Lundgrens har for nyligt bistået en klient i en retssag om retten til indsigt efter databeskyttelsesreglerne. Sagen udsprang af et afslag på indsigt efter databeskyttelseslovgivningen i en række dokumenter og rapporter, der var af væsentlige betydning for vores klienten i en anden verserende retssag mod den dataansvarlige. Det var uomtvistet, at den dataansvarlige havde behandlet de pågældende personoplysninger. Indsigt blev dog afvist med begrundelsen, at oplysningerne løbende var blevet slettet, hvilket vores klient betvivlede.
Sagen blev anlagt ved byretten med påstand om, at sagsøgte skulle udlevere kopi af de relevante personoplysninger. Modparten blev bl.a. opfordret til at dokumentere, hvordan sletning var sket. Endvidere opfordredes sagsøgte til at dokumentere, at det ikke havde været muligt at genskabe filerne fra backup. Sagsøgte kunne ikke præcist dokumentere sletningen, herunder var der uklarhed om dokumenterne var i backup eller ej, om de kunne genskabes eller ej. Dataansvarlig udtalte på et tidspunkt, at dette kun skete i helt særlige undtagelsestilfælde og efter strikse interne regler hos sagsøgte. Sagsøgte havde således heller ikke på et tidligere tidspunkt forsøgt at genskabe dokumenterne fra backup, uagtet parternes korrespondancer forud for retssagen.
På denne baggrund blev sagsøgte, i endnu en skriftveksling, anmodet om at genskabe og fremlægge de relevante dokumenter fra backuppen. Til støtte herfor anførtes bl.a., at Datatilsynets praksis indebærer, at kun hvor det reelt er umuligt, kan der undlades indsigt i identificerede personoplysninger. Sagsøgte svarede herefter, at det nu ved genskabelse fra backup viste sig, at materialet, var krypteret på dokumentniveau med et unikt autogenereret password, som ikke længere fandtes eller kunne genskabes. Da filerne, efter den datansvarliges påstand, således ikke længere kunne genskabes i læsbar stand, valgte vores klient at hæve sagen. På det tidspunkt havde parterne udvekslet i alt 6 processkrifter (stævning, svarskrift, replik, duplik, processkrift 1 samt processkrift A).
Herefter var spørgsmålet, hvem der skulle betale for gildet. Sædvanligt vil en sagsøger, der hæver sagen, stå med den regning. Retten besluttede dog, at ingen af parterne skal betale sagsomkostninger til modparten, da sagsøger har haft rimelig grund til at føre proces. Retten anførte herefter, at:
”Uanset, at sagsøgte allerede i svarskriftet har oplyst, at … rapporter løbende er blevet slettet af sagsøgte, bemærker retten, at det alene på baggrund af sagsøgers provokationer under sagen er kommet frem, at det nok har været muligt for sagsøgte at genskabe rapporterne fra … backup, men ikke at se indholdet heraf på grund af manglende besiddelse af en unik autogenereret kode. Det er således først i forbindelse med sagsøgtes indgivelse af processkrift A blevet oplyst, at det reelt er umuligt at fremskaffe oplysningerne i statusrapporterne.” [fremhævet her].
Lars Japp Haslund, advokat og Head of Data Protection i Lundgrens bemærker:
Sagsforløbet og kendelsen viser, at en dataansvarlig skal være opmærksom på både kravene til at behandle indsigtsanmodningen korrekt og dokumentationen herfor. Indsigtsretten kan således gå videre end den blotte konstatering af, at personoplysningerne er slettet i de primære IT-systemer. Kan en dataansvarlig heller ikke dokumentere nogenlunde klar, hvordan sletning systematisk er sket, samt at indsigtsanmodningen er håndteret korrekt, så eksponerer dataansvarlig sig for ansvar. Og ikke mindst at stå tilbage med egne sagsomkostninger, selvom sagsøger hæver sagen.