Hoppa till innehåll på sidan
IMY-bloggen
Blå EU-flagga med gula stjärnor mot en blå himmel.

Ny riktlinje förtydligar rätten till tillgång

Publicerad: 19 januari 2022
EDPB har publicerat en ny riktlinje som förtydligar rätten till tillgång, alltså rätten för enskilda att vända sig till en organisation för att få reda på om, och i så fall vilka, uppgifter som behandlas om dem.

Europeiska dataskyddstyrelsen, EDPB, har nu tagit fram en ny riktlinje om rätten till tillgång. Riktlinjen handlar om alla personers rätt att vända sig till en organisation och få reda på om, och i så fall vilka, uppgifter som behandlas om dem. Rätten att få sådan insyn finns uttryckligen angiven i EU-stadgan om grundläggande rättigheter och har central betydelse för registrerade och deras möjligheter att ta tillvara andra rättigheter såsom rätten till radering och att få felaktiga uppgifter rättade.

Artikel 15 i dataskyddsförordningen innehåller mer detaljerade regler om vad denna rättighet innebär, som att man har rätt att få en kopia på uppgifter som behandlas och rätt att få dem i elektronisk form men också att uppgifter inte får lämnas ut om det kan påverka andras fri- och rättigheter negativt. Enligt artikel 12, som gäller generellt för registrerades rättigheter och därmed även rätten till tillgång, ska den som behandlar personuppgifter svara på en begäran så fort som möjligt och senast inom en månad från att begäran togs emot. 

Med hänsyn till den centrala betydelse som rätten till tillgång har och till de nya mer detaljerade reglerna i dataskyddsförordningen, har EDPB ansett det viktigt att ta fram en vägledning som beskriver hur dessa regler ska tolkas och tillämpas.

Vem riktar sig riktlinjen till?

Riktlinjen riktar sig framför allt till de som behandlar personuppgifter för att förklara och göra tydligt vad det är de måste kunna uppfylla i fråga om rätten till tillgång. Men den har också ett stort värde för alla oss som är registrerade genom att den förklarar vilka rättigheter vi har och vad vi ska kunna förvänta oss när vi vill ha insyn i vilka personuppgifter som behandlas om oss. 

Riktlinjen benar ut de olika delarna i rätten till tillgång och vad de innebär, nämligen

  • rätten att få veta om personuppgifter behandlas eller inte
  • rätten att få en kopia av de uppgifter som behandlas
  • rätten att, om uppgifter behandlas, också få närmare information om behandlingen.

Den som behandlar personuppgifter har en långtgående skyldighet att underlätta för personer att göra en sådan begäran samt att ta reda på om, och vilka, uppgifter som behandlas så att man kan svara på begäran. Det faktum att man behandlar en stor mängd uppgifter gör det inte motiverat att vägra tillgång eller att ta längre tid på sig att svara. Istället är det desto viktigare att man i sådana fall har effektiva och goda rutiner för att kunna ta fram informationen i rätt tid. 

Som ett led i att underlätta för registrerade att begära tillgång kan den personuppgiftsansvarige inrätta särskilda kontaktpunkter för en sådan begäran och tydligt kommunicera dessa utåt. Det innebär dock inte att man kan bortse från en begäran som kommer in till en annan kontaktpunkt än den angivna, såsom en officiell adress till företaget eller till någon som den registrerade tidigare haft kontakt med.

Möjligheterna att göra undantag från rätten till tillgång är mycket begränsade. Undantag kan bara göras i den mån det skulle innebära men för andras fri- och rättigheter att lämna ut uppgifterna, om begäran är uppenbart ogrundad eller orimlig eller om det finns begränsningar i nationell lag som har antagits för att skydda de intressen som dataskyddsförordningen räknar upp i artikel 23.

I riktlinjen finns också ett flödesschema som beskriver de olika steg som en personuppgiftsansvarig måste gå igenom för att kunna svara på en begäran om rätt till tillgång.

Vilka uppgifter omfattas?

En fråga som kan vara svår att bedöma är vilka uppgifter som kan anses höra till den person som begär tillgång och därför omfattas av rättigheten. Här förtydligar riktlinjen att det inte bara handlar om direkta personuppgifter såsom namn och adress utan även uppgifter om medicinska diagnoser, köphistorik, surfhistorik, kreditupplysningar och annat som avser den registrerade personen. 

Dataskyddsförordningen anger uttryckligen att informationen ska ges i en koncis, klar och tydlig, begriplig och lätt tillgänglig form med användning av klart och tydligt språk. Det innebär enligt riktlinjen att uppgifter som inte kan förväntas vara tydliga för den registrerade ska förklaras, till exempel kan olika koder eller tekniska data som hänför sig till den registrerade behöva förklaras. Om det finns en stor mängd uppgifter om den som begär tillgång kan det vara lämpligt för den personuppgiftsansvarige att dela upp informationen i olika delar som det blir lättare för den registrerade att gå igenom.

Är EDPB:s riktlinjer bindande?

En av EDPB:s uppgifter enligt dataskyddsförordningen är att ta fram riktlinjer, rekommendationer och god sed i olika frågor som rör dataskydd. Det är ett viktigt led i att få till stånd en enhetlig, harmoniserad tolkning och tillämpning av förordningens regler inom EU. En riktlinje antas av medlemmarna i EDPB (det vill säga företrädare för de olika nationella tillsynsmyndigheterna) efter att en särskild rapportörsgrupp har tagit fram ett utkast som också diskuterats i någon av EDPB:s större arbetsgrupper. När en riktlinje antas har den alltså föregåtts av grundliga diskussioner och genomgång av representanter för de olika tillsynsmyndigheterna och dess innehåll är därmed väl förankrat myndigheterna emellan. Innehållet i riktlinjen kan vara något som nationella tillsynsmyndigheter beaktar när de fattar beslut i enskilda ärenden men riktlinjen är inte i sig något beslut som riktar sig till enskilda organisationer.

Riktlinjen är antagen av EDPB men finns i skrivande stund inte tillgänglig på EDPB:s webbplats. Det brukar ta åtminstone ett par dagar. När riktlinjen är publicerad flaggar vi för det i våra sociala medier och på vår egen sida för riktlinjer.

Liksom för andra riktlinjer som EDPB beslutar om, ska också denna läggas ut för publik konsultation. Det innebär att vem som helst kan lämna synpunkter på riktlinjen inom en viss tid.

 

Elisabeth Jilderyd
Internationell samordnare på IMY

Senast uppdaterad: 19 januari 2022
Sidans etiketter Dataskydd, Dina rättigheter
Senast uppdaterad: 19 januari 2022
Sidans etiketter Dataskydd , Dina rättigheter