EU-Domstolens dom i sag C-579/21 ændrer dansk praksis: Personoplysninger i logfiler er omfattet af GDPR art. 15. Dataansvarlige skal på anmodning udlevere oplysninger om søgninger i den registreredes data, herunder datoer og formål. Identiteten på medarbejdere, der har foretaget opslag, skal kun oplyses, hvis det er nødvendigt for at udøve den registreredes rettigheder, og efter en afvejning af de pågældendes rettigheder.
Ny retspraksis fra EU-Domstolen
Tidligere anså Datatilsynet logning som en ren sikkerhedsfacilitet uden selvstændig behandlingsaktivitet. Efter dommen følger det, at logoplysninger med personhenførbarhed er omfattet af indsigtsretten. Det gælder især oplysninger om, at der er foretaget søgninger i en persons data samt dato og formål.
Oplysning om konkrete medarbejderes identitet er ikke automatisk omfattet. Udlevering kan kræves, hvis det er nødvendigt for at varetage den registreredes rettigheder, fx ved begrundet mistanke om uberettiget opslag, og når en konkret afvejning ikke krænker medarbejdernes rettigheder.
Konsekvenser for dataansvarlige
Undtagelser efter databeskyttelsesloven § 22 kan kun anvendes efter en konkret interesseafvejning. Ressourcehensyn eller henvisning til, at loggen ikke kan bruges som lovlighedskontrol, kan ikke begrunde afslag. Beslutninger bør begrundes og dokumenteres.
Praktisk bør organisationer opdatere interne procedurer, sikre let adgang til relevante logudtræk og tilpasse svarskabeloner til indsigtsanmodninger, herunder håndtering af identitetsudlevering og § 22-afvejninger. Se Datatilsynets afgørelse for nærmere vejledning på myndighedens hjemmeside: Læs en konkret afgørelse om retten til indsigt i logfiler her.
