Nya riktlinjer om ”rätten till tillgång” enligt GDPR

Europeiska datasskyddsstyrelsen (EDPB) förtydligar när enskilda har rätt att få reda på vilka uppgifter en organisation behandlar om dem – och vad som krävs för att en organisation ska kunna vägra tillmötesgå en begäran om tillgång.

I slutet av januari publicerade EDPB nya riktlinjer kring artikel 15 i GDPR, som innehåller detaljerade regler om enskildas rätt till tillgång (ibland benämnt rätten till registerutdrag).

Rätten till tillgång, enligt förordningen, omfattar enskildas rätt att dels få veta om deras personuppgifter behandlas av en viss organisation, dels att få en kopia av de uppgifter som behandlas, och dels att få närmare information om själva behandlingen.

Personuppgiftsansvariga har därmed en långtgående skyldighet att underlätta för enskilda att komma åt deras egna personuppgifter. Uppgifterna ska kommuniceras till den enskilde på ett strukturerat, öppet och lättillgängligt sätt genom ett klart och tydligt språk. Den enskildes möjligheter att förstå och uppfatta innebörden av personuppgifterna ska beaktas, vilket betyder att mer tekniska uppgifter kan behöva förklaras för den enskilde. Det ska också framgå tydligt vart den enskilde kan vända sig för att komma åt sina uppgifter.

I EDPB:s nya riktlinjer klargörs nu att organisationer inte har rätt att vägra enskilda tillgång till deras personuppgifter, enbart av det skälet att organisationen behandlar stora mängder personuppgifter. Organisationen måste i stället inrätta effektiva rutiner som möjliggör att personuppgifterna kan tas fram inom rätt tid – det vill säga så snart som möjligt, och senast en månad från det att en begäran om tillgång kommit in. Tidsfristen kan i vissa fall förlängas till två månader, om det är nödvändigt med hänsyn till begärans komplexitet och storlek. I ett sådant fall ska den registrerade bli informerad om orsakerna till förseningen.

Riktlinjerna konstaterar dessutom att möjligheten att göra undantag från rätten till tillgång är mycket begränsad och endast kan aktualiseras ifall en tillgångsbegäran skulle innebära men för andras fri-och rättigheter, är uppenbart ogrundad eller orimlig, eller om det finns begränsningar i nationell lag som har antagits för att skydda de intressen som anges i artikel 23 GDPR.

EDPB:s riktlinjer är inte rättsligt bindande för enskilda organisationer, men beaktas ofta av tillsynsmyndigheterna när de gör bedömningar i enskilda fall.

EDPB:s riktlinjer finns att ta del av här.

Om du vill veta mer om personuppgiftsbehandling eller dataskyddförordningen är du välkommen att kontakta Esa Kymäläinen, advokat och partner, eller Caroline Lorentzen, biträdande jurist, på TIME DANOWSKY Advokatbyrå.