En checklista för personuppgiftsansvarig

Insikter
8 februari 2024

En person har vänt sig till ert företag och begärt ut information om sina personuppgifter. Som personuppgiftsansvarig ska ni nu börja hantera begäran, göra det skyndsamt och se till att tidsfristen om 30 dagar hålls. Vissa personuppgifts- ansvariga utför komplexa behandlingar av personuppgifter och ni vet att när informationen når personen som begärt ut uppgifterna så ska den vara lätt att ta till sig och förstå. Om ni har processer och rutiner för att hantera registerutdrag så kommer ni att fixa detta galant, men om ni är osäkra så kan artikeln som våra dataskyddsjurister Nathalie Grogan och Nellie Berntsson skrivit vara till stor hjälp eftersom den också innehåller en värdefull checklista för att hantera registerutdrag.

Begäran om registerutdrag, eller rätten till tillgång som det heter i den allmänna dataskyddsförordningen (”GDPR”), handlar om att lämna ut en kopia på de faktiska personuppgifter som en personuppgiftsansvarig behandlar till den som begär det. Personuppgiftsansvarig är den organisation som bestämmer varför personuppgifterna behandlas och hur behandlingen ska gå till. Det är företaget, inte chefen eller en anställd som är personuppgiftsansvarig.

Rättigheten innebär att en person kan vända sig till företag, myndigheter eller andra verksamheter för att få information om behandlingen av sina personuppgifter och om hur de används av den personuppgiftsansvarige. Denna rättighet är av central betydelse då den ger bäst förutsättningar för att kunna nyttja övriga tillgängliga rättigheter i GDPR, såsom rätten till invändning och rätten till radering. Det blir därför extra viktigt att den information som ni som företag och personuppgiftsansvarig lämnar ut är enkel att förstå; mottagande person ska kunna kontrollera uppgifternas riktighet och laglighet. Tips: Begär ut ett registerutdrag enligt GDPR från ditt eget företag och utvärdera sen vad som kan göras bättre.

Ett registerutdrag har särskilda formkrav avseende innehåll och Europeiska dataskyddstyrelsen (EDPB) har under 2022 tagit fram en vägledning för detta. Det finns mycket information att hämta på området som är till hjälp, men utmaningarna gör sig trots detta påminda. Det kan vara omfattande och komplexa behandlingar som utförs av en personuppgiftsansvarig. Det kan vara många olika system involverade och samtidigt ska registerutdraget ska vara lätt för personen att ta till sig och förstå. Dessutom tickar klockan snabbt eftersom ni har en tidsfrist på 30 dagar och då krävs det att ni agerar skyndsamt och inte väntar med att hantera en begäran. Om ni inte har upprättat en process/instruktion för att hantera rätten till tillgång är det hög tid att börja nu. Nedan finns en checklista ni kan använda som stöd.

Checklista

1. Ta hand om ärendet omedelbart
  • Svara personen som begärt att få veta vilka personuppgifter ni behandlar genom att bekräfta mottaget ärende och att personens begäran hanteras. Gör detta så snart som möjligt. Det underlättar även för er att hålla koll på tidsfristen på trettio dagar som börjar löpa så fort begäran inkom.

  • Påbörja er hantering av registerutdraget omgående. Det tar tid att söka igenom nödvändiga system och att ha kontakt med berörda personer inom organisationen.

2. Beredskap
  • Det är viktigt att säkerställa att en begäran når den person inom organisationen som ansvarar för hanteringen av registerutdrag. Då en begäran kan inkomma på olika sätt är det bra att snabbt hitta rätt för att inte tappa tid i er vidare hantering.

  • Säkerställ att ni har dokumenterade rutiner på plats för att hantera en begäran om registerutdrag. Rutinerna ska exempelvis klargöra vem som ska kontaktas och hur en begäran ska hanteras.

  • Utbilda era medarbetare om rätten till tillgång. En begäran kan komma in via mail eller telefon och till vem som helst inom företaget. Det är viktigt att respektive medarbetare känner till denna rättighet, då tidsfristen börjar löpa direkt när begäran inkommit.

  • Det som kanske mest av allt kommer att underlätta er hantering av en begäran om tillgång är att ha genomfört en bra kartläggning av alla era personuppgiftsbehandlingar och system. Det bidrar dessutom till att ni behandlar personuppgifter enbart så länge som det är nödvändigt för ändamålet. Om ni vidtar dessa åtgärder kommer ni kunna svara på begäran betydligt snabbare, eftersom ni då vet var ni ska leta efter uppgifterna. Dessutom minskar ni mängden personuppgifter att ha koll på.

3. Identifiering
  • Ni behöver identifiera personen som tar kontakt med er, dels för att säkerställa att ni söker på rätt person i era system och dels för att registerutdraget når rätt person.

  • Tänk på att inte begära in fler personuppgifter endast för identifiering, då det kan strida mot GDPR:s grundläggande princip om uppgiftsminimering. Detta får enbart ske om det är nödvändigt för att kunna identifiera personen.

  • Skapa en process för hur ni identifierar personen på bästa sätt. Applicera sedan denna process i er rutin för hantering av registerutdrag.

4. Personen bakom begäran
  • Ni behöver veta vilken relation personen har med ert bolag. En del i detta kan vara att ta kontakt med HR för att undersöka om personen är eller har varit anställd hos er. Syftet med detta är för att säkerställa att ni letar efter berörda personuppgifter på rätt ställen och i rätt system.

    Se över era rutiner och upprätta en process i hanteringen för att säkerställa att HR (eller annan relevant avdelning) kontaktas i ett tidigt skede.

5. Registerutdragets innehåll
  • Det är viktigt att ha ett brett kontaktnät inom organisationen som kan hjälpas åt att leta i berörda system. För att få fram komplett information till registerutdraget kan ni behöva ha kontakt med flera delar av organisationen.

  • Skapa rätt förutsättningar hos respektive avdelning genom att upprätta rutiner och en medvetenhet kring dataskydd. Då vet respektive avdelning vad som förväntas när en begäran om registerutdrag inkommer och kan söka och sammanställa alla relevanta personuppgifter som efterfrågas.

  • Tänk på att det inte bara handlar om personuppgifter som direkt identifierar någon såsom namn och adress, utan även uppgifter om medicinska diagnoser, surfhistorik och annat som avser den registrerade personen. Det handlar även om att leverera de faktiska personuppgifterna och följa de formkrav som styr vad ett registerutdrag ska innehålla.

6. Kontrollera informationen
  • När ni har fått fram all information som ni behandlar om personen är det viktigt att kontrollera innehållet för att säkerställa att ingen annans personuppgifter förekommer. Den som begär ett registerutdrag har endast rätt att ta del av sina egna personuppgifter.

  • Säkerställ att exempelvis namn eller andra personuppgifter raderas/maskas från materialet för att inte äventyra andra personers rättigheter och friheter enligt GDPR.

  • Säkerställ att ni tar hänsyn till sekretess och tystnadsplikt avseende innehåll. Rätten till tillgång är långtgående men det finns tydliga undantag.

7. Klart och tydligt språk
  • I och med att det kan vara väldigt mycket information som lämnas ut är det viktigt att information paketeras på ett enkelt sätt. Det finns höga krav i GDPR på transparens och tydlighet.

  • Se över paketering/format av innehållet och säkerställ att innehållet är enkelt och överskådligt för personen att ta till sig. Lämna gärna skiktad information och använd gärna flera bilagor för att personen lättare ska kunna komma åt specifik information.

8. Skicka registerutdraget
  • Det finns krav på att ni ska kunna skicka registerutdraget i ett elektroniskt format.  Ha i åtanke att ni även ska kunna skicka registerutdraget i samma format som begäran har inkommit.

  • Tänk på säkerheten när registerutdraget skickas och att inte skicka registerutdrag okrypterat via e-post. En annan säkerhetsåtgärd kan vara att skicka rekommenderat brev där legitimering krävs för att få ut brevet eller att skicka till folkbokföringsadressen.

  • Registerutdraget ska lämnas kostnadsfritt, men det finns undantag om personen skulle återkomma med begäran många gånger på ett sätt som är oskäligt.

9. Spara underlaget
  • Det kan vara bra att spara personens begäran och vad registerutdraget innehöll för information under en begränsad tid efter utskicket. Då kan ni enklare hantera eventuella följdfrågor från personen eller andra kompletteringar. 

  • Tänk på att inte spara underlaget för länge om ni inte har ett tydligt, avgränsat ändamål för lagringen. Ni kan i stället skapa en logg över vilka begäranden som inkommit om ni endast vill ha en överblick över antalet förfrågningar som har inkommit. 

Vad händer om mitt bolag inte har rutiner och processer på plats?

Om bestämmelserna i GDPR inte efterlevs och ni lämnar ut ett ofullständigt registerutdrag eller inget alls, finns risk för sanktionsavgifter från tillsynsmyndigheten. Hanteringen av registrerades rättigheter och däribland registerutdrag omfattas av det högre beloppet på upp till 20 miljoner euro eller 4 % av bolagets/koncernens globala årsomsättning, beroende på vilket värde som är högst.

Integritetsskyddsmyndigheten (”IMY”) har under 2023 bland annat granskat Spotify och deras hantering av registerutdrag. IMY ansåg att Spotify hade vidtagit flera åtgärder i syfte att tillgodose kraven, men att den information som Spotify lämnat till enskilda inte varit tillräckligt tydlig. Granskningen ledde till att IMY utfärdade en sanktionsavgift på 58 miljoner kronor.

Avslutande kommentar

Syftet med GDPR är att skydda de enskildas integritet och att stärka kontrollen över hur företag, myndigheter och organisationer samlar in och använder deras personuppgifter. Det är viktigt att ni som bolag bygger upp rutiner och processer kring hur registrerades rättigheter och därmed även hur begäran om registerutdrag ska hanteras. Kanske finns det möjlighet att automatisera vissa processer för att minska den manuella hanteringen? Tänk då på att kontrollera informationen som hämtas från era system och att ha löpande åtgärder på plats för att upptäcka om det uppstår tekniska fel.

Vill ni veta mer om hur registerutdrag ska hanteras kan ni kika på EDPB:s vägledning i ämnet. Den hittar du här. EDPB har även aviserat att de kommer att genomföra en koordinerad tillsyn avseende hantering av registerutdrag under året, håll utkik!

Om Fondias team inom dataskydd

Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av ärenden som rör personuppgiftsbehandling och integritetsskydd. Vi ger bland annat handfasta råd kring efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna samt hittar affärsmässiga lösningar på utmaningar inom dataskydd. Våra experter har tillsammans bred erfarenhet från roller som både dataskyddsombud, bolagsjurist, del av ledningsgrupp, del av dataskyddsgrupp och rena konsultroller. Vi erbjuder också tjänsten DPOaaS- dataskyddsombud som en tjänst.

Tveka inte att kontakta oss! Vi har kontor i Stockholm, Göteborg och Malmö - välkommen till Fondia!

Checklistan i kortformat

1

Ta hand om ärendet omedelbart

2

Beredskap

3

Identifiering

4

Personen bakom begäran

5

Registerutdragets innehåll

6

Kontrollera informationen

7

Klart och tydligt språk

8

Skicka registerutdraget

9

Spara underlaget

Hur kan vi hjälpa dig?

Vi vill gärna höra mer om era legala behov. Kontakta oss via mail, telefon eller boka ett kostnadsfritt möte redan idag!