Når en klient kræver udlevering af sine persondata

Som EU-borger har man altid ret til at få indsigt i de personoplysninger, virksomheder eller myndigheder behandler om én. Rettigheden følger af GDPR art. 15, som også kan kaldes ”indsigtsretten”.

Indsigtsretten er GDPR’s svar på en aktindsigt. Så når man som privat virksomhed modtager en anmodning om indsigt fra fx en klient, bliver opgaven at finde de personoplysninger, der tilhører klienten og sørge for udlevering inden for en bestemt tidsfrist.

Hagen er, at det ikke altid er så let som det lyder. Og hvis man ikke håndterer indsigtsanmodninger korrekt, kan den relevante person klage til Datatilsynet, som herefter vil iværksætte en undersøgelse. Datatilsynet kan også af egen drift igangsætte undersøgelser, og netop indsigtsretten er et af tilsynets fokusområder i 2024.

Sådan håndterer du bedst en anmodning om udlevering/indsigt

Hos Privanize har vi adskillige gange oplevet at processen håndteres forkert. Mange gange bruger personer deres indsigtsret fordi de er utilfredse med noget, og en fejlagtig håndtering kan føre til en forværring af forholdet.

Derfor er det også vigtigt, at processen håndteres efter bogen, og det gør du sådan her:

1. Du modtager anmodningen

En anmodning om udlevering/indsigt i ens data kan fx lyde: ”Jeg vil gerne vide hvilke oplysninger I har om mig”.

En person, der anmoder om indsigt behøver ikke at henvise til GDPR eller specifikke paragraffer. Det er psykologens/klinikkens opgave at forstå, at der er indgivet en indsigtsanmodning, og at der nu er en proces, der skal sættes i gang og et tidskrav, der skal overholdes. Her har mange fejlet igennem tiden.

2. Du verificerer at vedkommende er den, som han/hun udgiver sig for at være

Når man har modtaget en anmodning, skal man verificere at personen rent faktisk er den, han/hun udgiver sig for at være. Hvis man udleverer personoplysninger til en forkert person, har man forårsaget et databrud, som både skal rapporteres til Datatilsynet og den person hvis oplysninger er blevet lækket.

Det er derfor vigtigt at man verificerer som det første. Og det kan man gøre ved at bede om de oplysninger, der er ”nødvendige” for at lave en tilstrækkelig vurdering af vedkommendes identitet. Som psykolog kan man fx bede vedkommende om kort at redegøre for, hvilken relation man har haft til klinikken og hvilken psykolog, der har forestået behandlingen.

Hvis man herefter fortsat er i tvivl, kan man bede om fx pasoplysninger eller oplysninger, som kun den rigtige person vil kende til. Generelt skal man ikke i verifikationen lægge op til at der udveksles hverken pasoplysninger, CPR-numre eller helbredsoplysninger, men hvis det er absolut nødvendigt for at man kan være sikker i sin sag, så må man gerne. Man skal dog altid søge at indhente så få oplysninger som muligt i verifikationen.

3. Du søger efter og finder dataene

Når du har verificeret personen, er det også muligt at begynde at grave de dokumenter og lign. frem som indeholder vedkommendes personoplysninger.

Her skal du søge efter alle fysiske og digitale dokumenter/filer, inkl. back-ups, hvor vedkommendes persondata er registreret. Der skal udleveres en ”kopi” af dataene, dvs. man skal samle oplysningerne i fx et dokument eller en ZIP-fil.

Det er en stor fejl som mange begår blot at henvise til privatlivspolitikken eller overordnet beskrive hvilke typer af oplysninger man har om vedkommende, fx ”vi har dit navn, adresse osv.” – den pågældende skal have en kopi af det, man selv ligger inde med.

Her skal man også være opmærksom på ikke at levere oplysninger om andre personer end den, der har indsendt anmodningen. Det kan derfor godt være, at der skal anonymiseres oplysninger om andre personer inden der kan ske udlevering.

Hvis der imidlertid er tale om personoplysninger om andre personer, som den pågældende selv har fortalt om til fx en konsultation, behøver man dog ikke anonymisere da den pågældende allerede er bekendt med oplysningerne.

4. Du besvarer anmodningen

Når anmodningen skal besvares, skal man starte med at be- eller afkræfte om man behandler personoplysninger om vedkommende, fx ”Vi kan bekræfte, at vi behandler personoplysninger om dig” eller ”Vi er ikke i besiddelse af personoplysninger om dig og behandler derfor ikke sagen yderligere.”

Hvis man bekræfter, skal ens besvarelse indeholde selve oplysningerne (som gennemgået i afsnit 3) og derudover en række yderligere informationer, som bl.a. beskriver formålene med at man har oplysningerne, hvem oplysningerne videregives til osv.

De yderligere oplysninger, der skal gives kan ses i GDPR art. 15 eller her i Datatilsynets vejledning på s. 28: https://www.datatilsynet.dk/Media/C/0/Registreredes%20rettigheder.pdf

5. Du overholder tidsfristerne

Efter at have modtaget en anmodning, fx i sin email-indbakke, skal man håndtere den hurtigst muligt og altid senest inden for 30 dage. Mange tror, at man altid har 30 dage, men hvis det er muligt at håndtere en anmodning inden for 7 dage, så har man kun 7 dage.

De 30 dage er blot nævnt i loven som den absolutte deadline som altså ikke må overskrides.

I sjældne tilfælde kan man dog godt overskride de 30 dage. Det kan fx lade sig gøre hvis en indsigtsanmodning kræver meget mandskab, som man ikke har, eller hvis man modtager rigtig mange indsigtsanmodninger på samme tid – fx som følge af et databrud.

Man kan i så fald udsætte tidsfristen med 2 måneder (dvs. max. 3 måneder i alt), men skal underrette den/de personer, der har søgt om indsigt hurtigst muligt om at fristen udsættes.

6. Du må ikke opkræve gebyr

Den tid, man bruger på at imødekomme en anmodning, kan man ikke fakturere for.

Men hvis en anmodning er ”åbenbart grundløs”, kan man afvise den. Det kan fx være at en person anmoder om indsigt i oplysninger, selvom man ikke har nogle oplysninger om vedkommende.

Hvis anmodninger er ”overdrevne”, særligt pga. gentagelser, kan man dog godt kræve betaling for at imødekomme anmodningen. Det kan fx være tilfældet hvor man for ganske nylig (fx inden for et par dage / uger) har udleveret data til en person, og personen herefter indsender en ny anmodning.

Man skal dog være opmærksom på, at hvis der er sket væsentlige tilføjelser eller lign. til vedkommendes persondata inden for de sidste par dage/uger, så kan man ikke bare afvise eller afkræve betaling. Det er med andre ord en konkret afvejning, og hvis det er tydeligt at de mange anmodninger blot fremsættes for at genere eller misbruge, så taler det for at man kan afvise eller afkræve betaling.