Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 4 920 euro mot en advokatbyrå för överträdelse av öppenhetskraven och rätten till tillgång enligt dataskyddsförordningen (GDPR).
Bakgrund
En klient anlitade advokatbyrån under perioden november 2019 till februari 2020 och agerade även på sin minderåriga dotters vägnar. I januari 2023 lämnade klienten in en begäran om tillgång till sina personuppgifter samt dotterns och makens uppgifter. Begäran avsåg även information om avsaknaden av en integritetspolicy, icke-konfidentiella delar av registret över behandlingar, säkerhetsåtgärder, rättslig grund för behandlingen samt överföringar av personuppgifter.
Advokatbyrån svarade vid tre tillfällen och nekade vid två av dessa tillgång med hänvisning till tvivel om klientens identitet. Byrån ansåg inte heller att det behövdes någon separat integritetspolicy, eftersom tystnadsplikt ingår i advokatrollen. Byrån hävdade också att begärandena ingick i en bredare strategi för att bestrida en utestående faktura på cirka 3 800 euro och därför utgjorde ett missbruk av rättigheter. I sitt sista svar krävde advokatbyrån en avgift på 135 euro för att tillhandahålla informationen, med hänvisning till att begärandena var uppenbart ogrundade eller orimliga enligt artikel 12.5 (a) GDPR. Klienten lämnade in ett klagomål till GBA i juni 2024.
Myndighetens bedömning
GBA godtog att advokatbyråns statiska HTML-webbplats inte tycktes behandla personuppgifter, men konstaterade att detta inte berörde kärnan i klagomålet. Klagomålet gällde att advokatbyrån underlåtit att informera klienten och hennes minderåriga dotter om behandlingen av deras personuppgifter. GBA fann att advokatbyrån inte hade visat att den tillhandahöll erforderlig information vid tidpunkten för insamlingen, i strid med principen om öppenhet i 5.1 (a) GDPR samt artiklarna 12.1 och 13 GDPR. Advokatbyråns argument att tystnadsplikt var tillräcklig godtogs inte.
Avseende rätten till tillgång konstaterade GBA att advokatbyrån vid två tillfällen avslog begäran med hänvisning till tvivel om klientens identitet, utan att vare sig begära ytterligare identifieringsuppgifter eller vägleda klienten om hur identifiering kunde ske. GBA betonade att artikel 12.6 GDPR inte ger den personuppgiftsansvarige rätt att avslå en begäran enbart på denna grund.
GBA fann att advokatbyrån med rätta hade nekat tillgång till makens personuppgifter, eftersom klienten inte uppvisat fullmakt för detta. Vad gäller dotterns uppgifter konstaterade myndigheten att klienten hade rätt att utöva rätten till tillgång på dotterns vägnar i egenskap av vårdnadshavare, och att advokatbyrån borde ha känt till deras relation eftersom klienten var dess kund.
Advokatbyråns argument att begärandena var uppenbart ogrundade och orimliga avvisades. GBA konstaterade att det inte rörde sig om upprepade begäranden utan om en och samma begäran som klienten tvingades upprepa till följd av advokatbyråns olagliga avslag. GBA fann därmed överträdelse av artiklarna 12.2, 12.4 och 15 GDPR.
GBA betraktade de två överträdelserna som separata, eftersom informationsskyldigheten är av allmän karaktär medan rätten till tillgång är av individuell karaktär. Sanktionsavgiften fastställdes till totalt 4 920 euro, varav 2 520 euro för överträdelse av artiklarna 5.1 (a), 12 och 13 GDPR och 2 400 euro för överträdelse av artiklarna 12.2, 12.4 och 15 GDPR. Advokatbyrån ålades också att tillmötesgå den registrerades begäran om tillgång inom en månad.
Praktiska konsekvenser
Beslutet klargör att tystnadsplikt och advokatetiska regler inte ersätter skyldigheterna enligt GDPR att informera klienter om personuppgiftsbehandlingen. En advokatbyrå är personuppgiftsansvarig för den behandling som sker inom ramen för klientrelationen och måste uppfylla informationskraven i artiklarna 12 och 13 GDPR på samma sätt som andra verksamheter.
Beslutet visar också att en personuppgiftsansvarig som ifrågasätter en registrerads identitet är skyldig att aktivt vägleda den registrerade om hur identifiering kan ske, och inte enbart avslå begäran. Att hantera begäranden från registrerade utan tydliga rutiner för identifiering och svarstider innebär en påtaglig risk för överträdelse av artiklarna 12 och 15 GDPR.
Kontakta oss
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör informationsskyldighet, hantering av registrerades rättigheter och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: GBA.