Aktindsigt trin for trin

Identifikation af den registrerede

Som dataansvarlig skal du sikre dig, at den, du giver oplysninger til, er den rigtige person. Din forpligtelse til at bekræfte identiteten af en registeret er særlig vigtig i forhold til indsigtsretten, da der potentielt kan gives uvedkommende indsigt i følsomme og/eller fortrolige oplysninger. Hvis oplysninger kommer til uvedkommendes kendskab, vil det udgøre et brud på persondatasikkerheden. Det er derfor vigtigt, at du får skabt sikkerhed om identiteten på den person, der anmoder om indsigt, før du besvarer anmodningen.

Den dataansvarliges forpligtelse til at bekræfte identiteten af en registeret er reguleret i databeskyttelsesforordningens artikel 12, stk. 6, og præambelbetragtning nr. 64, der har følgende ordlyd:

Få adgang og se afgørelser Læs ombudsmandens udtalelser
Art. 12

[...]

Stk. 6. Uden at det berører artikel 11 kan den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 15-21, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Ombudsmandens udtalelser
Nr. 64

Præambelbetragtning nr. 64.

Den dataansvarlige bør træffe alle rimelige foranstaltninger for at bekræfte identiteten af en registreret, som anmoder om indsigt, navnlig i forbindelse med onlinetjenester og onlineidentifikatorer.

[…]

Ombudsmandens udtalelser

UDDYBENDE BEMÆRKNINGER, PRAKSIS MV.

1. Afklaring af identitet og kontrolforanstaltninger

Forud for at den dataansvarlige kan besvare indsigtsanmodningen og udlevere oplysningerne, skal den dataansvarlige have afklaret vedkommendes identitet. Der er alene adgang til at få indsigt i behandlingen af ens egne personoplysninger. Den dataansvarlige skal foretage en konkret vurdering af, om der hersker rimelig tvivl om identitet på den fysiske person i forbindelse med den enkelte indsigtsanmodning.

Ved telefonisk kontakt, e-mailhenvendelse eller personligt fremmøde kan du bekræfte identiteten af en registeret ved at stille kontrolspørgsmål eller ved at bede om at se legitimation, f.eks. pas eller kørekort. Det vil ved telefonisk kontakt eller lignende ikke være tilstrækkeligt, at vedkommende blot er i stand til at oplyse CPR-nummer, og det vil således være nødvendigt at stille kontrolspørgsmål, der kan bekræfte identiteten af den registrerede.

Et krav om at få forevist egentlige legitimationspapirer vil ofte være nødvendigt, hvis der skal meddeles indsigt i fortrolige eller følsomme personoplysninger. Legitimationskravet kan dog i almindelighed fraviges, hvis du i forvejen kender den person, der anmoder om indsigt. Det samme gælder i tilfælde, hvor navn og adresse, på den der anmoder om indsigt, svarer til de oplysninger, der fremgår af dokumenter m.v. i din sag.

Den registrerede kan opfordres til at give sit CPR-nummer, når den dataansvarlige anvender et offentligt register, hvor personnummeret er ”indgangsnøgle” for at finde vedkommende i registret. Bemærk at indsigtsanmodningen ikke kan afvises som følge af, at vedkommende ikke ønsker at oplyse sit CPR-nummer. Det vil imidlertid ikke i sig selv være tilstrækkelig legitimation, at en person er i stand til at oplyse en registreret persons personnummer. Adgangen til indsigt må hverken af offentlige myndigheder eller private virksomheder baseres på personnummeret som adgangskode.

Sendes anmodningen via Digital Post, vil der typisk heller ikke være behov for at foretage nærmere undersøgelser af afsenderens identitet. Datatilsynet oplyser i sin vejledning om de registreredes rettigheder af juli 2018, side 10, desuden, at du som udgangspunkt altid kan imødekomme en anmodning om indsigt ved at sende de oplysninger, der anmodes om indsigt i, til den registrerede person via Digital Post eller en lignende løsning.     

Datatilsynet har i afgørelse af 25. oktober 2019, j.nr. 2018-7320-0166, udtalt, at den dataansvarlige har pligt at foretage en konkret vurdering af, i hvilket omfang der er behov for at bekræfte identiteten på anmoder. Tilsynet fandt, at Pandoras generelle procedure, hvorefter der uden undtagelse blev stillet krav om ID-validering i forbindelse med anmodninger om udøvelse af registreredes rettigheder, ikke var i overensstemmelse med databeskyttelsesforordningen. Datatilsynet lagde vægt på, at den omstændighed at der er tale om online kundeforhold ikke kan medføre, at der altid hersker rimelig tvivl om den fysiske persons identitet. En anmodning om yderligere oplysninger med henblik på at identificere den fysiske person skal være proportional, hvorfor dataansvarlige ikke kan kræve flere oplysninger, end hvad der er nødvendigt for at kunne identificere vedkommende. Pandoras generelle procedure om ID-validering gik videre end påkrævet, og besværliggjorde unødigt den registreredes mulighed for at udøve sine rettigheder.

Få adgang og se afgørelser Læs ombudsmandens udtalelser

2. Repræsentanter for den registrerede

Lader en registeret sig repræsentere af andre, er du som dataansvarlig forpligtet til at sikre dig, at den pågældende repræsentant er berettiget til at handle på vegne af den registrerede. Er repræsentanten en advokat, revisor eller en lignende repræsentant, der typisk optræder inden for et pågældende område, vil der som udgangspunkt ikke være grundlag for at kræve dokumentation for et fuldmagtsforhold. Den dataansvarlige er dog altid forpligtet til at foretage en konkret vurdering, og hvis sagens karakter eller omstændighederne i øvrigt, giver anledning til tvivl, er den dataansvarlige forpligtet til at sikre behørig dokumentation for, at der er etableret et fuldmagtsforhold.

Få adgang og se afgørelser Læs ombudsmandens udtalelser

3. Særligt vedrørende indsigt i oplysninger om børn

En forældremyndighedsindehaver kan bistå sit barn med at udøve dets rettigheder i henhold til databeskyttelsesreglerne, herunder begære indsigt på sit barns vegne.

Hvorvidt der er behov for, at en forældremyndighedsindehaver godtgør, at vedkommende er berettiget til at optræde som repræsentant for barnet, kommer an på en konkret vurdering. Datatilsynet har i en afgørelse af 21. marts 2017, j.nr. 2015-218-0195, (der forsat må anses som relevant i forhold til databeskyttelsesforordningens regler) udtalt, at en forælder som udgangspunkt kan få indsigt i oplysninger om vedkommendes børn under 18 uden at fremvise fuldmagt. Der kan dog forekomme situationer, hvor omstændighederne nødvendiggør fremvisning af en fuldmagt. Dette vil f.eks. være tilfældet, hvis den behandling, der anmodes om indsigt i, vil afsløre oplysninger af så privat og personlig karakter, at det ikke forekommer rimeligt, at forældremyndighedsindehaveren skal kunne gøre sig bekendt med disse oplysninger gennem indsigt, herunder f.eks. oplysninger om, at den unge har fået foretaget en legalt provokeret abort.

Det er værd at bemærke, at den registreredes rettigheder, herunder retten til indsigt, er personlige, og at en forælder således alene understøtter og hjælper et barn med at udøve dets rettigheder i forhold til databeskyttelsesreglerne. Dette betyder blandt andet, at rettigheden alene kan udøves for at varetage barnets rettigheder i henhold til databeskyttelsesretten, herunder retten til at kontrollere oplysningernes rigtighed med henblik på eventuel berigtigelse, nødvendigheden af oplysningernes opbevaring samt kontrol af behandlingens lovlighed. Rettigheden kan derimod ikke udøves med henblik på blot at tilegne sig informationer om barnet. Dette er blandt andet fastslået i Datatilsynets afgørelse af 19. november 2019, j.nr. 2018-31-0972, hvor en far klagede over, at hans datters idrætsforening ikke ville imødekomme hans anmodning om indsigt i sin datters dansetræning. Datatilsynet fandt, at datterens databeskyttelsesinteresser var tilstrækkeligt varetaget af barnets mor, og at anmodningen om indsigt ikke var sket for at kontrollere, men i stedet for at få information om din datterens dansetræning. Datatilsynet fandt derfor ikke grundlag for at meddele faren indsigt.

Større børn kan også kræve indsigt i behandling af oplysninger om sig selv. Det fremgår af Datatilsynets vejledning om de registreredes rettigheder, juli 2018, side 26, at det må bero på en konkret modenhedsvurdering, hvorvidt der bør gives indsigt. Datatilsynet oplyser i forlængelse heraf, at unge normalt selvstændigt kan bede om indsigt fra omkring 15-års alderen.

Det forhold, at du har imødekommet en anmodning om indsigt fra et barn, indebærer ikke, at forældremyndighedsindehaveren udelukkes fra at anmode om indsigt på barnets vegne. Både barnet og forældremyndighedsindehaveren vil således ofte have ret til indsigt i de oplysninger, der behandles om barnet.

Få adgang og se afgørelser Læs ombudsmandens udtalelser

4. Brevskabelon

Hvis du har vurderet, at der er behov for at bekræfte den registreredes identitet, kan du bruge denne skabelon.

Du skal være opmærksom på, at alle breve skal afspejle sagens konkrete omstændigheder, og at du derfor bør foretage de nødvendige tilpasninger i skabelonen. Du skal navnlig være opmærksom på, om der er behov for en mere konkret begrundelse, end skabelonteksten lægger op til.

Brevskabelon Få adgang og se afgørelser Læs ombudsmandens udtalelser
Del Aktindsigtshåndbogen
Tilmeld dig Aktindsigtshåndbogens nyhedsbrev
Tilmeld