Danmark: Bolag var inte skyldigt att granska omfattande material i samband med begäran om tillgång

Datatilsynet har i ett särskilt fall undersökt i vilken utsträckning en personuppgiftsansvarig är skyldig att granska material för att uppfylla en begäran om tillgång enligt dataskyddsförordningen (GDPR), när det rör sig om ett mycket stort antal dokument som i huvudsak har tagits fram inom ramen för sökandens arbete.

Bakgrunden till Datatilsynets granskning var ett klagomål enligt vilken en registrerad begärt tillgång till handlingar i samband med ett pågående rättsligt förfarande. Den registrerades begäran om tillgång skulle dock kräva identifiering, insamling, granskning och bedömning av mer än en miljon dokument som var fördelade på olika företag för att avgöra om personuppgifter om den registrerade som kan förekomma i dessa dokument bör lämnas ut.

Den stora mängden handlingar som kunde innehålla information om den registrerade gällde i huvudsak företag Q, där den registrerade var styrelseledamot, och företag Z, där den registrerade var delägare, samt pågående rättsliga förfaranden, bland annat mot den registrerade, efter en företagsöverlåtelse.

Under dessa omständigheter ansåg Datatilsynet att de personuppgiftsansvariga inte var skyldiga att söka och granska dokumenten för att identifiera och avslöja information om den registrerade, jämför artikel 12.5 (b) GDPR. Mot denna bakgrund fann Datatilsynet ingen anledning att kritisera de personuppgiftsansvarigas hantering av den registrerades begäran om tillgång.

I sitt beslut betonade Datatilsynet att den registrerade inte specificerat sin begäran på ett sådant sätt att den skulle minska mängden material som skulle granskas för att identifiera information om honom. Datatilsynet betonade också att det fanns ett stort antal handlingar som kunde innehålla information om den registrerade, men där det måste antas att all information om den registrerade endast skulle förekomma “tillfälligt” i förhållande till syftet med handlingarna (i detta sammanhang, affärsverksamhet).

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 12 GDPR

Sanktionsavgift: N/A

Mottagare: N/A

Beslutsnummer: 2021-31-5085

Beslutsdatum: 2022-06-27

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.