Du kan særligt overveje muligheden for at opkræve gebyrer i situationer, hvor en registreret gang på gang anmoder om indsigt i de samme oplysninger – ofte med et chikanøst formål.

Ud over situationer, hvor en registreret kommer med overdrevne anmodninger om indsigt, kan muligheden for at afvise en sag også tænkes anvendt i situationer, hvor en registreret klager over, at samtlige oplysninger i den pågældendes sag hos dig er urigtige, men ikke – efter anmodning fra dig – ønsker at præcisere, hvilke oplysninger der er urigtige og med hvilken begrundelse. En sådan anmodning må efter omstændighederne kunne betragtes som åbenbart grundløs og/eller overdreven.

I Datatilsynets afgørelse af 27 juni 2022, j.nr. 2021-31-5085, fandt tilsynet det godtgjort, at den indklagede dataansvarlig ikke var forpligtet til at fremsøge og gennemgå mere end en mio. dokumenter, for at identificere og udlevere oplysninger om en klager, i forbindelse med en anmodning om indsigt, jf. databeskyttelsesforordningens artikel 12, stk. 5, litra b. Datatilsynet lagde vægt på følgende:

• Klager har ikke nærmere specificeret sin anmodning på en sådan måde, at det samlede antal dokumenter, som skulle gennemgås for at identificere eventuelle oplysninger om vedkommende, blev nedbragt.
• Større antal dokumenter, som potentielt indeholder oplysninger om klager, sammenholdt med, at de oplysninger om klager, som måtte fremgå heraf, i det væsentligste må antages alene at optræde accessorisk i forhold til formålet (virksomhedsdrift) og således må antages at beskrive en funktion, som klager har varetaget.

I relation til sagen udtalte Datatilsynet, at det har formodningen for sig, at oplysninger om den registrerede f.eks. pågældendes navn, der måtte fremgå af et brev, notat eller e-mail, som den pågældende har underskrevet eller modtaget i forbindelse med sin opgavevaretagelse, alene optræder accessorisk i forhold til den funktion, som den pågældende har udført, og formålet med den pågældende behandling. Oplysninger om disse siger således ikke i sig selv noget om den pågældende og er heller ikke registreret med det formål at behandle oplysninger om vedkommende. Der vil dog kunne forekomme tilfælde, hvor sådanne oplysninger ikke alene beskriver en funktion, men i videre omfang indeholder oplysninger ”om” den pågældende.

Se bl.a. Datatilsynets afgørelse af 31. marts 2022, j.nr. 2021-32-2438, og nyhed af 26 april 2022, hvor Datatilsynet ikke fandt grundlag for at tilsidesætte en kommunes afvisning af en tidligere ansats anmodning om indsigt under henvisning til, at anmodningen var overdreven. I sagen havde en tidligere medarbejder hos en kommune efter endt ansættelse anmodet om indsigt i al kommunikation, hvori den tidligere medarbejder var nævnt. Kommunen forsøgte herefter at få den tidligere medarbejder til at specificere sin anmodning, da det ønskede materiale efter flere års ansættelse var omfattende. Dette blev dog afvist af den tidligere medarbejder. Det er Datatilsynets opfattelse, at en dataansvarlig kan afslå at give en registreret indsigt i oplysninger om breve, notater og e-mails mv., som er underskrevet af eller sendt til den registrerede i forbindelse med vedkommendes opgavevaretagelse, med henvisning til, at henvendelsen er overdreven. Ved vurderingen lægger Datatilsynet vægt på, at der, selv om der kan være tale om personoplysninger (oplysning om, at den registrerede i en given situation har underskrevet et brev, sendt en mail, mv.), først og fremmest beskrives en funktion, som den pågældende har varetaget.

Du skal som dataansvarlig være varsom med ikke for hurtigt at konkludere, at en anmodning er grundløs eller overdreven. Ofte kan det være en god idé at rette henvendelse til den registrerede for at sikre, at anmodningens indhold og omfang er forstået korrekt.

Det bemærkes i øvrigt, at det følger af databeskyttelsesforordningens præambelbetragtning nr. 63, at en registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed. Det beror på den enkelte situation, hvad rimelige mellemrum er.

Hvis der pålægges et gebyr, skal disse være rimelige under hensyntagen til de administrative omkostninger.

Det er den dataansvarlige, der har bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven. Vedkommende bør derfor sikre sig dokumentation for, at en anmodning fra en registreret er åbenbart grundløs eller overdreven, f.eks. ved at gemme alle anmodninger om indsigt med henblik på at bevise, at antallet er overdrevet.

Den dataansvarlige myndighed bør – når den overvejer at opkræve et gebyr eller afvise en indsigtsanmodning med henvisning til artikel 12, stk. 5 – være opmærksom på vejledningspligten, der følger af forvaltningslovens § 7, særligt når begrundelsen for f.eks. afvisningen er, at anmodningen fra den registrerede er overdreven. Myndigheden bør i disse situationer – i lighed med hvad der gælder i forhold til offentlighedslovens § 9, stk. 2, nr. 1 – indgå i en dialog med den registrerede med henblik på at få begrænset dennes anmodning, så den ikke længere er overdreven og dermed kan efterkommes.

I Datatilsynets afgørelse af 11. maj 2020, j.nr. 2019-812-0035, havde en fængselsbetjent anmodet Kriminalforsorgen om indsigt i dokumenter, der kunne bekræfte, at han (som led i sin ansættelse) havde deltaget i voldsomme episoder, herunder rapporter om magtanvendelse, observationscelleanbringelser, sikringscelleanbringelser samt rapporter om trusler og eventuelle rapporter om selvmordsforsøg eller andre voldsomme selvbeskadigelser.

Kriminalforsorgen meddelte til at begynde med fængselsbetjenten afslag på hans anmodning om indsigt med den begrundelse, at det af tekniske årsager ikke var muligt at fremsøge alle de episoder, som han havde deltaget i, og at det alene var muligt at fremsøge rapporter, som fængselsbetjenten selv havde skrevet.

Fængselsbetjenten klagede herefter over Kriminalforsorgens afslag på indsigt til Datatilsynet.

Efter anmodning fra Datatilsynet oplyste Kriminalforsorgen, at det med systemleverandørens bistand alligevel var muligt at foretage en søgning efter specifikke rapporter, hvori fængselsbetjentens navn måtte være registreret, og at Kriminalforsorgen nu havde meddelt fængselsbetjenten indsigt heri.

Kriminalforsorgen oplyste dog samtidig, at det ikke var muligt at foretage søgninger i rapporters fritekstfelter i det pågældende system med henblik på at afklare, om fængselsbetjentens navn måtte fremgå deri, da dette ville forudsætte en søgning i 8-10 mio. dokumenter i systemets dokumentserver, hvilket ikke kunne understøttes teknisk i systemet.

Efter en gennemgang af sagen – og efter at sagen har været forelagt Datarådet – udtalte Datatilsynet kritik af, at Kriminalforsorgen ikke have givet klager indsigt i overensstemmelse med retshåndhævelseslovens § 15, da Kriminalforsorgen først meddelte indsigt efter Datatilsynets henvendelse vedrørende sagen.

For så vidt angår den del af klagen, som vedrørte indsigt i eventuelle oplysninger i fritekstfelter, og som ville forudsætte en søgning i 8-10 mio. dokumenter i systemets dokumentserver, fandt Datatilsynet, at anmodningen ville kunne afvises under henvisning til retshåndhævelseslovens § 19.

Datatilsynet forudsatte i den forbindelse, at fritekstfelterne overvejende alene beskrev en funktion, som fængselsbetjenten havde varetaget på arbejdspladsen og ikke handlinger, som er udtryk for hans personlige valg og reaktioner eller handlinger, som han var blevet udsat for.

Datatilsynet lagde endvidere vægt på, at

1. Kriminalforsorgen allerede havde udfoldet betydelige bestræbelser på at fremfinde oplysninger om fængselsbetjenten, og
2. Kriminalforsorgen måtte antages at skulle anvende ikke ubetydelige ressourcer på at fremfinde eventuelle yderligere oplysninger om ham.
3. Fængselsbetjenten (den registrerede) ikke havde kunnet præcisere sin anmodning med henblik på at identificere yderligere oplysninger om ham.