Når en registreret anmoder om indsigt, skal du som dataansvarlig vurdere, om du er den rette til at behandle anmodningen som første instans. Det vil være tilfældet, hvis du er dataansvarlig for den behandling, der anmodes om indsigt i, jf. databeskyttelsesforordningens artikel 15, stk. 1.

Det vil også være tilfældet, hvis du er databehandler for den dataansvarlige, og den dataansvarlige konkret har instrueret dig i at besvare indsigtsanmodninger på sine vegne.

Databeskyttelsesforordningens artikel 15, stk. 1, har følgende ordlyd:

Art. 15

Stk. 1. Den registrerede har ret til at få den dataansvarlige Den dataansvarlige Den registrerede har kun ret til at få indsigt ved dataansvarlige, og retten til indsigt gælder således ikke overfor en databehandler. Den dataansvarlige kan dog instruere en databehandler i at besvare anmodninger om indsigt på den dataansvarliges vegne. s bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

formålene med behandlingen
de berørte kategorier af personoplysninger
de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer
om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
retten til at anmode den dataansvarlige Den dataansvarlige Den registrerede har kun ret til at få indsigt ved dataansvarlige, og retten til indsigt gælder således ikke overfor en databehandler. Den dataansvarlige kan dog instruere en databehandler i at besvare anmodninger om indsigt på den dataansvarliges vegne. om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
retten til at indgive en klage til en tilsynsmyndighed
enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede
forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

[...]

UDDYBENDE BEMÆRKNINGER, PRAKSIS MV.

1. Rette modtager?

Det er den myndighed, virksomhed m.fl., som er dataansvarlig for den behandling af personoplysninger, der anmodes om indsigt i, som har kompetencen til at træffe afgørelse om indsigt. Hvis du som dataansvarlig er omfattet af den offentlige forvaltning, vil en besvarelse af en indsigtsanmodning dog være en afgørelse i forvaltningslovens forstand. Kompetencen til at træffe afgørelser kan kun uddelegeres ved udtrykkelig lovhjemmel. Der eksisterer ikke en generel hjemmel til at delegere kompetencen til at træffe afgørelser på baggrund af indsigtsanmodninger, hvorfor en dataansvarlig i den offentlige forvaltning som udgangspunkt ikke kan instruere en databehandler til at besvare indsigtsanmodninger.

For at vurdere, hvorvidt du som dataansvarlig er rette modtager af en anmodning om indsigt, er det således væsentligt at vurdere, om du er dataansvarlig eller databehandler for den behandling, der anmodes om indsigt i. Hvis du er databehandler, er det desuden vigtigt, at du gør dig klart, hvorledes den dataansvarlige har instrueret dig i at håndtere anmodninger om indsigt.

Begrebet ”dataansvarlig” og ”databehandler” er defineret i databeskyttelsesforordningen.

Efter databeskyttelsesforordningens artikel 4, nr. 7, er den dataansvarlige den myndighed, virksomhed, institution mv., der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

Det følger herefter af databeskyttelsesforordningens artikel 4, nr. 8, at databehandleren er den myndighed, virksomhed, institution mv., der behandler personoplysninger på den dataansvarliges vegne.

2. Videresendelse til rette modtager

Hvis du som dataansvarlig ikke er den rette til at behandle en anmodning om indsigt, vil du efter omstændighederne være forpligtet til at videresende anmodningen til den rette modtager, og under alle omstændigheder vil du være forpligtet til at meddele den registrerede, at du ikke behandler oplysninger om den pågældende, jf. databeskyttelsesforordningens artikel 15, stk. 1.

Hvis du arbejder ved en offentlig myndighed, følger denne forpligtelse direkte af forvaltningslovens § 7, stk. 2, hvorefter du straks skal sende en skriftlig anmodning om indsigt videre til den rette modtager. Når du sender anmodningen til den rette modtager, skal du samtidig orientere den, der har bedt om indsigt, om at du har videresendt vedkommendes anmodning. Du kan finde et eksempel på, hvordan en orientering kan udformes i pkt. 4. 3 nedenfor. Som privat virksomhed, institution mv. bør du (hvis muligt) dog også sende anmodningen videre til rette modtager.

En databehandler er desuden forpligtet til at bistå den dataansvarlige med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder, jf. databeskyttelsesforordningens artikel 28, stk.3, litra e.

Hvis du er databehandler for den, der er dataansvarlig for behandlingen, bør du derfor straks sende anmodningen videre til den dataansvarlige.

Ved personlige henvendelser skal du vejlede den pågældende om, hvem personen i stedet skal søge om indsigt ved.

3. Brevskabelon

Hvis du arbejder ved en offentlig myndighed, og skal orientere anmoder om, at du har videresendt vedkommendes anmodning om indsigt, kan du bruge denne skabelon.

Du skal være opmærksom på, at alle breve skal afspejle sagens konkrete omstændigheder, og at du derfor bør foretage de nødvendige tilpasninger i skabelonen. Du skal navnlig være opmærksom på, om der er behov for en mere konkret begrundelse, end skabelonteksten lægger op til.

Brevskabelon