
Bruxelles, den 20. januar – Det Europæiske Databeskyttelsesråd (Databeskyttelsesrådet) har vedtaget en rapport om gennemførelsen af de registeransvarliges ret til indsigt. Rapporten sammenfatter resultatet af en række koordinerede nationale foranstaltninger, der blev gennemført i 2024 inden for rammerne af den koordinerede håndhævelsesramme (CEF). Den indeholder en liste over de problemer, der blev konstateret for nogle dataansvarlige, sammen med en række anbefalinger, der skal hjælpe dem med at gennemføre retten til indsigt. Et centralt element er de dataansvarliges kendskab til Databeskyttelsesrådets retningslinjer 01/2022 om registreredes rettigheder — ret til indsigt og hvorvidt disse retningslinjer blev fulgt i praksis.
Næstformand for Databeskyttelsesrådet, Zdravko Vukíc, udtaler: "CEF er et værdifuldt initiativ, der bidrager til at styrke samarbejdet mellem databeskyttelsesmyndighederne: Ved at behandle udvalgte emner på en koordineret måde opnår de større effektivitet og større sammenhæng. Den måde, hvorpå dataansvarlige gennemfører retten til indsigt, er et centralt element i databeskyttelsen, og det er en af de hyppigst udøvede registreredes rettigheder."
I løbet af 2024 iværksatte 30 databeskyttelsesmyndigheder i hele Europa koordinerede undersøgelser af de dataansvarliges overholdelse af retten til indsigt ved at indlede formelle undersøgelser, vurdere, om en formel undersøgelse var berettiget, og/eller gennemføre undersøgelser. I alt 1 185 dataansvarlige, der består af små og mellemstore virksomheder (SMV'er) og store virksomheder, der er aktive inden for forskellige brancher og områder, samt forskellige typer offentlige enheder, reagerede på foranstaltningen.
Områder, hvor der kan ske forbedringer, og de vigtigste udfordringer
Resultaterne tyder på, at der er behov for mere oplysning om retningslinjer 01/2022, både på nationalt plan og EU-plan, da retningslinjerne hjælper de dataansvarlige med at gennemføre retten til indsigt, forklarer, hvordan udøvelsen af denne ret kan gøres lettere, og opregner undtagelserne og begrænsningerne i retten til indsigt.
Som følge af CEF-aktionen i 2024 blev der identificeret syv udfordringer. En af dem er manglen på dokumenterede interne procedurer for behandling af anmodninger om adgang. Desuden blev der også foretaget inkonsekvente og overdrevne fortolkninger af grænserne for retten til aktindsigt, f.eks. ved i for høj grad at basere sig på visse undtagelser for automatisk at afslå anmodninger om aktindsigt. Et andet eksempel er de hindringer, som enkeltpersoner kan støde på, når de udøver deres ret til aktindsigt, f.eks. formelle krav eller krav om at fremlægge overdrevne identifikationsdokumenter. For hver identificeret udfordring indeholder rapporten en liste over ikkebindende anbefalinger, som de dataansvarlige og databeskyttelsesmyndighederne skal tage hensyn til.
Positive resultater
På trods af de eksisterende udfordringer evaluerede to tredjedele af de deltagende databeskyttelsesmyndigheder de besvarende dataansvarliges grad af overholdelse med hensyn til retten til adgang fra "gennemsnitlig" til "høj". En vigtig faktor, der blev identificeret som havende indvirkning på graden af overholdelse, var mængden af anmodninger om adgang, som de dataansvarlige modtog, samt organisationens størrelse. Mere specifikt var store dataansvarlige eller dataansvarlige, der modtog flere anmodninger, mere tilbøjelige til at opnå en højere grad af overholdelse end små organisationer med færre ressourcer.
Der blev observeret positive resultater i hele Europa. Disse omfatter dataansvarliges gennemførelse af bedste praksis såsom brugervenlige onlineformularer, der gør det nemt for enkeltpersoner at indgive en anmodning om adgang, samt selvbetjeningssystemer, der gør det muligt for enkeltpersoner selvstændigt at downloade deres personoplysninger med få klik og når som helst.
Baggrund og næste skridt
CEF er en central foranstaltning i Databeskyttelsesrådet under dets strategi for 2024-2027, der har til formål at strømline håndhævelsen og samarbejdet mellem databeskyttelsesmyndighederne.
I de seneste tre år er der gennemført to tidligere CEF-aktioner.
Resultaterne af disse nationale foranstaltninger aggregeres og analyseres sammen for at skabe dybere indsigt i emnet og give mulighed for målrettet opfølgning på både nationalt plan og EU-plan.
I 2023 offentliggjorde Databeskyttelsesrådet rapporten om sin første koordinerede indsats vedrørende den offentlige sektors brug af cloudbaserede tjenester.
I 2024 offentliggjorde Databeskyttelsesrådet også rapporten om resultatet af det andet koordinerede tiltag vedrørende udpegelse af databeskyttelsesansvarlige og deres stilling.
CEF 2025-aktionen vil handle om gennemførelsen af retten til sletning.
Priopćenje za medije objavljeno ovdje automatski je prevedeno s engleskog jezika. Europski odbor za zaštitu podataka ne jamči točnost prijevoda. Ako postoji sumnja, pogledajte službeni tekst u verziji na engleskom jeziku.