Aktindsigt trin for trin

Materiel afgrænsning

Når du som dataansvarlig modtager en anmodning om indsigt, skal du vurdere, om de oplysninger, der omfattes af anmodningen, er omfattet af databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde. Du skal være opmærksom på, at databeskyttelsesforordningen og databeskyttelsesloven har et bredt materielt anvendelsesområde.

Den materielle afgræsning findes i henholdsvis databeskyttelsesforordningens artikel 2, stk. 1, og databeskyttelseslovens § 2, der har følgende ordlyd:

Få adgang og se afgørelser Læs ombudsmandens udtalelser
Art. 2

Stk. 1. Denne forordning finder anvendelse på behandling Behandling Enhver aktivitet, som personoplysninger gøres til genstand for, f.eks. indsamling, organisering, opbevaring, ændring, videregivelse, sletning, mv., jf. databeskyttelsesforordningens artikel 4, nr. 2. af personoplysninger Personoplysninger Hermed menes oplysninger, der direkte eller indirekte kan henføres til fysiske personer, jf. databeskyttelsesforordningens artikel 4, nr. 1. , der helt eller delvis foretages ved hjælp af automatisk databehandling Automatisk databehandling Al elektronisk databehandling. , og på anden ikkeautomatisk behandling Behandling Enhver aktivitet, som personoplysninger gøres til genstand for, f.eks. indsamling, organisering, opbevaring, ændring, videregivelse, sletning, mv., jf. databeskyttelsesforordningens artikel 4, nr. 2. af personoplysninger Personoplysninger Hermed menes oplysninger, der direkte eller indirekte kan henføres til fysiske personer, jf. databeskyttelsesforordningens artikel 4, nr. 1. , der er eller vil blive indeholdt i et register Register Enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, jf. databeskyttelsesforordningens artikel 4, nr. 6. .

[...]

Ombudsmandens udtalelser
§ 2

Stk. 1. Lovens §§ 6-8 og 10 og § 11, stk. 1, og databeskyttelsesforordningens artikel 5, stk. 1, litra a-c, artikel 6, artikel 7, stk. 3, 1. og 2. pkt., artikel 9 og 10 og artikel 77, stk. 1, gælder også for manuel videregivelse Manuel videregivelse Herved forstås at en dataansvarlig videregiver på en ikke-elektronisk (papirbaseret) måde oplysninger til en anden dataansvarlig. Som følge af bestemmelsen gælder der samme adgang til at udveksle personoplysninger med en anden forvaltningsmyndighed, uanset om der er tale om oplysninger fra myndighedernes it-systemer eller fra en manuel sag, og uanset på hvilken måde udvekslingen finder sted. af personoplysninger til en anden forvaltningsmyndighed. Datatilsynet fører i overensstemmelse med lovens kapitel 10 tilsyn med videregivelse som nævnt i 1. pkt.

Ombudsmandens udtalelser

UDDYBENDE BEMÆRKNINGER, PRAKSIS MV.

1. Personoplysninger

Begrebet ”personoplysninger” er i databeskyttelsesforordningens artikel 4, nr. 1, defineret som enhver form for information om en identificeret eller identificerbar fysisk person.  Definitionen betyder i praksis, at en oplysning vil være en personoplysning i databeskyttelsesretlig forstand, hvis oplysningen enten direkte eller indirekte kan henføres til en bestemt fysisk person. Oplysningen skal så at sige være ”personhenførbar”.

En personoplysning kan i databeskyttelsesretlig forstand være f.eks. et CPR-nummer, idet denne oplysning direkte identificerer en fysisk person. Oplysninger, der blot fortæller noget om en pågældende fysisk person, såsom oplysninger om navn, adresse, spisevaner, hjemmesidebesøg, forbrugsmønstre, økonomi eller helbred, vil dog ligeledes være at betragte som personoplysninger, idet disse oplysninger kan henføres til en identificerbar fysisk person. Dette uanset, at den pågældende person kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Dette indebærer også, at mængden af oplysninger i praksis har betydning for, om der er tale om personoplysningerne.

Begrebet personoplysninger omfatter både objektive oplysninger og subjektive oplysninger, herunder f.eks. vurderinger af en registrerets adfærd. Oplysninger, der udtrykker den registreredes tankegang, dømmekraft og kritiske sans mv. vil ligeledes være at betragte som en personoplysning, jf. blandt andet Datatilsynets afgørelse publiceret den 18. juni 2020 med j.nr. 2019-431-0045, hvor en databehandler havde videregivet dele af elevers opgavebesvarelser til en række forskere ved Københavns Universitet.

Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, der er opbevaret separat, anses også for at være oplysninger om en identificerbar fysisk person, jf. databeskyttelsesforordningens præambelbetragtning nr. 26, og er dermed stadig omfattet af databeskyttelsesreglerne. På samme måde vil oplysninger, der er krypteret, fortsat være personoplysninger i databeskyttelsesretlig forstand, hvis oplysningerne kan dekrypteres, og de personer, oplysningerne drejer sig om, herved kan identificeres.

Det følger videre af præambelbetragtning nr. 26, at der ved afgørelsen af om en fysisk person er identificerbar, og om en oplysning herved er personhenførbar, bør tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse til at identificere den pågældende.

Oplysninger, der er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres, vil ifølge præambelbetragtning nr. 26 derimod ikke længere være at betragte som personoplysninger i databeskyttelsesretlig forstand. Det er dog en betingelse, at anonymiseringen er gjort uigenkaldelig.

Det er ikke et krav, at den fysiske person, som oplysningen kan henføres til, er i live. Databeskyttelsesloven beskytter oplysninger om afdøde personer i 10 år efter vedkommendes død, jf. databeskyttelseslovens § 2, stk. 5.

Få adgang og se afgørelser Læs ombudsmandens udtalelser

2. Automatisk databehandling eller ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register

En personoplysning er alene omfattet af databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde, i det omfang denne helt eller delvist er undergivet automatisk databehandling eller er eller vil blive indeholdt i et register, jf. databeskyttelsesforordningens artikel 2, stk. 1 samt databeskyttelseslovens § 1, stk. 2.  

Begrebet ”automatisk databehandling” svarer til begrebet ”edb” og ”elektronisk” behandling fra det tidligere databeskyttelsesdirektivs artikel 3, stk. 1 og persondatalovens § 1, stk. 1, og betyder, at databeskyttelsesforordningen og databeskyttelsesloven som udgangspunkt ikke finder anvendelse for behandling, der udelukkende foretages manuelt (papirbaseret), medmindre personoplysningen er eller vil blive indeholdt i et register.  

Databeskyttelsesforordningen og databeskyttelsesloven finder imidlertid anvendelse på manuel håndtering af personoplysninger, hvis oplysningerne tillige er undergivet automatisk behandling. Højesteret fandt således i relation til det tidligere databeskyttelsesdirektiv, hvis materielle anvendelsesområde svarer til databeskyttelsesforordningen, at direktivet også fandt anvendelse på manuel behandling af personoplysninger, i det omfang oplysningerne tillige var undergivet elektronisk behandling, jf. U 2011 2343. I den konkrete sag videregav en medarbejder under en telefonsamtale mistanke om en tidligere ansats alkoholmisbrug. Højesteret fandt, at oplysningen, udover at være opbevaret i medarbejderens hukommelse, også blev opbevaret i elektronisk form i et tekstbehandlingssystem, hvorfor den mundtlige videregivelse var omfattet af det dagældende direktiv og hermed persondataloven.   

Enkelte bestemmelser i databeskyttelsesloven og databeskyttelsesforordningen finder desuden anvendelse ved en forvaltningsmyndigheds manuelle videregivelse af personoplysninger til en anden forvaltningsmyndighed, uagtet af at oplysninger i øvrigt ikke er undergivet automatisk behandling. Se nærmere herom i oplistningen i databeskyttelseslovens § 2, stk. 1.

Ved register forstås ifølge databeskyttelsesforordningens artikel 4, nr. 6, ”enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag”. Det er væsentligt, at samlingen er ”struktureret” efter ”bestemte kriterier”, og personoplysninger som alene opbevares i sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, vil således ikke være omfattet af anvendelsesområdet, jf. databeskyttelsesforordningens præambelbetragtning nr. 15.

Også enhver elektronisk eller ikkeelektronisk behandling af personoplysninger i forbindelse med tv-overvågning er undergivet databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde, jf. databeskyttelseslovens § 2, stk. 4. Bestemmelsen er en videreførelse af den tidligere persondatalov, og udtrykket ”tv-overvågning” skal ifølge forarbejderne til den dagældende persondatalov forstås som vedvarende eller regelmæssigt gentagen personovervågning ved hjælp af fjernbetjent eller automatisk virkende kamera. Iagttagelse eller optagelse skal således ske for at føre kontrol med personer og deres adfærd, og kameraer, der opsættes for at føre kontrol med f.eks. en maskines funktion eller optage dyrs adfærd i naturen, falder derfor uden for databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde. Der vil være tale om behandling af personoplysninger, uanset om tv-overvågningen er forbundet med lagring af billedoptagelser, eller om overvågningen alene har karakter af en umiddelbar iagttagelse på tv-skærm.

Datatilsynet har i afgørelse af 18. november 2019, j.nr. 2019-32-0670 fastslået, at der ikke kan stilles krav om, at en registreret udtrykkeligt skal anmode om (også) at få indsigt i personoplysninger, som den dataansvarlige behandler om en registreret i forbindelse med tv-overvågning. Den dataansvarlige er herved forpligtet til om muligt at give indsigt i al behandling, der pågår om den registrerede, herunder eventuel behandling, der foretages i forbindelse med tv-overvågning.

Behandling” er i databeskyttelsesforordningens artikel 4, nr. 2, defineret som ”enhver aktivitet eller række af aktiviteter… som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse”. Enhver form for håndtering/kontakt med personoplysninger vil således udgøre behandling.

Få adgang og se afgørelser Læs ombudsmandens udtalelser
Del Aktindsigtshåndbogen
Tilmeld dig Aktindsigtshåndbogens nyhedsbrev
Tilmeld