Ny vägledning hjälper företag förstå hur de ska hantera enskildas rätt till tillgång

Bakgrund

Europeiska dataskyddsstyrelsen (EDPB) antog nyligen ett förslag till vägledning avseende rätten till tillgång enligt artikel 15 i GDPR. Bestämmelsen ger enskilda en rätt att få veta om deras personuppgifter behandlas och i så fall vilka uppgifter som behandlas och hur de behandlas, samt en kopia av uppgifterna (registerutdrag). Detta är enskildas främsta kontrollverktyg eftersom det möjliggör för enskilda att hålla sig informerade om vilka personuppgifter som behandlas, behandlingens laglighet och huruvida de uppgifter som behandlas stämmer. Rätten är på så vis även en förutsättning för att enskilda ska kunna utöva sina ytterligare rättigheter under GDPR.

Alla som behandlar personuppgifter har en långtgående skyldighet att tillgodose att den enskilde kan använda sig av rätten till tillgång på ett ändamålsenligt sätt. EDPB:s vägledning riktar sig främst till personuppgiftsansvariga och ger vägledning om hur de ska hantera en begäran om rätt till tillgång i olika situationer. EDPB förtydligar även rättighetens omfattning, villkoren för tillgång, vilken information som måste tillhandahållas och möjligheterna att motsätta sig en begäran.

Frågor som den som hanterar en begäran om tillgång bör ställa sig och som behandlas närmare i riktlinjerna är:

• Vem har rätt till tillgång?
• Avser begäran den enskildes personuppgifter och vad ska ingå i registerutdraget?
• Hur ska informationen förmedlas?
• Föreligger några undantag från skyldigheten att lämna ut personuppgifter?

Vem har rätt till tillgång?

Innan några uppgifter lämnas ut behöver den enskilde identifieras. Det finns inte några formella krav på hur identifikation ska ske. Vilken information som ska efterfrågas måste ställas i proportion till vilka slags uppgifter registerutdraget avser och risken med utlämnandet.

Som utgångspunkt ska identifiering inte leda till att mer information samlas in än vad den personuppgiftsansvarige redan har tillgång till. Har den personuppgiftsansvarige redan förutsättningar för att själv identifiera den enskilde ska ytterligare information inte efterfrågas, men om det finns skäl att betvivla identiteten kan det vara nödvändigt med ytterligare information. Ofta kan det vara tillräckligt att frågan kommer från en registrerad e-postadress och identifiering bör sällan kräva uppvisande av ID-dokumentation.

Avser begäran den enskildes personuppgifter och vad ska ingå i registerutdraget?

Den enskildes begäran får endast avse personuppgifter om den enskilde själv. En begäran om en kopia av personuppgifter ska anses omfatta alla personuppgifter som behandlas om den enskilde, om den enskilde inte själv har begränsat sin begäran. Behandlas en stor mängd uppgifter och det finns skäl att ifrågasätta om den enskilde önskar en kopia av alla uppgifter, är det möjligt att fråga vilka uppgifter begäran avser. Om den enskilde står fast vid att begäran avser alla uppgifter ska registerutdraget också avse alla uppgifter. Den enskilde har samtidigt ingen rätt att ta del av handlingar i sin helhet, utan rätten gäller enbart de personuppgifter som ingår i själva handlingen. Syftet bakom rätten till tillgång och rätten till privatliv är på så vis tydligt åtskild från t.ex. offentlighetsprincipen

Hur ska informationen förmedlas?

Informationen som lämnas ska vara tydlig, begriplig och i ett format som gör att informationen är lätt att ta till sig. Är uppgifterna omfattande kan de därför behöva delas upp i olika delar som gör det lättare för den enskilde att ta till sig informationen. Om uppgifterna förekommer i en form som gör att de inte kan förväntas vara tydliga för den enskilde måste de förklaras. Detta gäller exempelvis kodord, förkortningar, etc.

Informationen ska tillhandahållas utan onödigt dröjsmål och senast inom en månad från begäran. Denna tid får förlängas med ytterligare två månader under vissa omständigheter – exempelvis om många förfrågningar inkommer samtidigt eller om det rör sig om en väsentlig mängd uppgifter. Den enskilde måste samtidigt alltid få bekräftat om personuppgifter behandlas eller inte inom den första månaden. Sådana uppgifter som behandlas under kortare tid än en månad ska också omfattas av begäran (om de behandlades vid tidpunkten för begäran) vilket betyder att den måste hanteras tillräckligt skyndsamt för att uppgifterna inte ska hinna raderas.

Om en personuppgiftsansvarig har behandlat personuppgifter på ett olagligt sätt, och upptäcker det i samband med en begäran om tillgång får radering eller rättelse inte ske före det att den enskilde tagit del av uppgifterna i den form som uppgifterna befann sig vid tiden för begäran.

Eftersom skyldigheterna kring rätten till tillgång gäller oavsett organisation och behandlingsmängd, behöver de organisationer som behandlar mycket stora mängder personuppgifter verkligen tänka till och säkerställa att tillräckliga förutsättningar finns för att rätt information kan tas fram och tillhandahållas på rätt sätt och i rätt tid. Därför uppmuntras personuppgiftsansvariga att inrätta särskilda kanaler för enskildes begäran – samtidigt ska den enskilde inte vara skyldig att använda kanalen för att få sin begäran hanterad.

Föreligger några undantag från skyldigheten att lämna ut personuppgifterna?

Möjligheterna för personuppgiftsansvariga att kunna motsätta sig en begäran om tillgång är ytterst begränsade. En begäran kan endast avvisas om den skulle inverka menligt på andras fri- och rättigheter, om begäran är uppenbart ogrundad eller orimlig, eller om det finns stöd i nationell lag för detta som är avsedd att skydda ett intresse listat i artikel 23 GDPR. En begäran kan samtidigt aldrig anses ogrundad eller orimlig baserat på den tid eller de resurser som krävs för att behandla en begäran. Vägledningen utesluter dessutom möjligheten till en proportionalitetsbedömning eller att i övrigt kunna ta hänsyn till svårigheter eller arbetsbördan det innebär att lämna ett registerutdrag.

Ett annat exempel i sammanhanget är att en före detta anställd som avskedats inte kan nekas ett registerutdrag från sin tidigare arbetsgivare, även om arbetsgivaren skulle upptäcka att begäran uteslutande sker i syfte att samla in bevisning mot arbetsgivaren. Arbetsgivaren har inte möjlighet att ifrågasätta den enskildes begäran utifrån dess syfte. Detta kan ställas i relation till ett annat exempel från vägledningen, där en anställd begär ut personuppgifter som sammanställts för en bedömning om den anställde t.ex. ska tilldelas högre lön eller befordras. Även om sådana uppgifter – som utgångspunkt – måste lämnas ut kan uppgiftens natur, och den omständighet att uppgiften kan härledas till en viss annan anställds uttalanden eller bedömning, komma att innebära att utlämnandet kan bedömas inverka menligt på sistnämndes fri- och rättigheter. Registerutdraget kan då behöva begränsas.

För svensk del finns vissa ytterligare undantag, t.ex. uppgifter i minnesanteckningar och uppgifter som enligt lag eller beslut enligt lag är sekretessbelagda i förhållande till den enskilde, se 5.1 och 52 i dataskyddslagen.

Sammanfattningsvis innehåller vägledningen ett flertal förtydliganden som troligen innebär att många verksamheter behöver se över vilka personuppgifter som behandlas och som kan behöva lämnas ut samt de rutiner som finns på plats för att hantera begäran om registerutdrag.

Riktlinjerna är ute på publik konsultation till och med 11 mars 2022.