EU-Domstolen har præciseret rækkevidden af indsigtsretten efter GDPR art. 15. Registrerede kan i visse tilfælde få indsigt i oplysninger fra interne logfiler, når det er nødvendigt for at dokumentere, at behandling har fundet sted, og for at vurdere om behandlingen er lovlig. Til gengæld har registrerede som udgangspunkt ikke krav på at få oplyst identiteten på medarbejdere, der under instruks har tilgået oplysningerne. Fortegnelser og logdata er primært tiltænkt tilsynsmyndigheder, men kan efter omstændighederne indgå i et indsigts-svar.
Retsgrundlag og hovedlinjer
Sagen udsprang af en finsk tvist, hvor en bankmedarbejder og kunde ønskede indsigt i, hvem der havde tilgået hans data, samt datoer og formål. Efter afslag fra både banken og den nationale tilsynsmyndighed blev spørgsmålet forelagt EU-Domstolen som præjudicielt.
Domstolen fastslog, at de omhandlede logfiler i substans svarer til en art. 30-fortegnelse. Som udgangspunkt kan en fuld fortegnelse kræves fremlagt af tilsynsmyndigheden, ikke af den registrerede. Men når logoplysninger er nødvendige for at opfylde art. 15 – herunder at vise at behandling faktisk har fundet sted, og i hvilket omfang – kan den registrerede kræve indsigt i sådanne informationer.
Adgang til logfiler og identitet
Indsigtsretten omfatter ikke automatisk interne auditspor. Der skal foretages en konkret nødvendighedsvurdering og en afvejning over for andres rettigheder og sikkerhedshensyn. Oplysninger om behandlingens forekomst, hyppighed og omfang kan være påkrævede, mens fulde tekniske logudtræk typisk ikke er det.
Medarbejdere, der behandler personoplysninger under den dataansvarliges instruks, anses ikke som modtagere efter art. 15, stk. 1, litra c. Identiteten på medarbejderne udleveres derfor som udgangspunkt ikke. Kun hvis det er strengt nødvendigt for, at den registrerede effektivt kan udøve sine rettigheder – eksempelvis for at kontrollere lovlighed eller afdække uautoriseret adgang – kan identiteten oplyses efter en konkret vurdering.
Praktiske konsekvenser
Dataansvarlige bør forvente at skulle give meningsfuld information om konkrete tilgåelser af personoplysninger, fx datoer, systemer og kategorier, når dette er nødvendigt for indsigtsretten. Samtidig skal de beskytte interne sikkerhedsforhold og medarbejderes rettigheder gennem målrettede og proportionale udtræk frem for fulde logs.
For at efterleve afgørelsen bør organisationer etablere klare processer og dokumentation for vurderinger af nødvendighed og proportionalitet i forbindelse med indsigtsanmodninger. Følgende tiltag kan styrke compliance og reducere risikoen for klager:
- Sikre robuste og sporbare audit logs, der kan udtrækkes i et læsbart og målrettet format.
- Standardisere svar på art. 15-anmodninger med fokus på fakta om behandlingens forekomst og omfang.
- Gennemføre afvejninger af andres rettigheder og informationssikkerhed før udlevering.
- Dokumentere vurderinger og beslutninger, herunder hvorfor fulde logudtræk ikke udleveres.
- Træne medarbejdere i korrekt adgang og instruks for at forebygge uautoriseret behandling.
