Europeiska dataskyddsstyrelsens riktlinjer om tillgång till personuppgifter

Enligt EU-domstolen är det tillräckligt att sökanden får en fullständig sammanfattning av uppgifterna i en begriplig form.

Innehåll

Riktlinjerna

EDPB Riktlinjer 01 2022 om registrerades rättigheter – Rätt till tillgång

Läs även

Kammarrätten om registerutdrag enligt GDPR

Om Europeiska dataskyddsstyrelsen

Europeiska dataskyddsstyrelsen är ett oberoende europeiskt organ som bidrar till en enhetlig tillämpning av dataskyddsreglerna inom hela EU/ESS samt främjar samarbetet mellan dataskyddsmyndigheterna.[1]

Länk till EDPB

Riktlinjerna om val av format

Det är den personuppgiftsansvariges ansvar att besluta om i vilken form personuppgifterna ska tillhandahållas.[2] Den registeransvarige kan, även om den inte nödvändigtvis är skyldig att, tillhandahålla de handlingar som innehåller personuppgifter om de registrerade som gör begäran, som sådana och i sin ursprungliga form.

EU-domstolen angav emellertid i sin tolkning av rätten till tillgång enligt direktiv 95/46/EG att ”för att [rätten till tillgång] ska uppfyllas är det tillräckligt att sökanden får en fullständig sammanfattning av dessa uppgifter i en begriplig form, det vill säga en form som gör det möjligt för honom att få kännedom om dessa uppgifter och att kontrollera att de är korrekta och behandlade i enlighet med det direktivet, så att han, i förekommande fall, kan utöva de rättigheter.

Till skillnad från direktivet innehåller GDPR uttryckligen en skyldighet att förse den registrerade med en kopia av de personuppgifter som behandlas. Detta innebär dock inte att den registrerade alltid har rätt att få en kopia av de handlingar som innehåller personuppgifterna, utan en oförändrad kopia av de personuppgifter som behandlas i dessa handlingar. En sådan kopia av personuppgifterna skulle kunna tillhandahållas genom en sammanställning som innehåller alla personuppgifter som omfattas av rätten till tillgång så länge sammanställningen gör det möjligt för den registrerade att få kännedom om och verifiera lagenligheten av behandlingen.

Därför finns det ingen motsägelse mellan ordalydelsen i GDPR och domen från EU-domstolen i denna fråga. Ordet sammanfattning i domen ska inte misstolkas som att sammanställningen inte skulle omfatta alla uppgifter som omfattas av insynsrätten, utan endast är ett sätt att presentera alla dessa uppgifter utan att systematiskt ge tillgång till själva handlingarna. Eftersom sammanställningen behöver innehålla en kopia av personuppgifterna bör det betonas att den inte kan göras på ett sätt som på något sätt förändrar eller ändrar innehållet i informationen.

Exempel

En registrerad har varit försäkrad i ett försäkringsbolag i många år. Flera försäkrade incidenter har inträffat. I varje fall har det förekommit viss skriftlig korrespondens via e-post mellan den registrerade och försäkringsbolaget. Eftersom den registrerade var tvungen att lämna information om de specifika omständigheterna för varje incident innebär korrespondensen mycket personlig information om den registrerade (hobbyer, lägenhetskamrater, dagliga vanor etc.).

I vissa fall uppstod oenighet om försäkringsbolagets skyldighet att kompensera den registrerade vilket orsakade en stor mängd kommunikation fram och tillbaka. All denna korrespondens lagras av försäkringsbolaget. Den registrerade gör en begäran om tillgång. I denna situation behöver den registeransvarige inte nödvändigtvis tillhandahålla e-postmeddelanden i sin ursprungliga form genom att vidarebefordra dem till den registrerade. Istället kunde välja att sammanställa e-postkorrespondensen som innehåller den registrerades personuppgifter i en fil som lämnas till den registrerade.

Sammanställning

Att göra någon form av sammanställning och extrahering av uppgifterna som gör informationen lätt att förstå är också ett sätt att uppfylla kraven på att tillhandahålla informationen på ett sätt som är både begripligt och lättillgängligt.

I detta sammanhang är det viktigt att komma ihåg att det finns en åtskillnad mellan rätten att få tillgång enligt art. 15 GDPR och rätten att få en kopia av administrativa dokument som regleras i nationell lag, varvid den senare är en rättighet att alltid få en kopia av själva handlingen. Detta innebär inte att rätten till tillgång enligt art. 15 GDPR utesluter möjligheten att få en kopia av dokumentet/mediet som personuppgifterna förekommer på.

  1. https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/edbp/

    Integritetsskyddsmyndigheten, hämtad 2022-03-21

  2. EDPB Riktlinjer 01 2022 om registrerades rättigheter – Rätt till tillgång s. 46