Oplysninger der skal udleveres
Du må som det klare udgangspunkt kun udlevere oplysninger om den registrerede selv.
Hvis der i kopierne mv. indgår oplysninger om andre personer, skal du sløre eller på anden vis fjerne disse oplysninger inden udleveringen til den registrerede.
Du skal dog være opmærksom på forvaltningslovens og offentlighedslovens regler om partsaktindsigt og egenacces. Du skal nemlig som udgangspunkt give den registrerede indsigt og/eller aktindsigt efter de regler, der i den konkrete sag er mest gunstig for den registrerede. Det gælder, uanset hvilket regelsæt den registrerede har henvis til ved sin anmodning.
Hvis der i kopierne mv. indgår oplysninger, som ikke omhandler fysiske personer, vil evt. udlevering af disse oplysninger skulle vurderes efter andre regler end reglerne i databeskyttelsesforordningen eller databeskyttelsesloven.
4. Udfyld bilaget
Hvis du kan bekræfte, at departementet behandler personoplysninger om den, der anmoder om indsigt, skal du sammen med indholdet af de oplysninger, du behandler, give den registrerede en række yderligere oplysninger, når du besvarer anmodningen.
F.eks. skal du oplyse om formålene med behandlingen, hvilke kategorier af personoplysninger der er tale om, kilden til personoplysningerne osv.
Der er til brug herfor i standardkonceptet et bilag, som du skal udfylde. Tekst i skabelonen, som er markeret [på denne måde], skal udfyldes i forhold til den konkrete sag, jf. eksemplerne i skabelonen. Tekst, der ikke er relevant, samt alle gule markeringer og kantede parenteser fjernes fra den endelige udgave.
5. Afslag
Du kan undlade at imødekomme en anmodning om indsigt, hvis imødekommelsen vil krænke andres rettigheder og friheder, f.eks. forretningshemmeligheder eller intellektuel ejendomsret.
Du kan videre undlade at imødekomme anmodningen, hvis afgørende hensyn til private interesser, herunder hensynet til den registrerede selv, eller offentlige interesser overstiger hensynet til den registreredes interesser i at modtage indsigt.
Herudover kan du undlade at imødekomme anmodningen om indsigt efter samme regler som i offentlighedslovens §§ 19-29 og 35. Se evt. ministeriets vejledning om aktindsigt efter offentlighedsloven på intranettet for yderligere information om disse regler.
I særlige tilfælde kan du afvise en anmodning, hvis anmodningen er åbenbart grundløs eller overdreven, især fordi den gentages. Du skal dog være opmærksom på, at vi har en vejledningsforpligtelse. Hvis du overvejer at begrunde en afvisning med, at anmodningen er overdreven, bør du altid gå i dialog med den registrerede med henblik på at få begrænset anmodningen, så den ikke længere er overdreven.
Hvis du overvejer at give afslag – helt eller delvist – skal du tale med Organisationsudvikling og Jura, inden du afgør sagen, så vi kan sikre en ensartet og lovlig praksis i ministeriet. Et afslag på indsigt kræver en god begrundelse, som skal fremgå af afgørelsen.
6. Sagsbehandlingsfrister
Du skal svare på en anmodning om indsigt uden unødig forsinkelse og senest en måned efter, du har modtaget anmodningen.
Hvis anmodningen er kompliceret, kan du forlænge svarfristen med yderligere to måneder. I disse tilfælde skal du dog senest en måned efter, at du har modtaget anmodningen, gøre den registrerede opmærksom på den forlængede sagsbehandlingstid og begrundelsen herfor.
Der er således en absolut frist for besvarelse af anmodninger om indsigt på tre måneder.
Afviser du en anmodning fra den registrerede, skal du underrette om dette straks og senest en måned efter, du har modtaget anmodningen.
7. Gennemførelse af indsigten
Når du kommunikerer med den registrerede, skal dette ske skriftligt, medmindre den registrerede specifikt beder om en mundtlig besvarelse.
Hvis den registrerede har sendt en elektronisk anmodning, skal du på tilsvarende vis svare den registrerede elektronisk, hvis det er muligt, og den registrerede ikke beder om andet.
Digital kommunikation af følsomme og fortrolige personoplysninger gennem usikre netværk, herunder internettet, skal altid ske i krypteret form f.eks. via e-boks. Se mere herom i departementets retningslinjer for informationssikkerhed samt vejledning til at sende sikkert.