Søg Close search

HjemGorrissen Federspiel vinder sag ved Datatilsynet

Gorrissen Federspiel vinder sag ved Datatilsynet

7. oktober 2022

Ved afgørelse af 27. juni 2022 har Datatilsynet taget stilling i en principiel sag om besvarelse af en anmodning om indsigt i henhold til GDPR art. 15 og Databeskyttelseslovens § 22. Sagen vedrørte,  i hvilket omfang den dataansvarlige i forbindelse med en indsigtsanmodning er forpligtet til at foretage en ”dokument-for-dokument”-gennemgang, når der er tale om et meget stort antal dokumenter, i den konkrete sag en virksomhedsoverdragelse med mere end 1,1 mio. dokumenter, hvor den registrerede potentielt kan være omtalt.

Sagen angik anvendelsen af retten til indsigt i medfør af GDPR art. 15 og Databeskyttelseslovens § 22 i store retssagskomplekser, konkret en retssag med afsæt i en virksomhedshandel med over 1,1 mio. dokumenter.

Det principielle i sagen bestod for det første i, om indklagede (den dataansvarlige, som GF repræsenterede) var forpligtet til, i overensstemmelse med databeskyttelseslovens § 22 og dennes forarbejder, at gennemgå samtlige sagens dokumenter manuelt for at identificere og udlevere oplysninger om klager, eller om det i retssager med et så omfattende antal dokumenter var tilstrækkeligt at udvikle en delvist automatiseret og stikprøvebaseret fremgangsmåde til behandling af de mange dokumenter. I den forbindelse blev der også rejst spørgsmål om databeskyttelseslovens § 22’s overensstemmelse med GDPR og dermed EU-retten.

Det andet principielle spørgsmål vedrørte mere generelt anvendelsen af GDPR’s indsigtsregler i retssager, hvor parternes adgang til indsigt i relevante dokumenter også varetages af de almindelige editionsregler. Her vil GDPR’s indsigtsregler reelt kunne misbruges til at omgå editionsreglerne, trænere sagen unødigt og muligvis føre til, at potentielle sagsøgere – pga. det meget omfattende antal dokumenter og ressourceforbruget forbundet med manuelt at gennemgå samtlige af disse – helt opgiver at føre den pågældende sag. Det vil selvsagt skade den almindelige retssikkerhed. På denne måde rejste sagen også spørgsmål om forholdet mellem GDPR’s indsigtsregler og editionsreglerne, samt, på det helt grundlæggende plan, forholdet mellem retten til privatlivsfred og beskyttelse af personoplysninger over for retten til en retfærdig rettergang. Rettigheder, der begge er beskyttet efter EU’s Charter om grundlæggende rettigheder og Den Europæiske Menneskerettighedskonvention.

Datatilsynet undlod direkte at forholde sig til sagens mere principielle aspekter. Alligevel er sagen retningsgivende, idet Datatilsynet konkret ikke fandt grundlag for at kritisere indklagedes håndtering af klagers indsigtsanmodning. Datatilsynet lagde i den forbindelse vægt på, at klager ikke nærmere havde specificeret sin anmodning således, at det samlede antal dokumenter, som skulle gennemgås for at identificere eventuelle oplysninger om klager, blev nedbragt. Datatilsynet lagde endvidere vægt på, at der var tale om et større antal dokumenter, som potentielt indeholdt oplysninger om klager, sammenholdt med, at oplysningerne om klager i det væsentligste alene optrådte accessoriske i forhold til formålet (virksomhedsdrift) og således måtte antages ikke at beskrive klagers person, men den funktion (som bestyrelsesmedlem og administrerende direktør), som klager havde varetaget.

Tilmeld dig vores nyheder

Tilmeld dig Gorrissen Federspiels nyhedsservice og få faglige nyheder og invitationer til arrangementer direkte i din indbakke.

Tak for din tilmelding

Du er allerede tilmeldt