Efter reglerne i databeskyttelsesforordningen har den dataansvarlige pligt til, på anmodning, at give den registrerede indsigt i, hvilke oplysninger der er indsamlet om den pågældende person, samt hvordan disse oplysninger behandles. Som dataansvarlig skal man være opmærksom på ikke at slette personoplysninger, der er anmodet om indsigt i.
Kort introduktion til de persondataretlige begreber
En personoplysning er enhver form for information, der kan henføres til en bestemt fysisk person. Som eksempler på personoplysninger kan der henvises til f.eks. personnumre, adresser, fotografier og oplysninger om skilsmisse- og formueforhold.
Når en privat virksomhed, offentlig myndighed, fysisk person, institution eller ethvert andet organ behandler personoplysninger, betragtes denne som den dataansvarlige i den persondataretlige lovgivning. De fysiske personer, hvis oplysninger gøres til genstand for behandling, refereres til som de registrerede.
Den registreredes indsigtsret
Det følger af databeskyttelsesforordningens art. 15, at registrerede har en såkaldt indsigtsret. Retten til indsigt indebærer dels, at den registrerede har ret til at se, hvilke oplysninger en dataansvarlig har indsamlet om den pågældende, og dels at den registrerede har ret til at blive orienteret om, hvordan oplysningerne behandles.
Formålet med indsigtsretten er at sikre, at den registrerede har mulighed for at kontrollere, at de indsamlede personoplysninger er korrekte, og at behandlingen af disse er lovlig.
En indsigtsanmodning får betydning for adgangen til at slette personoplysninger
Datatilsynet har i en nyere afgørelse fastslået, at det udgør en tilsidesættelse af reglerne om god databehandlingsskik, hvis en dataansvarlig sletter personoplysninger i umiddelbar tilknytning til, at der er fremsat en indsigtsanmodning fra en registreret, hvis de oplysninger der slettes, er omfattede af den fremsatte anmodning.
Det skyldes, at den dataansvarlige med sletningen uberettiget afskærer den registreredes adgang til at få efterprøvet et eventuelt afslag på indsigt hos Datatilsynet eller domstolene, og dermed reelt forhindrer den registrerede i at udøve sin indsigtsret.
Datatilsynet indstillede til en bøde på 50.000 kr.
Datatilsynet politianmeldte et rekrutterings- og vikarbureau for tilsidesættelse af god databehandlingsskik. Virksomheden havde slettet personoplysninger omfattet af en registrerets indsigtsanmodning i perioden efter fremsættelsen af anmodningen og inden virksomhedens besvarelse.
I forlængelse af afgørelsen politianmeldte Datatilsynet den pågældende virksomhed og indstillede virksomheden til en bøde på 50.000 kr.
I den forbindelse udtalte Datatilsynet, at en overtrædelse af forordningens grundlæggende principper om behandlingssikkerhed, for en virksomhed i en sag som den pågældende, som udgangspunkt ikke kan sanktioneres med en bøde, som er lavere end 50.000 kr.
Med ovennævnte sag indstillede Datatilsynet for første gang en virksomhed til en bøde, for at have tilsidesat reglerne om god databehandlingsskik overfor en enkeltperson. Afgørelsen må betragtes som en klar indikator for, hvilken bødestørrelse der kan forventes i lignende sager i fremtiden.