Artikel 15 i GDPR
Rätt till tillgång
Rätten till tillgång innebär att registrerade har rätt att få tillgång sina personuppgifter som ett företag behandlar. Artikel 15 i GDPR reglerar denna rättighet. Rätten till tillgång utgör en av de åtta (8) grundläggande rättigheter som registrerade har enligt GDPR.
Kopia av den registrerades personuppgifter som företaget behandlar
Om en registrerad kontaktar ett företag för att få veta vilka personuppgifter om denne som företaget behandlar, ska företaget ge den registrerade tillgång till informationen. Bland annat genom att ge en kopia på personuppgifterna i fråga.
Företaget behöver dock inte lämna ut de handlingar som innehåller personuppgifterna i fråga. Ofta räcker det att överlämna en sammanställning av alla personuppgifter som förekommer i handlingen. Det är viktigt att företaget skapar en sammanställning som är begriplig för den registrerade. Den ska vara utformat på ett sätt som gör det möjligt för den registrerade att kunna kontrollera personuppgifternas laglighet och riktighet.
2 olika roller i GDRP
- Personuppgiftsbiträdesavtal
- Personuppgiftsansvarig
Lämna ut kopia med personuppgifterna elektroniskt
Observera att företaget ska lämna ut sammanställningen eller kopian med personuppgifterna elektroniskt, om begäran inkommit elektroniskt. Detta gäller under förutsättning att den registrerade inte begär att få tillgången i annat format. Om det överlämnas elektroniskt, ska det ske i ett allmänt maskinläsbart format.
Utöver en kopia på de behandlade personuppgifterna, måste företaget även ge viss information om behandlingen.
Information som registrerade har rätt att få åtkomst till enligt rätten till tillgång:
- Syftet med behandlingen.
- Vilka kategorier av personuppgifter som företaget behandlar.
- Om företaget överför personuppgifterna till en annan part eller ett tredjeland (land utanför EU/EES-området). Inklusive information om vilka mottagarna är.
- Vilka organisatoriska och tekniska säkerhetsåtgärder som företaget vidtagit om de överför personuppgifter till ett tredjeland.
- Tidsramen för behandlingen.
- Att den registrerade har rätt att få personuppgifter rättade eller raderade.
- Att den registrerade har rätt att lämna in klagomål till den nationella tillsynsmyndigheten om de anser att företaget bryter mot GDPR.
- Hur företaget samlat in personuppgifterna om det inte skett genom den registrerade.
- Om företaget använder ett automatiskt beslutsfattande.
- De konsekvenser som behandlingen kan innebära för de registrerade.
Företag som behandlar personuppgifter och får en begäran om tillgång från en registrerad, ska hantera ärendet utan onödigt dröjsmål. Enligt huvudregeln ska företaget hantera ärendet senast inom en månad. Däremot är det möjligt att i vissa fall förlänga tidsfristen. Då kan tidsfristen förlängas med högst ytterligare två månader. Men företaget måste kunna motivera förlängningen och informera den registrerade om detta inom den första månaden.
Det är dock ytterst få situationer som kan motivera en förlängning. Rekommendationen är därmed alltid att försöka förhålla sig till huvudregeln. Det vill säga, att hantera ärendet inom en månad från att begäran inkom.
Vägra begäran från registrerad
Ett företag kan i vissa undantagsfall vägra en begäran om tillgång till personuppgifter från registrerade. Artikel 12.5 och artikel 15.4 i GDPR reglerar detta. Om företaget beslutar att vägra begäran från den registrerade, måste företaget motivera beslutet samt informera den registrerade. Detta ska ske inom en månad från att företaget tagit emot begäran.
Exempel på när ett företag kan vägra att tillgodose den registrerade denna rättighet
Innebär risk
Om utlämnandet av personuppgifterna kan innebära en risk för övriga rättigheter och friheter som den registrerade har. Eller om det kan innebära en risk eller nackdelar för andra registrerade.
Återkommande
När en registrerad begär att få tillgång till samma uppgifter regelbundet under en kort period. Detsamma gäller om det är omotiverat på ett uppenbart sätt. Eller om begäran är orimlig och ogrundad. Observera att företaget måste kunna styrka detta.
Skydda nationella intressen
Om personuppgifterna som företaget behandlar kan innebära en risk för det nationella intresset ifall en registrerad får tillgång till dem.
Kostnad för registrerade att nyttja sin rättighet enligt GDPR
Huvudregeln är att det ska vara gratis för registrerade att få sin rätt till tillgång tillgodosedd. Däremot finns det undantag. Till exempel kan det vara tillåtet för företag att debitera en avgift om den registrerade begär flera kopior på samma uppgifter. Observera att avgiften måste vara rimlig för att täcka de administrativa kostnaderna. Med andra ord kan det inte vara en för hög avgift.
Styrka identitet
Det kan vara nödvändigt för företaget att först styrka identiteten hos den registrerade som begär att få tillgång till personuppgifter. Om företaget utlämnar personuppgifterna till fel person, är det en personuppgiftsincident. Detta är något företag ska försöka förhindra. Att styrka identiteten av en registrerad behöver inte innebära att företaget alltid har rätt att begära en kopia på en ID-handling. Det kan till och med vara förbjudet. Istället bör företaget överväga att ställa andra typer av kontrollfrågor.
Fler rättigheter i GDPR
Rätt till rättelse
Företag ska se till att personuppgifterna de behandlar är korrekta och kompletta. Däremot kan det förekomma felaktiga eller ofullständiga personuppgifter. Om företaget märker att personuppgifterna är fel, ska de rätta dem. Dessutom har registrerade rätt att kontakta företaget om de anser att personuppgifterna inte stämmer eller är inkompletta. Enligt rätten till rättelse i GDPR har en registrerad rätt att begära rättelse eller komplettering av sina personuppgifter. Observera att företaget ska informera den registrerade efter att de har rättat personuppgifterna.