Artikel

Vores artikel i forbindelse med udsendelse af nyhedsmail den 6. august 2024.

Datatilsynet har i en afgørelse fra den 2. juli 2024 konkretiseret, at man nu kan få om indsigt i logfiler.

It-systemer udvikles og opsættes, så de logger alle anvendelser af personoplysninger foretaget af brugere, herunder læsning, tilføjelse, søgning (evt. søgekriterium), ændring, udtræk og sletning – uanset hvordan anvendelsen af personoplysninger udføres af brugeren. Alt afhængig af loggens karakter, kan den indeholde personoplysninger.

Det er vigtigt, at man som arbejdsgiver og dataansvarlig giver sine medarbejdere information om, i hvilke systemer deres adfærd logges således, at de har mulighed for at indrette sig herefter. På den måde er I som virksomhed/organisation sikker på, at I opfylder jeres oplysningspligt.

Men nu er det også vigtigt, at man holder sig for øje, at de registrerede (det vil sige både dine medarbejdere – men også udefrakommende) har mulighed for at bede om indsigt og få udleveret en kopi af logfilerne.

Det har tidligere været praksis hos Datatilsynet, at personoplysninger i en log ikke er omfattet af retten til indsigt efter databeskyttelsesforordningens artikel 15. Det skyldes, at loggen er en systemmæssig sikkerhedsfacilitet, hvor der ikke sker en selvstændig behandling af oplysninger, men hvor logbehandlingerne er afledt af de behandlinger, der sker på de oprindelige oplysninger.

Men med udgangspunkt i en sag fra EU-Domstolen, hvori det understreges, at: … den brede definition af begrebet »personoplysninger« ikke kun omfatter de oplysninger, der indsamles og opbevares af den dataansvarlige, men ligeledes alle oplysninger, som hidrører fra en behandling af personoplysninger, der vedrører en identificeret eller identificerbar person… har Datatilsynet nu ændret praksis.

Normalt har man som registreret som udgangspunkt kun adgang til de oplysninger, der vedrører en selv. Men med Datatilsynets seneste afgørelse understreges, at det efter omstændighederne kan være nødvendigt at oplyse om, hvem der har foretaget søgningen – altså fremsende personoplysninger om de medarbejdere, der har foretaget søgninger på den registrerede, som har anmodet om indsigt.

Det vil dog være op til en konkret vurdering og vil typisk kræve, at den registrerede angiver et formål med sin anmodning, som fx hvis den registrerede mistænker, at der er foretaget uberettiget søgning på vedkommendes oplysninger. Normalt kan man ikke forlange, at den registrerede angiver et formål med sin anmodning, men til brug for en afvejning mellem den registreredes og andres (her medarbejdernes) rettigheder, vil det være nødvendigt at få oplyst et formål med udleveringen af de andres personoplysninger.

Slutteligt har Datatilsynet understreget, at når man foretager en sådan afvejning, så vil man reelt skulle foretage en konkret afvejning i hver sag – og at generelle hensyn til ressourcer ikke vil være en undskyldning for ikke at imødekomme de registreredes rettigheder.

Hvis du modtager anmodninger fra de registrerede, er du velkommen til at kontakte GapSolutions jurister, som kan bistå dig, så du håndterer anmodningerne korrekt, og at I på den måde undgår at der fremsendes klager til Datatilsynet. Husk at alle anmodninger fra de registrerede skal besvares indenfor en måned, jf. databeskyttelsesforordningens artikel 12, stk. 3.

Læs mere på Datatilsynets hjemmeside – klik her

Læs mere om logning af brugernes anvendelser af personoplysninger på Datatilsynets hjemmesiden – klik her

WP 249 – Udtalelse 2/2017 om databehandling på arbejdspladsen – klik her