EU-Domstolen har fastslået, at logfiler over opslag og søgninger i persondata som udgangspunkt er personoplysninger omfattet af indsigtsretten. Afgørelsen ændrer Datatilsynets tidligere praksis og udvider kravene til, hvad virksomheder og myndigheder skal udlevere ved anmodninger om indsigt.
Logfiler som personoplysninger
Domstolen lægger vægt på GDPR’s brede personoplysningsbegreb: Oplysninger, der opstår som led i behandling af personoplysninger, herunder systemlogning, kan selv udgøre personoplysninger, hvis de relaterer sig til en identificeret eller identificerbar person. Det omfatter typisk registreringer af, hvornår en profil er tilgået, hvem der har foretaget opslaget, og hvilket formål der lå bag.
Kun logdata, som knytter sig til den underliggende behandling af den registreredes personoplysninger, er omfattet. Generelle adgangsregistreringer uden direkte relation til opslag i den registreredes data vil som udgangspunkt falde uden for indsigtsretten i denne sammenhæng.
Konsekvenser for dataansvarlige
Den dataansvarlige skal som udgangspunkt kunne udlevere kopi af logoplysninger om tidspunkter, formål og – med forbehold – identiteten på den medarbejder, der foretog opslaget. Dette skærper kravene til systemopsætning, udtræk og dokumentation og forudsætter robuste processer for besvarelse af indsigtsanmodninger efter GDPR.
For at sikre praktisk efterlevelse bør organisationer gennemføre følgende tiltag og indarbejde dem i interne retningslinjer og systemer:
- Kortlæg systemer og datakilder, herunder hvilke logtyper der genereres, og hvordan de relaterer sig til personoplysninger.
- Etabler standardiserede udtræk, der muliggør udlevering af relevante logoplysninger uden at kompromittere andre personers rettigheder.
- Definér opbevaringsperioder for logfiler i overensstemmelse med formål og nødvendighed.
- Opdater procedurer for indsigtsanmodninger, herunder frister, kvalitetssikring og dokumentation af vurderinger.
Udlevering af medarbejderidentitet og undtagelser
Udgangspunktet er, at oplysninger om, hvem der har foretaget et opslag, indgår i indsigten. Der gælder dog undtagelser, hvis udlevering vil krænke andre personers rettigheder eller væsentlige hensyn taler imod. Den dataansvarlige skal foretage og journalføre en konkret afvejning.
Datatilsynet har anført som tommelfingerregel, at medarbejderens identitet bør udleveres, når den registrerede har et konkret, sagligt formål – eksempelvis mistanke om uberettiget opslag. Er der alene tale om en generel anmodning uden specifikt behov, kan hensynet til medarbejderen tale for at undtage navnet. Uanset udfald skal begrundelsen være skriftlig og sporbar for at dokumentere compliance.
