Hantera registerutdrag korrekt – nya riktlinjer från Europeiska dataskyddsstyrelsen
I januari 2022 kom nya riktlinjer från Europeiska dataskyddsstyrelsen. I riktlinjerna klargör styrelsen sin syn på hanteringen bland annat kring formen för utdrag och att alla sorters personuppgifter ska ingå. Vidare klargörs att personuppgiftsansvariga själva måste värdera om nationell anpassad lagstiftning är korrekt. Sammantaget tydliggör riktlinjerna att det finns många omfattande krav som ställs på hanteringen av registerutdrag.
Bakgrund
Europeiska dataskyddsstyrelsen (EDPB) kom i januari med nya riktlinjer om rätten till tillgång (registerutdrag) ”Guidelines 01/2022 on data subject rights – Right of access Version 1.0 Adopted on 18 January 2022”. Dessa är just nu ute på en publik konsultation. Efter att den är färdig kommer en slutlig version av riktlinjerna att antas.
Riktlinjen tydliggör hur artikel 15 GDPR, som reglerar rätten till tillgång, ska tolkas. Den ger även vissa förklaringar kring artikel 12 GDPR som innehåller förfarandebestämmelser runt registrerades rättigheter.
Riktlinjer, som denna, är en viktig rättskälla eftersom EDPB har tilldelats denna arbetsuppgift genom GDPR. Integritetsskyddsmyndigheten beskriver i ett blogginlägg (https://www.imy.se/blogg/ny-riktlinje-fortydligar-ratten-till-tillgang/) rörande riktlinjerna hur arbetet har gått till:
”(...) En riktlinje antas av medlemmarna i EDPB (det vill säga företrädare för de olika nationella tillsynsmyndigheterna) efter att en särskild rapportörsgrupp har tagit fram ett utkast som också diskuterats i någon av EDPB:s större arbetsgrupper. När en riktlinje antas har den alltså föregåtts av grundliga diskussioner och genomgång av representanter för de olika tillsynsmyndigheterna och dess innehåll är därmed väl förankrat myndigheterna emellan. Innehållet i riktlinjen kan vara något som nationella tillsynsmyndigheter beaktar när de fattar beslut i enskilda ärenden men riktlinjen är inte i sig något beslut som riktar sig till enskilda organisationer”.
I den aktuella riktlinjen framhålls att den baseras på tolkningar som EU-domstolen gjort. Den rättspraxis som avses rör inte GDPR utan dess föregångare, vilket är intressant eftersom det finns språkliga och kanske innehållsmässiga skillnader mellan artikel 15 och dess föregångare. I analysen berättar jag även om två pågående fall som kan påverka området.
Vad innebär rätten till registerutdrag?
I riktlinjerna klargörs vad rättigheten tillgång innebär:
”The overall aim of the right of access is to provide individuals with sufficient, transparent and easily accessible information about the processing of their personal data so that they can be aware of and verify the lawfulness of the processing and the accuracy of the processed data. This will make it easier - but is not a condition - for the individual to exercise other rights such as the right to erasure or rectification. The right of access according to data protection law is to be distinguished from similar rights with other objectives, for example the right of access to public documents which aims at guaranteeing transparency in public authorities’ decision-making and good administrative practice”.
Rätten till tillgång handlar om att den registrerade ska förstå bland annat vilka personuppgifter som behandlas och för vilka ändamål. Den personuppgiftsansvarige ska även lämna tilläggsinformation som vilka rättigheter den registrerade har. Syftet bakom bestämmelsen är, som framhålls, att den registrerade ska få tillräckligt bra insyn för att kunna bedöma om hen vill utnyttja andra rättigheter. Den registrerade ska få denna tillgång utan att behöva förklara varför: ”(...) controllers should not assess “why” the data subject is requesting access, but only “what” the data subject is requesting”. Det understryks även att personuppgiftsansvariga inte kan vägra att ge tillgång ”(...) on the grounds or the suspicion that the requested data could be used by the data subject to defend themselves in court in the event of a dismissal or a commercial dispute with the controller”.
Som framgår av citatet ovan innebär rätten till tillgång enligt EDPB inte en rätt att få ta del av allmänna handlingar. Rätten att få ta del av allmänna handlingar handlar i stället om “(...) `the greatest possible transparency of the decision-making process of the public authorities and to promote good administrative practices`, an objective not sought by data protection law”.
Samtidigt är det förstås inget som hindrar att en registrerad samtidigt begär både tillgång och att få ta del av allmänna handlingar. Detta gör området än mer komplext att hantera för offentlig sektor, inte minst för att det finns ett krav på snabb handläggning i båda fallen.
Hur rättigheten är uppbyggd
Rätten till tillgång i artikel 15 GDPR innehåller fyra moment. Det är intressant att läsa hur EDPB beskriver hur de fyra olika delarna hänger ihop inbördes och deras samband med den generella förfarandebestämmelsen i artikel 12 GDPR:
”While all elements of Art. 15(1) and (2) together define the content of the right of access, Art .15(3) deals with the modalities of access, in addition to the general requirements set out in Art. 12. Art. 15(4) supplements the limits and restrictions that Art. 12(5) provides for all data subjects rights with a specific focus on rights and freedoms of others in the context of access”.
Det är viktigt att notera att de två inledande momenten utgör kärnan. I artikel 15.1 GDPR finns en uppräkning över vilka delar som ska ingå och i artikel 15.2 GDPR finns klargöranden om tredjelandsöverföringar.
I artikel 15.3 GDPR finns ordet ”kopia” med (en nyhet i förhållande till äldre rätt). EDPB anser i sina riktlinjer att begreppet enbart beskriver sättet att få tillgång, vilket stämmer med tidigare EU-domar. Ordet ”kopia” innehåller därför ingen ny rättighet:
”The obligation to provide a copy is not to be understood as an additional right of the data subject, but as modality of providing access to the data. It strengthens the right of access to the data and helps to interpret this right because it makes clear, that access to the data under Art. 15(1) comprises complete information on all data and cannot be understood as granting only a summary of the data. At the same time, the obligation to provide a copy is not designed to widen the scope of the right of access: it refers (only) to a copy of the personal data undergoing processing, not necessarily to a reproduction of the original documents.. More generally speaking, there is no additional information to be given to the data subject upon providing a copy: the scope of the information to be contained in the copy is the scope of the access to the data under 15(1) (...)”
EDPB:s uttalande är intressant och rimligt (särskilt om man beaktar att den nya rättigheten dataportabilitet ger en utökad rätt att få personuppgifterna). Det är dock inte säkert att den står sig eftersom det pågår ett nytt fall i EU-domstolen rörande detta (mål nr C-487/21). Tills EU-domstolen så småningom kommit fram till sin slutsats är det riktlinjens tolkning som lär upprätthållas av tillsynsmyndigheter och som därför är relevant att ta till sig. Samtidigt begränsar tolkningen inte omfattningen eftersom ”(...) the notion of a copy has to be interpreted in a broad sense and includes the different kinds of access to personal data as long as it is complete (i.e. it includes all personal data requested) and possible for the data subject to keep”. Ett registerutdrag ska vara i beständig form, något en registrerad kan gå tillbaka till.
Inte uppställa formkrav som registrerade behöver följa
I EDPB:s riktlinjer tydliggörs att det inte finns några formkrav en registrerad måste följa för att få ett utdrag. EDPB uppmuntrar personuppgiftsansvariga att skapa enkla kanaler för registrerade att utöva sina rättigheter men det hindrar inte att registrerade även kan inkomma med begäranden på andra sätt som då måste hanteras korrekt (om begäran inte anses ”random or incorrect”):
”It should be noted that the controller is not obliged to act on a request sent to a random or incorrect email (or postal) address, not directly provided by the controller, or to any communication channel that is clearly not intended to receive requests regarding data subject's rights, if the controller has provided an appropriate communication channel, that can be used by the data subject”.
Inte heller om begäran skickas till en anställd som inte är involverad i hantering av registrerades rättigheter behöver den hanteras ”(...) if the controller has clearly provided the data subject with appropriate communication channel”. Inkommer en begäran till en anställd som hanterar frågor rörande berörd registrerad ska dock begäran inte ses som ”random or incorrect”.
En personuppgiftsansvarig kan inte heller begära att alltid få se id-handlingar eller liknande:
”Art. 12(2) states that the controller shall not refuse to act on the request of the data subject to exercise his or herrights (Sic!), unless the controller demonstrates that it is not in a position to identify the data subject. In such circumstances, the data subject may, however, provide additional information enabling this identification (Art. 11(2)). In order to allow the data subject to provide the additional information required to identify his or herdata, the controller should inform the data subject of the nature of the additional information required to allow identification.
If the controller has reasonable doubts concerning the identity of the natural person making the request, the controller may request the provision of additional information necessary to confirm the identity of the data subject (Art. 12(6))”.
Gör en personuppgiftsansvarig fel rörande identifiering kan detta utgöra ett brott mot artikel 11 GDPR. I riktlinjerna finns flera intressanta exempel på hur man ska tänka för att hantera id-frågan på ett proportionellt sätt som jag tror många organisationer kan behöva läsa igenom. Det finns även skrivningar om hur man ska hantera ombud för den registrerade.
OMFATTNINGEN AV REGISTERUTDRAG
Ett registerutdrag ska innehålla ett tydliggörande om personuppgifter behandlas eller inte. En central fråga blir därför om personuppgifter rörande den registrerade behandlas. Om en personuppgiftsansvarig finner att den hanterar sådana personuppgifter ska tillgång ges till dem i den omfattning som anges i artikel 15.1 och 15.2 GDPR (se föregående avsnitt). Vad som då ska ingå i begreppet ”personuppgifter” ska tolkas brett:
”Access to personal data is the second component of the right of access under Art . 15(1) and it constitutes the core of this right. It relates to the notion of personal data as defined by Art. 4(1) GDPR. Aside from basic personal data like name and address, an unlimited variety of data may fall within this definition, provided that they fall under the material scope of the GDPR, notably with regards to the way in which there are processed (Art. 2 GDPR). Access to personal data hereby means access to the actual personal data themselves, not only a general description of the data nor a mere reference to the categories of personal data processed by the controller. If no limits or restrictions apply, data subjects are entitled to have access to all data processed relating to them, or to parts of the data, depending on the scope of the request (...) The obligation to provide access to the data does not depend on the type or source of those data. It applies to its full extent even in cases where the requesting person had initially provided the controller with the data, because its aim is to let the data subject know about the actual processing of those data by the controller. (...)”
I riktlinjen ges även följande exempel på vad som är personuppgifter:
"- Special categories of personal data as per Art. 9 GDPR;
- Personal data relating to criminal convictions and offences as per Art. 10 GDPR;
- Data knowingly and actively provided by the data subject (e.g. account data submitted via forms, answers to a questionnaire);
- Observed data or raw data provided by the data subject by virtue of the use of the service or the device (data processed by connected objects, transaction history, activity logs such as access logs, history of website usage, search activities, location data, clicking activity, unique aspects of a person’s behaviour such as handwriting, keystrokes, particular way of walking or speaking);
- Data derived from other data, rather than directly provided by the data subject (e.g. credit ratio, classification based on common attributes of data subjects; country of residence derived from postcode);
- Data inferred from other data, rather than directly provided by the data subject (e.g. to assign a credit score or comply with anti-money laundering rules, algorithmic results, results of a health assessment or a personalization or recommendation process);
- Pseudonymised data as opposed to anonymized data (see also section 3 of these guidelines)."
Som framgår omfattas alla kategorier av personuppgifter och inte enbart de som finns i fält i stora IT-system. Läser man förordningstexten är detta inte så oväntat men i praktiken tror jag många personuppgiftsansvariga inte har den kontroll som förordningstexten anger och riktlinjerna förtydligar.
En begäran som omfattar andra personers personuppgifter kan bli än mer komplicerad att hantera. Den registrerade kan nämligen bara få tillgång till personuppgifter som rör hen. Här finns dock en problematik att en personuppgift samtidigt kan röra flera personer. Även i ett sådant fall finns en rätt till tillgång, men en prövning enligt artikel 15.4 GDPR behövs (jag återkommer till detta när undantagen beskrivs nedan).
Korrekt bild av behandlingen
Den personuppgiftsansvarige måste ge en korrekt bild av personuppgiftsbehandlingen. EDPB framhåller att detta ”(...) includes the obligation to give information about data that are inaccurate or about data processing which is not or no longer lawful”. Detta är viktigt för att den registrerade ska kunna bilda sig en uppfattning till exempel om huruvida personuppgifter spritts mellan flera olika personuppgiftsansvariga eller om det skett en mer oväntad personuppgiftsbehandling.
Den registrerade ska genom registerutdraget få en bild av hur personuppgiftsbehandlingen såg ut när begäran gjordes:
”(...) This means that the controller has to try to find out about all the data processing activities relating to the data subject without undue delay. Controllers are thus not required to provide personal data, which they processed in the past but which they no longer have at their disposal.”
Det sagda påverkar även personuppgiftsansvarigas skyldigheter att sätta rimliga gallringstider:
"At the same time, the controller shall implement the necessary measures to facilitate the exercise of the right of access and to deal with such requests as soon as possible and before the data will have to be deleted. In the case of shorter retention periods than the timeframe to answer imposed by Art. 12(3) GDPR, the timing to answer the request should be adapted to the appropriate retention period in order to facilitate the exercise of the right of access and to avoid the permanent impossibility of providing access to the data processed at the moment of the request."
Ovanstående är förstås mycket intressant. EDPB förklarar inte hur sistnämnda citat överensstämmer med principen i artikel 11.1 GDPR att inte behålla personuppgifter enbart i syfte att följa förordningen. Jag antar att även detta kan komma att prövas i rättspraxis. Eftersom artikel 12.3 GDPR föreskriver en månads svarstid kanske problemet inte uppstår så ofta i praktiken.
Begäran ska anses innefatta all personuppgiftsbehandling
Som framgår ovan innefattar rätten till tillgång alla typer av personuppgifter, vilket gör att en begäran kan vara mycket omfattande. EDPB framhåller vidare:
”Unless explicitly requested otherwise by the data subject, a request to exercise the right of access shall be understood in general terms, encompassing all personal data concerning the data subject.
(...)
(...) Any limitation of the scope of a request to a specific provision of Art. 15 GDPR, made by the data subjects, must be clear and unambiguous. For example, if the data subjects require verbatim “information about the data processed in relation to them”, the controller should assume that the data subjects intend to exercise their full right under Art. 15(1) – (2) GDPR.(...)“
De undantag som kan göras är följande:
- När den registrerade själv uttryckligen har begränsat sin begäran (här måste man vara säker på att man förstått begäran korrekt).
- Om mycket data behandlas kan den personuppgiftsansvarige känna osäkerhet angående om den registrerade förstår omfattningen av sin begäran: ”The controller then faces problems of how to give a full answer while simultaneously avoiding the creation of an overflow of information for the data subject that the data subject is not interested in and cannot effectively handle”. Här kan man berätta för den registrerade om olika självservice-tjänster man har eller fråga den registrerade om man uppfattat begäran rätt. Ska man begränsa en begäran på denna grund tror jag att det är viktigt att noga läsa riktlinjen för att förstå hur man ska hantera frågan. EDPB understryker även det självklara att man inte får använda förfarandet för att försöka dölja information.
- När det finns undantag från rätten att få tillgång (se underavsnittet om undantag nedan).
Hur ofta behöver en personuppgiftsansvarig ge tillgång till samma registrerade?
I riktlinjerna finns även intressanta beskrivningar över hur ofta man behöver ge tillgång. Bland annat framhålls att man inte får se det som en begäran om ny tillgång om den registrerade anger att hen inte fått ett komplett svar (då ska det ses som en påminnelse). Uttalandet kan vara lite svårt att hantera i praktiken: om den personuppgiftsansvarige anser att den gett tillgång till alla personuppgifter som förvaras, ska den verkligen då se ett påstående om motsatsen som en påminnelse och inte som en ny begäran? Jag antar att den frågan kommer att behöva besvaras i rättspraxis.
I vissa situationer får en personuppgiftsansvarig ta ut avgift eller vägra lämna tillgång, nämligen om den registrerade vill ha en ytterligare kopia:
”If the data subject asks for an additional copy after the first request was made, questions may arise on whether this should be regarded as a new request, or whether the data subject wants an additional copy of the data in the sense of Art. 15(3)(2), in which case a fee for an additional copy may be charged. The response to these questions depends solely on the content of the request: the request should be interpreted as asking for an additional copy, insofar as, in terms of time and scope, it concerns the same personal data set as the former request. If, however, the data subject aims to get information on the data processed at a different point in time or relating to a different range of data from the oneinitially requested, the right to obtain a free copy according to Art . 15(3), applies once again”.
Detta innebär att bedömningen av ”ytterligare kopia” kommer att baseras på i vilken takt personuppgiftsbehandlingen förändras; har något nytt skett lär man inte kunna åberopa att det rör sig om ytterligare en kopia. Har det gått lång tid mellan begäranden gäller samma sak enligt EDPB som ger ett exempel på att begäran görs med ett års mellanrum.
En personuppgiftsansvarig får inte ta ut en orimlig kostnad för en ytterligare kopia, till exempel lägga in overhead-kostnader eller dylikt. Tänker man ta ut en kostnad bör man fråga den registrerade om den vill stå kvar vid sin begäran.
Undantag från att ge tillgång
I artikel 15.4 GDPR finns undantag när tillgång inte behöver ges om det påverkar andras rättigheter och friheter, vilket innebär bland annat andra registrerades integritet. Att en personuppgift samtidigt kan röra två personer blir därför något man alltid måste bena ut så att inte den andre personens rätt till integritet kränks. Här kan man notera följande uttalande:
”The controller must be able to demonstrate that the rights or freedoms of others would be adversely affected in the concrete situation. Applying Art. 15(4) should not result in refusing the data subject’s request altogether; it would only result in leaving out or rendering illegible those parts that may have negative effects for the rights and freedoms of others”.
I riktlinjerna finns ett intressant exempel rörande en anställds personuppgifter kopplade till en kund som begär utdrag. Även i denna del finns ett pågående fall i EU-domstolen (mål nr C-579/21).
Hantering ska ske på ett säkert sätt
När registerutdrag tillhandahålls måste det göras på ett säkert sätt. EDPB framhåller att detta påverkar sättet som registerutdrag kan tillhandahållas på:
”(...) Also in case of providing a copy of the data in a commonly used electronic form (see Art 15(3)), the controller shall take into account data security requirements when choosing the means of how to transmit the electronic file to the data subject. This may include applying encryption, password protection etc.. In order to facilitate access to the encrypted data, the controller should also ensure that appropriate information is made available so that the data subject can access the requested information in clear (...)”.
Nationell lagstiftning
EDPB framhåller att det kan finnas nationell lagstiftning som utökar eller begränsar rättigheter. För svenskt vidkommande finns det många sektorsspecifika lagstiftningar som kan ha egna bestämmelser. Till det kommer att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (kompletteringslagen) innehåller sådana bestämmelser (se 5 kap. 1 och 2 §§ nämnda lag som jag kommenterat i min lagkommentar till den lagen). Här är det intressant att se att EDPB menar att personuppgiftsansvariga inte bara kan utgå från att nationell lag är korrekt (jag varnade för detta i nämnda lagkommentar):
"Restrictions of the right of access may also exist in Member States’ national law as per Art. 23 GDPR and the derogations therein. Controllers who intend to rely on such restrictions must carefully check the requirements of the national provisions and take note of any specific conditions that may apply. Such conditions may be that the right of access is only temporarily delayed or that the restriction only applies to certain categories of data."
Av Monika Wendleby, jurist, managementkonsult, föreläsare och författare till GDPR-böcker.
Ursprungligen publicerad i JP ITnet.
Publicerad 21 mar 2022
Jurist, managementkonsult och författare av GDPR-böcker