For lidt mere end et år siden - 22. juni 2023 - tog EU-Domstolen stilling i en sag vedrørende retten til indsigt i logfiler, der markerer en væsentlig ændring i, hvordan personoplysninger i logs skal behandles fremover.
En logfil indeholder oplysninger om et it-systems drift og brug, og kan ofte inkludere personoplysninger såsom tidspunkter og aktører bag opslag af en persons data.
Og det får nu Datatilsynet til at ændre praksis.
Det skriver tilsynet på sin hjemmeside.
EU-Domstolens afgørelse
Tidligere har Datatilsynet betragtet disse oplysninger som undtaget fra retten til indsigt ifølge databeskyttelsesforordningens artikel 15.
Denne praksis baserede sig på opfattelsen, at logfiler primært fungerer som sikkerhedsfaciliteter og ikke udgør en selvstændig behandling af data.
Men i sagen fra juni sidste år har EU-Domstolen nu afgjort, at artikel 15, stk. 1 i databeskyttelsesforordningen, skal fortolkes således, at personer har ret til indsigt i oplysninger om søgninger i deres personoplysninger, herunder datoer og formål med søgningerne.
Derimod har personer ikke automatisk ret til at få oplyst identiteten på de ansatte, der har foretaget søgningerne, medmindre denne information er nødvendig for at udøve deres rettigheder, og under forudsætning af, at de ansattes rettigheder og friheder respekteres, lyder det.
Og det er altså derfor, at Datatilsynet fremover skal ændre deres praksis og give indsigt i de relevante oplysninger, som dommen foreskriver.
Konsekvenser af den nye praksis
For dataansvarlige betyder den nye praksis, at de skal udlevere en kopi af de personoplysninger, der er registreret i logs om en registreret. Det omfatter detaljer om søgninger og formålet med disse.
Hvis oplysningerne er nødvendige for at en registreret kan udøve sine rettigheder, skal identiteten på de ansatte, der har foretaget søgningerne, også udleveres – dog kun hvis dette ikke krænker de ansattes rettigheder.
Som tommelfingerregel gælder, at hvis en registreret ikke angiver et specifikt formål med anmodningen om indsigt, vil hensynet til den ansattes ret til privatliv typisk veje tungere.
Men hvis der er mistanke om uberettigede søgninger, vil balancen ofte tippe til fordel for den registrerede, som så kan få oplyst, hvem der har foretaget søgningen, lyder det fra Datatilsynet.