Datatilsynet anser att oavsiktliga mottagare omfattas av den breda definitionen av mottagare och därmed omfattas av rätten till tillgång till mottagare av personuppgifter enligt artikel 15.1 (c) dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet fattat beslut i två ärenden där två medborgare klagat på att Udviklings- og Forenklingsstyrelsen vägrat ge de klagande insyn i vilken revisor som felaktigt fått del av personuppgifter om dem.
De klagande hade informerats av det danska skatteverket om en personuppgiftsincident i samband med svaret på en begäran om tillgång till handlingar, där ett antal personuppgifter om de klagande av misstag hade lämnats ut till en revisor som hade delat informationen med en klient. På grundval av underrättelsen ville de klagande veta vilka de specifika mottagarna av deras personuppgifter var.
Den danska utvecklings- och förenklingsbyrån vägrade att ge tillgång till revisorns och hans klients identitetsuppgifter med hänvisning till att uppgifterna var konfidentiella och omfattades av en särskild tystnadsplikt i lagen om skatteförvaltning.
Klagomålen gav Datatilsynet möjlighet att ta ställning till om oavsiktliga mottagare av personuppgifter omfattas av mottagarbegreppet och därmed av rätten till tillgång, vilket bland annat innebär att den registrerade har rätt att få information om de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut eller kommer att lämnas ut.
Efter en genomgång av ärendena konstaterade Datatilsynet att oavsiktliga mottagare omfattas av den breda definitionen av mottagare och därmed omfattas av rätten till tillgång till mottagare av personuppgifter enligt artikel 15.1 (c) GDPR.
Datatilsynet konstaterade vidare att det i de specifika fallen fanns en tillräckligt säker grund för att åsidosätta Udviklings- og Forenklingsstyrelsens bedömning att uppgiften om revisorns namn var en sekretessbelagd uppgift som omfattas av tystnadsplikten i skatteförvaltningslagen.