Datatilsynet har truffet afgørelse i to sager om, at utilsigtede modtagere af personoplysninger kan være omfattet af retten til indsigt, trods Styrelsens afslag på udlevering af sådanne oplysninger.
I begge sager blev klagerne underrettet af Skattestyrelsen om et brud på datasikkerheden i forbindelse med besvarelse af en aktindsigtsanmodning, hvor deres oplysninger ved en fejl blev delt med en revisor, som efterfølgende havde delt oplysningerne med en klient. Klagerne anmodede om indsigt i, hvem disse utilsigtede modtagere var, men Udviklings- og Forenklingsstyrelsen (UFS) nægtede at udlevere navnene med henvisning til skatteforvaltningslovens § 17 om særlig tavshedspligt.
Datatilsynet skulle vurdere, om retten til indsigt i henhold til databeskyttelsesforordningens art. 15 omfatter de utilsigtede modtagere af personoplysninger, og om UFS fortolkning af tavshedspligten var korrekt.
Retten til indsigt og utilsigtede modtagere
Retten til indsigt er en central rettighed i databeskyttelsesforordningen. Ifølge art. 15 har den registrerede ret til at få oplyst, hvem deres personoplysninger er, eller vil blive, videregivet til.
Det principielle spørgsmål i sagen var således, om utilsigtede modtagere falder ind under definitionen af modtagere i art. 15s forstand. Datatilsynet fastslog, efter at sagerne havde været behandlet på et møde i Datarådet, at definitionen af modtager i databeskyttelsesforordningen skal forstås bredt, og utilsigtede modtagere dermed er omfattet af retten til indsigt i modtagere af personoplysninger.
Undtagelser til retten til indsigt Revisorens identitet
UFS nægtede at udlevere navnene på de utilsigtede modtagere med henvisning til skatteforvaltningslovens § 17 om tavshedspligt jf. offentlighedslovens § 35 samt databeskyttelseslovens § 22, stk. 3, jf. databeskyttelsesforordningens artikel 15, stk. 1. Datatilsynet vurderede dog, at denne tavshedspligt ikke var tilstrækkelig til at undtage revisorens navn fra retten til indsigt efter art. 15.
I sin afgørelse lagde Datatilsynet vægt på en udtalelse fra Skatteministeriet, der bekræftede, at oplysninger om en revisor, der på vegne af en klient har fået aktindsigt, normalt ikke er omfattet af tavshedspligten. Det er almindeligt kendt, at revisorer modtager aktindsigt på vegne af deres klienter, og dette anses derfor ikke for at være en fortrolig oplysning.
På den baggrund fandt Datatilsynet, at UFS begrundelse for at nægte indsigt i revisorens navn var ubegrundet.
Afgrænsning af indsigtsretten Revisorens klients identitet
Datatilsynet understregede, at retten til indsigt ikke omfattede navnet på revisorens klient, der modtog de videregivne oplysninger. Denne oplysning var omfattet af tavshedspligten i skatteforvaltningsloven, da den kunne afsløre fortrolige forhold om klientens økonomiske og personlige situation.
Klagerne kunne derfor ikke få indsigt i, hvem revisorens klient var, da det ville stride imod den særlige tavshedspligt efter skatteforvaltningslovens § 17.
Konklusion
Datatilsynets afgørelse fastslår, at utilsigtede modtagere af personoplysninger er omfattet af retten til indsigt i henhold til databeskyttelsesforordningen. UFS' fortolkning af tavshedspligten i skatteforvaltningsloven var derfor ikke korrekt, når det kom til revisorens identitet, der utilsigtet modtog oplysningerne.
Fremtidig betydning
Datatilsynets afgørelse kan få væsentlig betydning for fremtidige sager om retten til indsigt. Den fastslår, at borgere som udgangspunkt har ret til at få oplyst, hvem deres personoplysninger er blevet delt med ved en fejl. Denne fortolkning styrker de registrerede personers rettigheder i tilfælde af brud på datasikkerheden og giver dem bedre muligheder for at beskytte deres interesser. Samtidig åbner den udvidede forståelse af modtager også op for, at borgere i højere grad kan få indsigt i, hvem deres personoplysninger utilsigtet er blevet delt med.
Afgørelsen rejser derfor potentielle udfordringer, hvis der i fremtidige sager opstår situationer med mange utilsigtede modtagere. Her kan opstå et dilemma mellem hensynet til den registreredes ret til indsigt og hensynet til modtagernes privatliv og fortrolighed, særligt hvor disse modtagere ikke selv har forårsaget bruddet. Der kan derfor opstå et særligt behov for en afbalanceret tilgang, hvor retten til indsigt vejes op mod andre hensyn.