EDPB GDPR Artikel 15

Skrivet av Henrik Ottosson

Europeiska Dataskyddsstyrelsen (EDPB), som består av representanter från samtliga nationella tillsynsmyndigheter inom EU, har publicerat sina förslag till riktlinjer avseende rätten till tillgång enligt artikel 15 i GDPR.

Rätten till tillgång är en rättighet för den registrerade (den person vars personuppgifter behandlas av någon) att få kännedom om vilka behandlingar som sker, för vilka ändamål, och även ges åtkomst till personuppgifterna. När personuppgiftslagen gällde, dvs. innan GDPR kommit, så kallades denna rätt för ”registerutdrag”, vilket fortfarande är ett beskrivande namn. Men det kan vara på sin plats att påpeka att begreppet registerutdrag inte förekommer i GDPR.

I huvudsak omfattar registerutdrag (rätten till tillgång) följande: 

  • Bekräftelse huruvida personuppgifter om den registrerade behandlas eller inte

  • Tillgång till dessa personuppgifter

  • Tillgång till information kring behandlingen såsom ändamålet med behandlingen, vilka kategorier av personuppgifter som behandlas, hur länge uppgifterna planeras behandlas samt m.m.

Om någon hoppats på att EDPB:s riktlinjer på något sätt skulle begränsa åtkomstmöjligheterna så har de hoppats fel, riktlinjerna tydliggör att rätten till åtkomst är otroligt långtgående.

Några särskilt intressanta aspekter som tydliggörs i riktlinjen är följande: 

  • Det finns ingen begränsning av åtkomst baserat på den börda det innebär för den ansvarige att få fram informationen. En personuppgiftsansvarig kan alltså aldrig skylla på att det skulle dra för mycket resurser eller på annat sätt innebära en för hög kostnad för denne att handlägga en begäran om registerutdrag.

  • Det finns ingen begränsning till hur mycket information som ska genomsökas. Det är den personuppgiftsansvarige som är ansvarig för de behandlade personuppgifterna och över att ha kontroll över deras hantering. Vid begäran om registerutdrag måste därför också den ansvarige gå igenom alla de informationsresurser som finns tillgängliga för att hitta eventuella personuppgifter. Detta innefattar såväl digital som analog information, såväl information som förs i aktiva IT-stöd, nedlagda IT-stöd, samt säkerhetskopior. Det gäller vidare både strukturerad information anpassad för sökning likaväl information som endast förs i ostrukturerad löptext. Vad avser just löptext kan det vara av intresse att påpeka att det svenska tillägget till GDPR, Dataskyddslagen, faktiskt innehåller en begränsning vad gäller just ostrukturerad löptext hos myndigheter. Där anges i 5 kap 2 § att personuppgifter som återfinns i ”löpande text som inte har fått sin slutliga utformning” inte omfattas av registerutdraget. Undantaget är dock begränsat till att bara gälla högst ett år gammal löptext. När väl ett år passerat anses alltså löptexten per automatik nått sin slutliga utformning. Något som kanske gör det extra intressant med årliga gallringsdagar!

  • Den personuppgiftsansvarige får inte göra det svårt för den registrerade att utöva sin rättighet. Det är därmed inte OK att t.ex. regelmässigt kräva att den registrerade skickar en kopia av legitimation via traditionell post eller liknande krav som gör det svårt för den registrerade att utöva sin rättighet (och dessutom i de flesta fall innebär att ännu fler personuppgifter än nödvändigt behandlas). I praktiken ska ansvariga överhuvudtaget vara försiktiga med att lägga på "krav" som i praktiken kan uppfattas (och kanske är) sätt att försvåra utnyttjandet av rättigheten snarare än något annat.
    Det ska dock tilläggas att det finns krav på den personuppgiftsansvarige att se till att personuppgifterna inte utlämnas till någon annan än den registrerade, hur detta ska uppnås måste dock bedömas från fall till fall och utifrån vilka personuppgifter det handlar om.

  • Den personuppgiftsansvarige behöver endast lämna ut sådana personuppgifter som de faktiskt själva kan härleda till en viss individ. Med det menas alltså att om den ansvarige inte själv förfogar över några identifierande uppgifter så behöver denne inte heller lämna ut några. Däremot slår riktlinjen fast att den ansvarige inte får vägra att ta emot sådan information som löser detta, t.ex. om den registrerade själv tillhandahåller denna information.

  • Det får inte kosta den registrerade någonting att ta del av informationen. Vad gäller offentliga aktörer får dessa alltså inte ta ut någon avgift för utlämnandet såsom är fallet vid t.ex. begäran att ta del av allmänna handlingar. Det finns däremot ett undantag enligt artikel 12.5 om repetitiva eller uppenbart ogrundade begäran av rättigheten.  EDPB understryker dock i riktlinjen att utrymmet för dessa undantag endast kan tillämpas i yttersta undantagsfall. Det ges egentligen inga praktiska exempel på vad som faktiskt avses med vad som är att betrakta som uppenbart ogrundad begäran. Avseende repetitiva begäran anges att det inte går att nämna ett konkret tidsspann för när en begäran alltid ska anses repetitiv eftersom det beror på den ansvariges verksamhet och hur stor förändring som sker inom personuppgiftsbehandlingen. Det anges dock att ett spann på ett år aldrig kan anses som en repetitiv begäran (vilket är intressant mot bakgrund att den enligt Personuppgiftslagen var en gång per år man som registrerad hade rätt att begära registerutdrag). 

Riktlinjerna är än så länge inte slutgiltiga utan utgivna av EDPB för kommentarer.

(LÄNK): https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf

Vill ni veta mer om registrerades rättigheter eller har några andra frågeställningar kring GDPR eller informationssäkerhet är ni välkomna att kontakta oss.

Henrik Ottosson
Föregående

Pressbriefing Cybersäkerhet

Nästa

Hur startar man ett cybersäkerhetsprogram?