Choose language

Rätten till tillgång enligt GDPR

Enligt GDPR kan en registrerad individ be om att få ut ett registerutdrag - en kopia på alla uppgifter som är under behandling. En sådan förfrågan kan komma in när som helst och är giltig oaktat hur den inkom, både muntligt och skriftligt. Som personuppgiftsansvarig är man skyldig att kunna tillhandahålla den informationen. 

Vad undrar våra användare om registerutdrag enligt GDPR? 

I vår juridiska handbok Privacy Expert kan våra användare ställa frågor till våra experter inom GDPR och dataskydd. Vi har samlat ett antal vanliga frågor som kommer att ge dig djupare kunskap om vad som gäller vid en begäran av utdrag av personuppgifter enligt GDPR.

Måste registerutdraget lämnas digitalt?

Experten svarar: Ja, man har rätt att få sitt registerutdrag i elektronisk form om begäran inkom elektroniskt, såvida den registrerade inte begär något annat. Detta följer av artikel 15.3 i GDPR (sista meningen).

Det är dock viktigt att säkerställa att registerutdraget lämnas ut till rätt person. Därför krävs tillförlitlig identifiering, exempelvis genom Mina Sidor eller ett liknande system med flerfaktorsautentisering.

Behöver handlingen lämnas ut eller räcker det att lämna ut den information som registerutdraget omfattar?

Experten svarar: I ett registerutdrag ska alla personuppgifter som rör den registrerade och som är under behandling lämnas ut. Uppgifterna ska vara fullständiga och presenteras på ett sätt som gör det möjligt att förstå i vilket sammanhang de behandlas. Vid prövningar av såväl EU-domstolen som tillsynsmyndigheter, visar sig rätten till tillgång vara mer omfattande och långtgående än vad många personuppgiftsansvariga förefaller bedöma initialt.

Hela handlingar behöver dock inte lämnas ut, så länge den registrerade får en kopia av sina personuppgifter på ett begripligt sätt. Uppgifterna kan sammanställas separat i stället för att tillhandahålla originalhandlingar.

 

Behöver personen identifiera sig via BankID eller legitimation för att begära ut personuppgifter, och kan vi kräva en identifiering? 

Experten svarar: Kravet på identifiering syftar till att säkerställa att det är rätt person som begär ut registerutdraget. E-legitimation, som till exempel BankID, är ett bra sätt att säkerställa detta, men ni får inte ställa orimligt höga krav på identifiering, särskilt för de som inte har tillgång till e-legitimation. Ett alternativ kan vara att skicka registerutdraget till folkbokföringsadressen, gärna med rekommenderat brev (REK) för att säkerställa att det når rätt person.

Om någon begär ut personuppgifter med stöd av offentlighetsprincipen (t.ex. från en myndighet), behöver de normalt inte identifiera sig, eftersom begäran kan göras utan att personen specificerar sin identitet.

Om andra personer förekommer bland personuppgifterna, ska de rensas bort innan utdraget? 

Experten svarar: Ja, om andra personer förekommer i personuppgifterna, ska dessa rensas bort eller maskeras innan utdraget lämnas ut. Det innebär att personuppgifter som rör andra identifierbara personer, till exempel kollegor, elever eller patienter, inte får avslöjas i registerutdraget.

En person har rätt att få ut sina egna personuppgifter, men detta ska ske utan att några uppgifter om andra identifierbara personer framkommer. Det betyder att om det finns information som kan identifiera en tredje part, ska sådana uppgifter tas bort eller anonymiseras innan utdraget ges till den registrerade.

Detta gäller särskilt om den registrerade är involverad i ärenden där personuppgifter om andra personer behandlas, exempelvis personalregister, patientjournaler, eller elevdokument, och där det finns risk för att dessa tredje parters personuppgifter avslöjas.

Vill du också ställa din fråga till våra dataskyddsexperter?

Då borde du testa Privacy Expert! Förutom tillgång till vår frågeservice, med svar inom 2 arbetsdagar, får du följande: 

  • Sökbar digital handbok - Sök efter det område du behöver hjälp med. 
  • Frågebank - Sök bland en stor mängd frågor som ställts av andra användare
  • Rätt mall och blankett - Använd alltid rätt version av mallar och blanketter. 
  • En produkt som är certifierad enligt ISO 27001 och ISAE 3402 Type 2.

Categories

Related blog posts