Vad omfattar ett registerutdrag?
Vi vill inledningsvis upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.
Fråga
Kan jag enligt GDPR begära ut uppgifter om mig själv som finns i en annan persons ärendeakt inom socialförvaltningens verksamhet? Eller går socialsekretessen före, även för mina egna uppgifter?
Svar
Frågan rör rätten till tillgång, även kallad rätten till registerutdrag vilket är en rättighet enligt artikel 15 GDPR. Denna rättighet är en central del för att de registrerade ska kunna få en bra överblick samt utöva kontroll över sina personuppgifter. Rätten till tillgång ska inte förväxlas med rätten att begära ut allmänna handlingar vilket görs med stöd av TF. Det rör sig visserligen om två rättigheter som i stora drag överlappar varandra men det finns väsentliga skillnader mellan de olika lagstiftningarna.
Rätten till ett registerutdrag innebär att den registrerade ska få information om de personuppgiftsbehandlingar som utförs av den personuppgiftsansvariga som rör honom eller henne. Rättigheten innebär även att den registrerade har en rätt att få ut en kopia på de personuppgifter som behandlas. En begränsning finns i rätten till tillgång som är högst relevant för denna frågeställning, nämligen det faktum att rätten att få ut en kopia inte menligt ska inverka på andras fri- och rättigheter.
Om vi rent konkret ska kika på hur denna rättighet ska tillämpas gällande personuppgifter som förekommer i personakter inom en kommuns socialförvaltnings verksamhet så bör vi kika på två separata frågeställningar av relevans, dels frågan om ett utlämnande av någons personuppgifter i annans akt skulle innebära att utlämnandet menligt inverkar på andras fri- och rättigheter, dels frågan om i vilket format personuppgifterna ska lämnas ut.
Kan uppgifterna lämnas ut?
Den första frågan besvaras inte direkt i lagtext. Artikel 15 är inte mer detaljerad än att den konstaterar att ett utlämnande inte får inverka menligt på andras fri- och rättigheter.
Dock finns en kompletterande bestämmelse i den svenska kompletterande dataskyddslagen som stadgar att artikel 13–15 GDPR (informationsskyldigheterna) inte ska tillämpas för ”sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning”. Om uppgifterna omfattas av sekretess ska de därmed inte lämnas ut till den registrerade.
I vilket format ska uppgifterna lämnas ut?
En andra aspekt som behöver beaktas är formen på de uppgifter som utlämnas. Det är lätt att tro att en kopia på personuppgifterna ska likställas med en kopia på handlingen där personuppgifterna förekommer. Detta är inte nödvändigtvis fallet. Om man läser lagtexten noggrant ser man att lagstiftaren i GDPR kräver att man ska tillhandahållen en kopia på personuppgifterna, inte på handlingen i sig. Detta har tagits upp i så väl EU-domstolen (De förenade målen C–141/12 och C–372/12) som i svensk domstol (KamR Göteborg 2019-09-17 mål nr. 1677-19). I dessa domar uttalar domstolen att personuppgifterna ska tillhandahållas som en sammanställning av de behandlade uppgifterna i en begriplig form. Det behöver inte nödvändigtvis vara i form av originalhandlingen i sig.
Frågan är besvarad av juristen Didrik Värmon.
Vill du ta del av fler Frågor och svar inom området dataskydd?
Testa då vår informationstjänst JP ITnet kostnadsfritt. I tjänsterna ingår vår populära frågeservice.
Publicerad 29 apr 2020