Indsigt i logfiler: Nu kan du få indsigt i logfiler

Journalnummer: 2024-32-0283.

Datatilsynet vender hermed tilbage til sagen, hvor Datatilsynet den 3. oktober 2023 – fra Folketingets Ombudsmand – modtog en klage fra (klager) over, at Indenrigs- og Sundhedsministeriet havde afvist at give ham indsigt i CPR`s sikkerhedslog.

1. Afgørelse

Datatilsynet finder – efter at sagen har været behandlet på et møde i Datarådet – at Indenrigs- og Sundhedsministeriet ikke med den anførte begrundelse kunne afslå klagers anmodning om indsigt efter databeskyttelsesforordningens artikel 15.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet modtog den 3. oktober 2023 – fra Folketingets Ombudsmand – en klage fra klager over, at Indenrigs- og Sundhedsministeriet – under henvisning til Datatilsynets hidtidige praksis, hvorefter der ikke var ret til indsigt i sikkerhedslogs – havde afvist at give ham indsigt i CPR’s sikkerhedslog.

Den 20. november 2023 besluttede Datatilsynet at oversende klagen til Indenrigs- og Sundhedsministeriet, således at ministeriet – i lyset af EU-Domstolens afgørelse i sag C-579/21 af 22. juni 2023 – fik lejlighed til på ny at forholde sig til sit afslag.

Den 4. januar 2024 revurderede Indenrigs- og Sundhedsministeriet sin afgørelse og fastholdt afslaget. Indenrigs- og Sundhedsministeriet anførte i den forbindelse, bl.a. at:

”Du har anmodet om indsigt i historiske data om personabonnementer i CPR, der vedrører din person.

Som Indenrigs- og Sundhedsministeriet tidligere har oplyst over for dig, omfatter dataindholdet i CPR, jf. bilag 1, nr. 14, til CPR-loven, alene oplysninger om aktuelle abonnementer. Historiske abonnementer opbevares ikke i CPR. Når der anmodes om en registerindsigt i CPR, gives der således kun indsigt i de aktuelle oplysninger om abonnementer i CPR.

Oplysninger om historiske abonnementer vedrørende en konkret person kan dog i en begrænset periode udledes via CPR’s sikkerhedslog. Din anmodning om indsigt behandles derfor som en anmodning om indsigt i CPR’s sikkerhedslog

Formålet med CPR’s sikkerhedslog

CPR’s sikkerhedslog er en systemmæssig facilitet, der er afledt af den egentlige behandling af personoplysninger i CPR. Logning af hændelser i CPR sker for at opfylde krav om sikkerhedslogning, f.eks. databeskyttelsesforordningens artikel 32 om behandlingssikkerhed, og vejledninger om logning, f.eks. vejledninger om logning fra Center for Cybersikkerhed. Registreringerne i loggen sker således af systemtekniske grunde og tjener interne administrative formål.

Oplysninger der behandles i CPR’s sikkerhedslog

CPR’s sikkerhedslog indeholder bl.a. oplysning om dato og tidspunkt for opslag, søgninger og abonnementssætninger (abonnementsoprettelser hhv. -sletninger) i CPR, hvilket eller hvilke personnumre der har været genstand for søgningen, opslaget eller abonnementssætningen, samt oplysning om eventuelt anvendt personkode (brugernavn) og program (oplysningstype). Personkoden er tildelt en specifik myndighed eller virksomhed og ofte tilknyttet visse personoplysninger såsom brugerens eventuelle navn og mailadresse, der kan anvendes til at identificere de fysiske personer, som har gennemført søgningerne mv. CPR’s sikkerhedslog indeholder ikke oplysning om formålet med en konkret gennemført søgning, abonnementsoprettelse hhv. –sletning mv.

Relevant lovgrundlag

Databeskyttelsesforordningens artikel 15 indebærer, at den registrerede bl.a. har ret til at se de personoplysninger, som behandles om den pågældende.

Efter databeskyttelseslovens § 22, stk. 2, kan undtagelse fra bestemmelsen i databeskyttelsesforordningens artikel 15 gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til

1) statens sikkerhed,

2) forsvaret,

3) den offentlige sikkerhed,

4) forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed,

5) andre vigtige målsætninger i forbindelse med beskyttelse af Den Europæiske Unions eller en medlemsstats generelle samfundsinteresser, navnlig Den Europæiske Unions eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed,

6) beskyttelse af retsvæsenets uafhængighed og retssager,

7) forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv,

8) kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i nr. 1-5 og 7,

9) beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder og

10) håndhævelse af civilretlige krav.

Vurdering af din ret til indsigt i forhold til bl.a. samfundets interesser

Det er Indenrigs- og Sundhedsministeriets opfattelse, at hensynet til offentlig myndighedsudøvelse, generelle samfundsinteresser og økonomiske interesser – herunder hensynet til statens sikkerhed, muligheden for forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger og kontrol-, tilsyns- eller reguleringsfunktioner – vejer tungere end din ret til at få adgang til oplysninger, som kan udledes af CPR’s sikkerhedslog.

Indenrigs- og Sundhedsministeriet lægger vægt på, at en imødekommelse af din anmodning om indsigt i CPR’s sikkerhedslog vil åbne for en generel adgang til indsigt i oplysninger, som kan udledes af CPR’s sikkerhedslog, hvilket uvægerligt vil medføre et ressourcetræk hos ministeriet, som langt vil overstige ministeriets formåen og tilgængelige ressourcer hertil.

Indenrigs- og Sundhedsministeriet lægger i den forbindelse vægt på, at CPR’s sikkerhedslog bl.a. viser aktiviteter hos myndigheder, hvor det kan være afgørende for myndighedsudøvelsen, at der er fortrolighed om myndighedens opslag og søgninger i CPR. Det gælder i særdeleshed i forhold til Rigspolitiet og Skatteforvaltningen, men kan også gælde andre myndigheder.

Indenrigs- og Sundhedsministeriet lægger endvidere vægt på, at CPR som centralt grunddataregister er genstand for et meget betydeligt antal opslag, søgninger og abonnementssætninger årligt, og at behandling af anmodninger om indsigt i sikkerhedsloggen i hvert enkelt tilfælde vil forudsætte en manuel gennemgang og sagsbehandling – og i visse tilfælde også en vurdering af behovet for beskyttelse af fortrolighed og iagttagelse af ansattes rettigheder og frihedsrettigheder. Det bemærkes, at 30- 40.000 personer hver måned ved digital selvbetjening anmoder om indsigt i oplysninger i CPR om vedkommende selv, jf. databeskyttelsesforordningens artikel 15, stk. 1.

Indenrigs- og Sundhedsministeriet lægger desuden vægt på, CPR’s sikkerhedslog isoleret set ikke vil kunne anvendes til at kontrollere, om en given behandling af oplysninger hos den dataansvarlige myndighed eller virksomhed har været lovlig, idet CPR’s sikkerhedslog ikke indeholder information om myndighedens eller virksomhedens formål med behandlingen af vedkommende persons oplysninger.

Endelig lægger Indenrigs- og Sundhedsministeriet vægt på, at din mulighed for at kontrollere lovligheden af en behandling af dine oplysninger, må anses for varetaget gennem de dataansvarlige myndigheders og virksomheders oplysningspligt over for dig efter databeskyttelsesforordningens 13 og 14, som bl.a. skal omfatte oplysning om formålet med behandlingen.

Det bemærkes i den forbindelse, at etablering af personabonnementer i CPR forudsætter, at den dataansvarlige myndighed eller virksomhed entydigt kan identificere de enkelte personer, som sættes i abonnement, over for CPR, f.eks. ved brug af navn og adresse, og at myndighedens eller virksomhedens registrering og behandling af disse oplysninger sker på et lovligt grundlag efter databeskyttelsesforordningens artikel 6.”

Datatilsynet forespurgte den 29. april 2024 telefonisk Indenrigs- og Sundhedsministeriet om, hvorvidt ministeriet havde yderligere at tilføje til sagen i forhold til ministeriets afslag og begrundelse herfor af 4. januar 2024. Indenrigs- og Sundhedsministeriet er ikke kommet med yderligere bemærkninger.

3. Begrundelse for Datatilsynets afgørelse

3.1. Generelt om retten til indsigt

Det følger af databeskyttelsesforordningens artikel 15, stk. 1, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

1. formålene med behandlingen
2. de berørte kategorier af personoplysninger
3. de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer
4. om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
5. retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
6. retten til at indgive en klage til en tilsynsmyndighed
7. enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede
8. forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

Af databeskyttelsesforordningens artikel 15, stk. 3, følger det, den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. Retten til at modtage en kopi som omhandlet i stk. 3, må ikke krænke andres rettigheder og frihedsrettigheder, jf. forordningens artikel 15, stk. 4.

3.2. Databeskyttelseslovens § 22

Databeskyttelseslovens § 22 indeholder en række undtagelser til artikel 15. Det fremgår af databeskyttelseslovens § 22, stk. 2, at undtagelse fra bestemmelserne i databeskyttelsesforordningens artikel 13, stk. 1-3, artikel 14, stk. 1-4, artikel 15 og artikel 34 kan gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til

1) statens sikkerhed,

2) forsvaret,

3) den offentlige sikkerhed,

4) forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed,

5) andre vigtige målsætninger i forbindelse med beskyttelse af Den Europæiske Unions eller en medlemsstats generelle samfundsinteresser, navnlig Den Europæiske Unions eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed,

6) beskyttelse af retsvæsenets uafhængighed og retssager,

7) forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv,

8) kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i nr. 1-5 og 7,

9) beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder og

10) håndhævelse af civilretlige krav.

Af de specielle bemærkninger til databeskyttelseslovens § 22, stk. 2, fremgår det, at:

”Bestemmelsen fastsætter – ligesom bestemmelsen i stk. 1 – at indskrænkning i den dataansvarliges eller dennes repræsentants oplysningspligt kun kan ske på grundlag af en konkret afvejning af de modstående interesser, som er nævnt i bestemmelsen. På baggrund af en sådan afvejning vil undtagelse kunne gøres, hvis der er nærliggende fare for, at det offentliges interesser vil lide skade af væsentlig betydning.

I bestemmelsen fastsættes det endvidere, i hvilket omfang den dataansvarlige kan undlade at give den registrerede ret til indsigt. Indskrænkningen i den registreredes adgang til at blive gjort bekendt med de i forordningens artikel 15, nævnte oplysninger, kan efter bestemmelsen kun ske på grundlag af en konkret afvejning af de modstående interesser. Der kan endvidere også ske undtagelse fra indsigtsretten efter artikel 15, stk. 1, litra h, som omhandler indsigt i forbindelse med automatiske afgørelser, herunder profilering, som omhandlet i forordningens artikel 22, stk. 1 og 4.

I afvejningen om særligt undtagelse fra indsigtsretten efter forordningens artikel 15 indgår som nævnt på den ene side den registreredes interesse i at få kendskab til oplysningerne. Hermed sigtes ikke blot til den registreredes interesse i kendskab til oplysningerne i forbindelse med overvejelser om indbringelse af en sag, hvori de indsamlede oplysninger indgår, for domstolene, højere administrativ myndighed, vedkommende tilsynsmyndighed eller Folketingets Ombudsmand, men også til den registreredes interesse i at kunne kontrollere oplysningernes rigtighed med henblik på den dataansvarliges anvendelse af oplysningerne.

Med anvendelsen af udtrykket »afgørende« i bestemmelsen er det tilkendegivet, at undtagelse fra oplysningspligten og indsigtsretten kun kan gøres, hvor der er nærliggende fare for, at offentlige interesser vil lide skade af væsentlig betydning.

Med udtrykket »afgørende hensyn« tilsigtes kongruens med den tilsvarende afvejning af modsatrettede hensyn, som skal foretages efter offentlighedslovens § 8 om egenacces og forvaltningslovens § 15, § 15 a og § 15 b, om undtagelse af oplysninger fra aktindsigt.

I overensstemmelse med forordningens artikel 23, stk. 2, skal den dataansvarlige i videst muligt og relevant omfang – når der konkret gøres undtagelse fra oplysningspligten og indsigtsretten efter både stk. 1 og 2 – forsøge at tage højde for de hensyn, som følger af artikel 23, stk. 2, inden for det livsområde, som den dataansvarlige vil begrænse.

Dette betyder eksempelvis, at den dataansvarlige er forpligtet til at overveje, hvilke risici der er forbundet med undtagelse fra oplysningspligten eller indsigtsretten for den registrerede, jf. databeskyttelsesforordningens artikel 23, stk. 2, litra g. Således f.eks. om der vil være en risiko for, at de indsamlede oplysninger er forkerte.

Endvidere vil den dataansvarlige eksempelvis i forbindelse med undtagelse fra indsigtsretten af hensyn til andres frihedsrettigheder kunne underrette den registrerede om denne begrænsning, jf. databeskyttelsesforordningens artikel 23, stk. 2, litra h.

Endelig påhviler det direkte efter bestemmelserne i stk. 1 og 2 den dataansvarlige at tage hensyn til rækkevidden af de indførte begrænsninger, jf. databeskyttelsesforordningens artikel 23, stk. 2, litra c, idet den dataansvarlige skal foretage en konkret vurdering af, om der er afgørende hensyn for hver enkelt oplysning for sig.”

3.3. EU-Domstolens dom i sagen C-579/21

Den 22. juni 2023 afsagde EU-Domstolen dom i sagen C-579/21. EU-Domstolen blev i sagen bedt om at tage stilling til, om logfiler – herunder identiteten på de personer, som har tilgået oplysningerne i loggen – er omfattet af indsigtsretten i databeskyttelsesforordningens artikel 15. EU-Domstolen udtalte herom følgende:

”37. Med det første og det andet spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 15, stk. 1, skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger, vedrørende datoerne for og formålet med disse søgninger og vedrørende identiteten på de fysiske personer, der har gennemført de pågældende søgninger, udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige i medfør af denne bestemmelse.

38. Det skal indledningsvis bemærkes, at det fremgår af fast praksis, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og de mål, der forfølges med den ordning, som den udgør en del af (dom af 12.1.2023, Österreichische Post (Oplysninger om modtagere af personoplysninger), C-154/21, EU:C:2023:3, præmis 29).
39. Hvad for det første angår ordlyden af databeskyttelsesforordningens artikel 15, stk. 1, skal det bemærkes, at denne bestemmelse fastsætter, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og information om bl.a. formålene med behandlingen og om de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til.
40. Det skal i denne forbindelse fremhæves, at de begreber, der er omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, er defineret i denne forordnings artikel 4.
41. Hvad for det første angår databeskyttelsesforordningens artikel 4, nr. 1), fastsætter denne bestemmelse, at der ved personoplysninger forstås »enhver form for information om en identificeret eller identificerbar fysisk person«, og den præciserer, at der »ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.
42. Anvendelsen af udtrykket »enhver form for information« i definitionen af begrebet »personoplysninger«, som fremgår af denne bestemmelse, afspejler EU-lovgivers hensigt om at give begrebet en bred betydning, således at det potentielt omfatter enhver form for information, både objektiv og subjektiv i form af meningstilkendegivelser eller bedømmelser, forudsat at informationen er »om« den pågældende person (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 23).
43. I denne henseende er det blevet fastslået, at en information vedrører en identificeret eller identificerbar fysisk person, hvis den på grund af sit indhold, formål eller virkning er knyttet til en identificerbar person (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 24).
44. For så vidt angår karakteriseringen af en oplysning om en person som »identificerbar« fremgår det af 26. betragtning til databeskyttelsesforordningen, at »alle midler [bør] tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende«.
45. Det følger heraf, at den brede definition af begrebet »personoplysninger« ikke kun omfatter de oplysninger, der indsamles og opbevares af den dataansvarlige, men ligeledes alle oplysninger, som hidrører fra en behandling af personoplysninger, der vedrører en identificeret eller identificerbar person (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 26).
46. Hvad for det andet angår begrebet »behandling« som defineret i databeskyttelsesforordningens artikel 4, nr. 2), skal det konstateres, at EU-lovgiver ved anvendelsen af udtrykket »enhver aktivitet« har haft til hensigt at give dette begreb en vid rækkevidde, som udtrykkes ved en ikke-udtømmende karakter af enhver aktivitet eller række af aktiviteter, som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, opbevaring eller søgning (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 27).
47. Hvad for det tredje angår databeskyttelsesforordningens artikel 4, nr. 9), præciseres det heri, at der ved »modtager« forstås »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej«.
48. I denne henseende har Domstolen fastslået, at den registrerede har ret til at få oplysninger fra den dataansvarlige om de konkrete modtagere, som personoplysningerne vedrørende den pågældende er eller vil blive videregivet til (dom af 12.1.2023, Österreichische Post (Oplysninger om modtagere af personoplysninger), C-154/21, EU:C:2023:3, præmis 46).
49. Det følger derfor af en analyse af ordlyden af databeskyttelsesforordningens artikel 15, stk. 1, og af de i bestemmelsen omhandlede begreber, at den ret til indsigt, som den registrerede har i henhold til denne bestemmelse, er karakteriseret ved den brede rækkevidde af den information, som den dataansvarlige skal give den registrerede.
50. Hvad dernæst angår den sammenhæng, hvori databeskyttelsesforordningens artikel 15, stk. 1, indgår, skal det for det første bemærkes, at det følger af 63. betragtning til denne forordning, at den registrerede bør have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, og om modtagerne af personoplysningerne.
51. Det skal for det andet bemærkes, at det fremgår af 60. betragtning til databeskyttelsesforordningen, at principperne om rimelig og gennemsigtig behandling kræver, at den registrerede informeres om behandlingsaktiviteters eksistens og deres formål, idet det understreges, at den dataansvarlige bør give den registrerede eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under. Det følger desuden af princippet om gennemsigtighed, som den forelæggende ret har henvist til, som fremgår af 58. betragtning til databeskyttelsesforordningen, og som udtrykkelig er fastslået i denne forordnings artikel 12, stk. 1, at alle oplysninger, der sendes til den registrerede, skal være kortfattede, lettilgængelige, letforståelige og formuleret i et klart og enkelt sprog.
52. I denne henseende præciseres det i databeskyttelsesforordningens artikel 12, stk. 1, at oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk, og, når den registrerede anmoder om det, mundtligt. Denne bestemmelse er et udtryk for princippet om gennemsigtighed og tilsigter at gøre det muligt for den registrerede at opnå fuld forståelse af de fremsendte oplysninger (dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 38 og den deri nævnte retspraksis).
53. Det følger af ovenstående analyse af sammenhængen, at databeskyttelsesforordningens artikel 15, stk. 1, udgør en af de bestemmelser, der har til formål at sikre gennemsigtighed i forbindelse med behandling af personoplysninger i forhold til den registrerede.
54. Endelig understøttes denne fortolkning af omfanget af den ret til indsigt, der er fastsat i databeskyttelsesforordningens artikel 15, stk. 1, af de formål, der forfølges med denne forordning.
55. For det første, og som det fremgår af 10. og 11. betragtning til denne forordning, har den nemlig til formål at sikre et ensartet og højt beskyttelsesniveau for fysiske personer inden for EU og at styrke og præcisere de berørte personers rettigheder.
56. Derudover fremgår det af 63. betragtning til databeskyttelsesforordningen, at en persons ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til den i denne forordnings artikel 15, stk. 1, omhandlede information, først og fremmest har til formål at gøre det muligt for denne person at forvisse sig om og kontrollere en behandlings lovlighed. Det følger af denne betragtning og af det i denne doms præmis 50 anførte, at enhver registreret bør have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, om modtagerne af personoplysningerne og om logikken bag en behandling af personoplysningerne.
57. I denne henseende skal det for det andet bemærkes, at Domstolen allerede har fastslået, at retten til indsigt, der er fastsat i databeskyttelsesforordningens artikel 15, skal gøre det muligt for den registrerede at sikre sig, at personoplysningerne om vedkommende er korrekte, og at de behandles lovligt (dom 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 34).
58. Denne ret til indsigt er navnlig nødvendig for, at den registrerede i givet fald kan udøve sin ret til berigtigelse, retten til sletning (»ret til at blive glemt«) og retten til begrænsning af behandling, der er indrømmet den registrerede i henholdsvis databeskyttelsesforordningens artikel 16 og artikel 18, og retten til i henhold til databeskyttelsesforordningens artikel 21 at gøre indsigelse mod behandling af sine personoplysninger, samt, jf. databeskyttelsesforordningens artikel 79 og 82, adgangen til at iværksætte retsmidler, såfremt denne har lidt skade (dom 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 35 og den deri nævnte retspraksis).
59. Databeskyttelsesforordningens artikel 15, stk. 1, udgør derfor en af de bestemmelser, der har til formål at sikre gennemsigtigheden af fremgangsmåden for behandling af personoplysninger i forhold til den registrerede (dom af 12.1.2023, Österreichische Post (Oplysninger om modtagere af personoplysninger), C-154/21, EU:C:2023:3, præmis 42), uden hvilken den registrerede ikke ville være i stand til at vurdere lovligheden af behandlingen af sine oplysninger og udøve de beføjelser, der bl.a. er fastsat i denne forordnings artikel 16-18, 21, 79 og 82.
60. I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at J.M. anmodede Pankki S om at få udleveret oplysninger om de søgninger, som hans personoplysninger havde været genstand for mellem den 1. november 2013 og den 31. december 2013, og oplysninger om datoerne for disse søgninger, formålet hermed og identiteten af de personer, der havde foretaget søgningerne. Den forelæggende ret har anført, at transmissionen af de logfiler, der var genereret i forbindelse med disse søgninger, gjorde det muligt at besvare J.M.’s anmodning.
61. I den foreliggende sag er det ubestridt, at de søgninger, som sagsøgeren i hovedsagens personoplysninger har været genstand for, udgør en »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), hvilket indebærer, at sagsøgeren i hovedsagen i henhold til denne forordnings artikel 15, stk. 1, ikke alene har ret til indsigt i disse personoplysninger, men ligeledes ret til at få den i sidstnævnte bestemmelse omhandlede information om de pågældende søgninger.
62. Hvad angår de oplysninger, som J.M. har anmodet om, gør meddelelsen om datoerne for søgningerne det for det første muligt for den registrerede at få bekræftet, at vedkommendes personoplysninger på et givet tidspunkt rent faktisk har været genstand for behandling. Eftersom de betingelser for lovlighed, der er fastsat i databeskyttelsesforordningens artikel 5 og 6, desuden skal være opfyldt på tidspunktet for selve behandlingen, udgør datoen for behandlingen et element, der gør det muligt at efterprøve dens lovlighed. Det skal dernæst bemærkes, at information om formålet med behandlingerne udtrykkeligt henhører under databeskyttelsesforordningens artikel 15, stk. 1, litra a). Endelig bestemmer denne forordnings artikel 15, stk. 1, litra c), at den dataansvarlige underretter den registrerede om de modtagere, som den registreredes oplysninger er blevet videregivet til.
63. Hvad nærmere bestemt angår en meddelelse af denne information gennem udlevering af logfiler vedrørende de i hovedsagen omhandlede behandlingsaktiviteter skal det bemærkes, at databeskyttelsesforordningens artikel 15, stk. 3, første punktum, bestemmer, at den dataansvarlige »udleverer en kopi af de personoplysninger, der behandles«.
64. I denne henseende har Domstolen allerede fastslået, at det således anvendte begreb »kopi« betegner en nøjagtig gengivelse eller afskrift af en original, således at en rent generel beskrivelse af de oplysninger, der er genstand for behandling, eller en henvisning til kategorier af personoplysninger ikke svarer til denne definition. Det fremgår desuden af ordlyden af denne forordnings artikel 15, stk. 3, første punktum, at oplysningspligten vedrører de personoplysninger, der er genstand for den omhandlede behandling (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 21).
65. Den kopi, som den dataansvarlige skal give, skal indeholde alle de personoplysninger, der behandles, udvise alle de karakteristika, der gør det muligt for den registrerede effektivt at udøve sine rettigheder i henhold til denne forordning, og den skal derfor gengive disse oplysninger fuldstændigt og nøjagtigt (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 32 og 39).
66. Med henblik på at sikre, at de således tilvejebragte oplysninger er lette at forstå, således som det kræves i henhold til databeskyttelsesforordningens artikel 12, stk. 1, sammenholdt med 58. betragtning hertil, kan det nemlig være nødvendigt at gengive uddrag af dokumenter såvel som hele dokumenter eller uddrag fra databaser, der bl.a. indeholder de personoplysninger, der er genstand for behandling, når en kontekstualisering af de behandlede oplysninger er nødvendig for at sikre deres forståelighed. Navnlig når personoplysninger genereres på grundlag af andre oplysninger, eller når sådanne oplysninger hidrører fra frie felter, dvs. manglende angivelse af en oplysning om den registrerede, er den sammenhæng, hvori disse oplysninger behandles, et nødvendigt element for at give den registrerede en gennemsigtig adgang til og en letforståelig præsentation af disse oplysninger (dom 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 41 og 42).
67. Som generaladvokaten har anført i punkt 90-88 i forslaget til afgørelse, svarer de logfiler, som indeholder de oplysninger, som J.M. har anmodet om, til fortegnelser over behandlingsaktiviteter som omhandlet i databeskyttelsesforordningens artikel 30. De skal anses for at være omfattet af de foranstaltninger, der er nævnt i 74. betragtning til denne forordning, og som gennemføres af den dataansvarlige med henblik på at påvise, at behandlingsaktiviteterne er forenelige med denne forordning. Samme forordnings artikel 30, stk. 4, præciserer navnlig, at disse fortegnelser efter anmodning skal stilles til rådighed for tilsynsmyndigheden.
68. For så vidt som disse fortegnelser over behandlingsaktiviteter ikke indeholder oplysninger om en identificeret eller identificerbar fysisk person som omhandlet i den retspraksis, der er nævnt i denne doms præmis 42 og 43, gør disse fortegnelser det udelukkende muligt for den dataansvarlige at opfylde sine forpligtelser over for den tilsynsmyndighed, der anmoder om at få dem udleveret.
69. Hvad nærmere bestemt angår den dataansvarliges logfiler kan det være nødvendigt at fremsende en kopi af den i disse filer omhandlede information med henblik på at opfylde forpligtelsen til at give den registrerede adgang til alle de oplysninger, der er omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, og for at sikre en retfærdig og gennemsigtig behandling, der gør det muligt for den registrerede fuldt ud at gøre sine rettigheder i henhold til databeskyttelsesforordningen gældende.
70. For det første viser sådanne filer nemlig, at oplysningerne er blevet behandlet, hvilket udgør information, som den registrerede skal have adgang til i henhold til databeskyttelsesforordningens artikel 15, stk. 1. Filerne giver desuden oplysninger om, hvor tit og i hvilket omfang der er søgt, således at den registrerede kan sikre sig, at den udførte behandling rent faktisk er begrundet i de formål, som er anført af den dataansvarlige.
71. For det andet indeholder disse filer oplysninger om identiteten på de personer, der har foretaget søgningen.
72. I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at de personer, der har foretaget de i hovedsagen omhandlede søgninger, er ansatte i Pankki S, som har handlet under Pankki S’s ledelse og efter instruks fra banken.
73. Selv om det ganske vist fremgår af databeskyttelsesforordningens artikel 15, stk. 1, litra c), at den registrerede har ret til fra den dataansvarlige at få oplysninger om de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, kan den dataansvarliges ansatte ikke som anført i nærværende doms præmis 47 og 48 anses for at være »modtagere« som omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra c), når de behandler personoplysninger under den nævnte dataansvarliges ledelse og efter instruks fra vedkommende, således som generaladvokaten har anført i punkt 63 i forslaget til afgørelse.
74. Det skal i denne henseende fremhæves, at i henhold til databeskyttelsesforordningens artikel 29 behandler enhver, der udfører arbejde for den dataansvarlige, og som har adgang til personoplysninger, kun disse oplysninger efter instruks fra den dataansvarlige.
75. Når dette er sagt, kan de oplysninger, der er indeholdt i logfilerne vedrørende de personer, der har foretaget søgninger i den registreredes personoplysninger, udgøre oplysninger som dem, der er omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), og som dem, der er henvist til i nærværende doms præmis 41, der gør det muligt for den registrerede at kontrollere lovligheden af den behandling, som vedkommendes personoplysninger har været genstand for, og navnlig at sikre sig, at behandlingsaktiviteterne rent faktisk er blevet udført under den dataansvarliges myndighed og efter instruks fra denne.
76. Ikke desto mindre fremgår det for det første af forelæggelsesafgørelsen, at sådanne oplysninger i logfiler som de i hovedsagen omhandlede gør det muligt at identificere de ansatte, der har udført behandlingsaktiviteterne, og indeholder sådanne personoplysninger om de pågældende ansatte som dem, der er omhandlet i databeskyttelsesforordningens artikel 4, nr. 1).
77. Det skal i denne henseende bemærkes, at hvad angår retten indsigt i henhold til databeskyttelsesforordningens artikel 15 præciseres det i 63. betragtning til denne forordning, at »[d]enne ret [ikke] må […] krænke andres rettigheder eller frihedsrettigheder«.
78. I henhold til fjerde betragtning til databeskyttelsesforordningen er retten til beskyttelse af personoplysninger nemlig ikke en absolut ret, men skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 172).
79. Selv om videregivelsen af oplysninger om identiteten af den dataansvarliges ansatte til den person, der er genstand for behandlingen, kan vise sig at være nødvendig for sidstnævnte for at sikre sig, at behandlingen af vedkommendes personoplysninger er lovlig, kan dette imidlertid krænke de ansattes rettigheder og friheder.
80. I tilfælde af konflikt mellem på den ene side udøvelsen af en ret til indsigt, som sikrer den effektive virkning af de rettigheder, som databeskyttelsesforordningen tillægger den registrerede, og på den anden side andres rettigheder eller frihedsrettigheder, er det under sådanne omstændigheder nødvendigt at foretage en afvejning af de omhandlede rettigheder eller frihedsrettigheder. Hvis det er muligt, skal der vælges fremgangsmåder, som ikke krænker andres rettigheder eller frihedsrettigheder, under hensyntagen til – sådan som det fremgår af 63. betragtning til databeskyttelsesforordningen – at disse vurderinger ikke må »resultere i en afvisning af at give al information til den registrerede« (jf. i denne retning dom af 4.5.2023, Österreichische Datenschutzbehörde og CRIF, C-487/21, EU:C:2023:369, præmis 44).
81. Det skal imidlertid for det andet bemærkes, at det fremgår af forelæggelsesafgørelsen, at J.M. ikke har anmodet om oplysninger om identiteten på de ansatte i Pankki S, der har søgt i hans personoplysninger med den begrundelse, at de rent faktisk ikke handlede under den dataansvarliges ledelse og efter vedkommendes instruks, men at J.M. synes at være i tvivl om rigtigheden af de oplysninger, som Pankki S har videregivet om formålet med de pågældende søgninger.
82. Såfremt den registrerede under sådanne omstændigheder måtte være af den opfattelse, at de oplysninger, som den dataansvarlige har videregivet, er utilstrækkelige til, at den registrerede kan afkræfte den tvivl, som vedkommende nærer med hensyn til lovligheden af den behandling, som den registreredes personoplysninger har været genstand for, har den registrerede i henhold til denne forordnings artikel 77, stk. 1, ret til at indgive en klage til tilsynsmyndigheden, der i henhold til samme forordnings artikel 58, stk. 1, litra a), har beføjelse til at anmode den dataansvarlige om at fremsende alle oplysninger, som tilsynsmyndigheden har brug for til at behandle den registreredes klage.
83. Det følger af ovenstående betragtninger, at databeskyttelsesforordningens artikel 15, stk. 1, skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger og vedrørende datoerne for og formålet med disse søgninger udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige. Denne bestemmelse foreskriver derimod ikke en sådan ret for så vidt angår information om identiteten på de af den dataansvarliges ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra denne, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til denne forordning, og forudsat at de ansattes rettigheder og frihedsrettigheder iagttages.”

3.4. Den konkrete sag

En log er en fil, hvori et it-system gemmer oplysninger om dets drift og brug. Alt afhængig af loggens karakter kan en log indeholde personoplysninger.

Klager har i sin henvendelse, som den 20. november 2013 blev oversendt til Indenrigs- og Sundhedsministeriet med henblik på ministeriets stillingtagen, anmodet om indsigt i de virksomheder og myndigheder, som historisk har abonneret på oplysninger om ham i CPR-registeret. Der er således tale om en afgrænset anmodning i det nævnte.

Datatilsynet lægger på baggrund af det af Indenrigs- og Sundhedsministeriet oplyste til grund, at der i CPR’s sikkerhedslog fremgår oplysninger om (historiske) abonnementer i et vist tidsrum, efter de er ophørt med at være aktive.

Databeskyttelsesforordningens artikel 15, stk. 1, indebærer, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og den information, som fremgår af bestemmelsens litra a-h, herunder i henhold til litra c, information om de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til.

Når det kommer til indsigt i logfiler, følger det af EU-Domstolens afgørelse i sagen C-579/2 – nærmere bestemt dennes præmis 83 – at retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1, indebærer, at information vedrørende søgninger i en persons personoplysninger og vedrørende datoerne for og formålet med disse søgninger udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige.

Datatilsynet finder på den baggrund, at retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1, herunder dennes litra c, indebærer, at klager har ret til den information om, hvilke virksomheder og myndigheder, som (historisk) har abonneret på oplysninger om ham i CPR-registeret, der fremgår af CPR’s sikkerhedslog.

Datatilsynet bemærker i den forbindelse, at den registreredes formål med at anmode om indsigt ikke kan tillægges betydning i forhold til, om personoplysninger er omfattet af retten til indsigt efter databeskyttelsesforordningens artikel 15.  Dertil kommer, at selvom CPR’s sikkerhedslog, som anført af Indenrigs- og Sundhedsministeriet, måske ikke isoleret set vil kunne anvendes til at kontrollere behandlingens lovlighed, vil indsigt heri kunne bidrage til dette. Ved at få indsigt i CPR’s sikkerhedslog vil den registrerede kunne kontakte den pågældende myndighed eller virksomhed for at høre nærmere om baggrunden for et abonnement.

Som det fremgår af Indenrigs- og Sundhedsministeriets afslag på indsigt til klager, er det imidlertid ministeriets opfattelse, at der – uanset at der som udgangspunkt er ret til indsigt i oplysningerne – kan gøres undtagelse til retten til indsigt med henvisning til databeskyttelseslovens § 22, stk. 2.

Datatilsynet forstår på Indenrigs- og Sundhedsministeriet, at afslaget navnlig er begrundet i de ressourcer, der ville være forbundet med behandle og besvare en anmodning om indsigt i CPR’s sikkerhedslog, herunder fordi loggen vil skulle gennemgås for eventuelle fortrolige opslag.

Det er i den forbindelse Datatilsynets opfattelse, at bestemmelsen i databeskyttelseslovens § 22, stk. 2, tager sigte på at undgå, at oplysninger, som er af betydning for de i bestemmelsen anførte interesser, og som derfor skal hemmeligholdes, skal udleveres i forbindelse med besvarelsen af en anmodning om indsigt. Derimod kan hensynet til den dataansvarliges (økonomiske) interesse i ikke at bruge betydelige ressourcer på at besvare en anmodning om indsigt ikke anses for omfattet af bestemmelsen.

Endvidere vil en generel henvisning til, at det vil være (for) ressourcekrævende at besvare en anmodning om indsigt som begrundelse for at afvise en anmodning om indsigt, stride mod kravet om, at den dataansvarlige skal foretage en konkret vurdering af, om der er afgørende hensyn for hver enkelt oplysning for sig. Dette skyldes, at det typisk vil være denne konkrete vurdering, der er ressourcekrævende.

På den baggrund finder Datatilsynet, at Indenrigs- og Sundhedsministeriet ikke med den anførte begrundelse med henvisning til databeskyttelseslovens § 22, stk. 2, kan afslå at give klager information om de virksomheder og myndigheder, som historisk har abonneret på oplysninger om ham i CPR-registeret.

Datatilsynet bemærker i den forbindelse, at tilsynet ikke herved har taget stilling til, om der måtte være konkrete abonnementer mv., som bør hemmeligholdes.

Datatilsynet finder i lyset af tilsynets langvarige praksis om, at der ikke var ret til indsigt i sikkerhedslogs, som med denne afgørelse er ændret, ikke grundlag for at udtale kritik.

Såfremt Indenrigs- og Sundhedsministeriet modtager en fornyet henvendelse om indsigt fra klager, forudsætter Datatilsynet, at Indenrigs- og Sundhedsministeriet vil behandle anmodningen i overensstemmelse med afgørelsen i nærværende sag.