Den nya dataskyddsförordningen, GDPR, innehåller bland annat det som kallas rätten till tillgång. Det finns en rätt för den vars personuppgifter behandlas i ett företag att få ut dessa. Rätten till tillgång ger dock upphov till en del frågetecken och förvirringar – hur ska förfarandet egentligen gå till för att uppfylla kraven i GDPR? Krävs det verkligen att den enskilde ger er en kopia på sin ID-handling och ska utdraget alltid skickas till dennes folkbokföringsadress? Vi på GDPR Hero reder nu ut vad som faktiskt gäller!
Scenario: En kund skickar ett mail till er och ber om att få ett registerutdrag med samtliga personuppgifter ni har om denne. Hur agerar ni så att allt går rätt till?
1. Agera i tid – inom en månad
Förordningen uppställer en tidsram för när den registrerades (den vars personuppgifter ni behandlar) förfrågan ska ha behandlats. Huvudregeln är att ni ska hantera förfrågan skyndsamt och absolut senast inom en månad ska ni ha informerat den registrerade om vilka åtgärder ni vidtagit i ärendet. Anser ni att den registrerades önskemål inte går att tillmötesgå måste ni avge en motivering till detta.
Om begäran skulle vara komplicerad, eller om ni har många förfrågningar just då, kan tiden förlängas med två månader. Ni måste alltid underrätta den registrerade om förseningen.
2. Vad ska ni kräva av den enskilde för att identifiera denne?
Det finns inga formkrav, det vill säga obligatoriska moment, för hur den registrerade ska begära ut sina personuppgifter. Förordningen uppställer därmed inga som helst krav på exempelvis en ID-handling och en underskrift. Däremot är det ni som organisation som måste kunna säkerställa att registerutdraget hamnar hos rätt person.
Om personuppgifterna hamnar i orätta händer utgör detta en personuppgiftsincident, som i vissa fall måste anmälas till tillsynsmyndigheten. Vid vissa registerutdrag kan det därmed vara nödvändigt att den registrerade på något sätt uppvisar ID-handling och underskrift. I andra fall kan det räcka med ett telefonsamtal från den registrerade för att ni ska känna er säkra på att det är rätt person som begär ut uppgifterna. Samtidigt ska ni inte begära mer information om den enskildes identitet än vad ni behöver. Endast i de fall ni har rimliga skäl att betvivla identiteten får ni begära in mer information, som är nödvändig, för att bekräfta identiteten. Ni måste således säkerställa identiteten genom en lämplighetsbedömning.
För att göra det lättare att förstå hur en lämplighetsbedömning kan fungera så illustrerar vi rättsläget med två olika scenarion nedan!
Exempel 1: Ni har ett par nära kundförhållanden och nu vill en kund ha ett registerutdrag om vilka personuppgifter ni innehar om denne. Kunden ringer och gör sin begäran per telefon. Ansvarige på arbetsplatsen känner igen kundens röst på grund av tidigare samtal och är därmed säker på att uppgifterna begärs ut av rätt person. Inga andra åtgärder behövs således vidtas för att säkerställa identiteten.
Exempel 2: En kund mailar er från sin mailadress och vill ha ett registerutdrag. Eftersom ni inte haft kontakt med kunden sedan tidigare vill ni försäkra er om att personen som mailar verkligen är ägaren till personuppgifterna som begärs ut. Ni ber därför personen att skicka en kopia på sin ID-handling.
3. Vad ska registerutdraget ni skickar till den registrerade innehålla?
Den registrerade ska få tillgång till bland annat följande information:
- För vilka ändamål ni behandlar uppgifterna.
- Vilka kategorier av uppgifter ni behandlar. Exempelvis namn, adress och telefonnummer. Ni ska då även förse den enskilde med en kopia över personuppgifterna, dvs. i detta fall vilka namnuppgifter, vilken adress och vilket telefonnummer ni besitter för personen.
- Om ni lämnar ut uppgifter till annan part inom EU eller tredje land. Exempelvis om ni använder er av underleverantörer.
- Den förutsedda period under vilken personuppgifterna kommer lagras.
- Om rätten att inge klagomål till tillsynsmyndigheten.
4. Ska registerutdraget tillhandahållas i skriftlig eller elektronisk form?
Registerutdraget får tillhandahållas både i skriftlig och elektronisk form. Om den registrerade lämnar begäran i elektronisk form, ska även registerutdraget som huvudregel tillhandahållas i elektronisk form, om inte den registrerade begär något annat.
Informationen får även tillhandahållas muntligt, om den registrerade begär detta. Även här krävs dock att ni måste kunna identifiera den enskilde.
5. Var ska registerutdraget skickas?
Det finns, som nämnts tidigare, inga formkrav för hur en begäran om registerutdrag ska se ut. Detsamma gäller för er som personuppgiftsansvariga – inga regler uppställs, men för att undvika att en personuppgiftsincident sker så är det viktigt att ha vissa säkerhetsriktlinjer att följa. För att säkerställa att registerutdraget skickas till behörig person så är det alltid säkrast, men inte alltid ett måste, att skicka utdraget till dennes folkbokföringsadress.
Exempel: En kund har begärt ut ett registerutdrag från er. Kunden är identifierad och ni har nu sammanställt informationen i en rapport. Kunden ber er skicka utdraget till hennes jobbadress eftersom hon arbetar mycket. På hennes företag finns fler medarbetare. Eftersom ni är medvetna om risken med att någon annan än kunden kan få tillgång till personuppgifterna så meddelar ni kunden om att utdraget kommer att skickas till dennes folkbokföringsadress istället.
6. Vad kostar ett registerutdrag?
Förfarandet ska vara kostnadsfritt för den som begär ut ett registerutdrag. Ni får ta ut en avgift om begäran är uppenbart ogrundad eller orimlig, exempelvis om begäran är återkommande. Om den enskilde vill ha ytterligare exemplar av kopian över exakt vilka personuppgifter ni behandlar får ni ta ut en avgift för de administrativa kostnaderna.
7. I vilka fall behöver ni inte lämna ut ett registerutdrag?
Ni måste tillmötesgå den registrerades förfrågan om registerutdrag. Undantag från detta får endast göras om ni inte är i stånd att identifiera den registrerade. Den registrerade får då, om denne vill, inkomma med ytterligare information som eventuellt kan möjliggöra identifiering.
I Svensk lagstiftning stadgas även att personuppgifter som finns i löpande text som inte fått sin slutliga utformning inte behöver lämnas ut (dock under högst ett år). Även personuppgifter som finns i minnesanteckningar och liknande undantas. Om personuppgifterna är skyddade enligt lag, exempelvis sekretesslagen, behöver ni inte lämna ut personuppgifterna.
8. Sammanfattning
Kom ihåg tidsfristen, ni har en månad på er. Att organisera och upprätta en handlingsplan för hur registerutdragen ska utformas hjälper er att spara tid. Gör alltid en lämplighetsbedömning för vad som ska krävas av den registrerade för att ni ska kunna säkerställa identiteten – informationen får inte komma i orätta händer!
GDPR Hero hjälper er
GDPR Hero har som en del av verktyget utformat en smidig rapportfunktion. Denna uppfyller samtliga krav enligt förordningen på hur registerutdraget ska vara utformat. Funktionen hjälper er att snabbt och enkelt identifiera och sammanställa den information som samtliga era olika kategorier av registrerade har rätt att få ut. Informationen administreras sedan i en färdig rapport redo att skrivas ut eller mailas som PDF-fil. Detta är bara en av många anledningar att ha ett register över personuppgiftsbehandlingar, för många organisationer är det ett lagkrav, läs mer här.
Vill ni veta mer är ni varmt välkomna att höra av er till vårt supportteam eller boka en gratis demonstration av GDPR Hero!
