Hur får en individ enligt GDPR begära ut personuppgifter?

Se som Markdown
4 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 15 augusti 2025
  1. Hur ska företag enligt GDPR lämna ut personuppgifter?
  2. Vanliga misstag vid hantering av begäran om tillgång

När en person begär ut sina personuppgifter enligt GDPR har företaget en rättslig skyldighet att hantera begäran korrekt och inom lagstadgad tid. Denna rätt till tillgång följer av artikel 15 i dataskyddsförordningen och gäller oavsett om begäran sker muntligt, skriftligt eller digitalt.

Som personuppgiftsansvarig är det avgörande att ni har rutiner för att verifiera identiteten, bedöma omfattningen av begäran och lämna svar inom en månad. I vissa fall kan svarstiden förlängas med ytterligare två månader, men det kräver att den registrerade informeras om förseningen och skälen till den. Det är viktigt att tänka på att svaret ska ges “onödigt dröjsmål,” så tidsgränsen på en månad är bara en bortre gräns och är förfrågan exempelvis av enklare slag ska svaret ges tidigare.

Hur ska företag enligt GDPR lämna ut personuppgifter?

Innan ni som personuppgiftsansvariga lämnar ut personuppgifter måste ni säkerställa att begäran är legitim och att utlämnandet inte kränker någon annans rättigheter. Det är exempelvis viktigt att identifiera om uppgifterna som ska lämnas ut innehåller information om fler individer. Dessutom ska informationen tillhandahållas i ett strukturerat och begripligt format – ofta elektroniskt om begäran skett digitalt.

Att lämna ut personuppgifter innebär inte bara att tekniskt överföra information, utan också att tillgodose registrerades rätt till insyn. Därför ska företaget bland annat kunna redogöra för var uppgifterna kommer ifrån, exempelvis om de samlats in direkt från den registrerade eller från en tredje part. Om det förekommer återkommande eller ogrundade begäranden kan det dessutom vara tillåtet att neka eller ta ut en avgift, vilket måste motiveras tydligt.

Vid begäran om tillgång ska företag:

  • Bekräfta om personuppgifter behandlas och i så fall lämna ut en kopia.
  • Informera om syftet, mottagare av uppgifterna, lagringsperiod och rättigheter.
  • Kontrollera identiteten på den som begär ut uppgifterna, för att skydda integriteten.

Kom ihåg att även uppgifter som inte direkt nämner namn eller personnummer – som interna ID, kundbeteenden eller IP-adresser – kan omfattas av begäran om de kan kopplas till en identifierbar person.

Vanliga misstag vid hantering av begäran om tillgång

Ett vanligt misstag är att företag inte svarar inom den tidsfrist som anges i GDPR. Även om en månad kan tyckas generöst, kräver många förfrågningar viss utredning, särskilt om informationen finns spridd i flera system. Att inte ha fördefinierade processer eller ansvariga kontaktpersoner kan därför leda till onödiga förseningar. Det kan i sin tur innebära en överträdelse av dataskyddsförordningen – även om uppgifterna till slut lämnas ut.

Ett annat misstag är att företaget ger ett alltför begränsat eller ofullständigt svar. GDPR ställer tydliga krav på vad som ska ingå i ett utlämnande och att enbart lämna en kopia av uppgifterna räcker inte. Om information om syfte, lagringstid eller mottagare uteblir, är svaret inte komplett enligt artikel 15. Det kan också skada förtroendet hos kunden eller den registrerade, vilket i längden påverkar verksamhetens anseende negativt.
Slutligen glöms ibland dokumentationen av hanteringen. Enligt principen om ansvarsskyldighet ska ni kunna visa att ni har agerat korrekt, vilket i praktiken innebär att den personuppgiftsansvarige behöver någon typ av dokumentation av ärendet (glöm inte att säkerställa laglig grund). Detta är inte bara en trygghet vid en eventuell tillsyn från Integritetsskyddsmyndigheten, utan också ett verktyg för intern kvalitetskontroll.

Utöver själva innehållet i svaret är det även viktigt hur utlämnandet genomförs rent praktiskt. GDPR anger att informationen ska lämnas ut på ett sätt som är säkert, tillgängligt och lätt att förstå. Det kan innebära att uppgifterna behöver struktureras om eller kompletteras med förklarande texter, särskilt om materialet annars blir svårt att förstås eller kan missförstås. Dessutom bör företaget ha tydliga interna riktlinjer för hur utlämnande sker med hänsyn till att adekvata säkerhetsåtgärder ska vidtas. Brister i denna del kan utgöra en överträdelse och resultera i en personuppgiftsincident även om innehållet i svaret är korrekt. Ett genomtänkt och säkert utlämnande stärker både regelefterlevnad och kundförtroende.

På Morling Consulting hjälper våra GDPR-jurister företag att säkerställa att processerna för hantering av registrerades rättigheter uppfyller kraven i GDPR.

Senaste inlägg

Illustration av processen för efterlevnad av Konsumentkreditlagen 2026 med skärpta krav för kreditgivare, kreditförmedlare och handlare.

15 januari 2026

Ny konsumentkreditlag 2026 – skärpta krav för kreditgivare, kreditförmedlare och handlare
Läs mer
Två jurister granskar ett avtal tillsammans vid ett konferensbord i en ljus, modern miljö som signalerar professionalism, struktur och samarbete.

15 januari 2026

Skriva avtal mellan företag: 8 konkreta tips när du ska skriva på 
Läs mer
Illustrerad jurist i kostym framför skrivbord med cirkulärt AML-flöde, dokumentikoner för riskbedömning, kundkännedom och rapportering för bokföringsbyrå.

14 januari 2026

AML för bokföringsbyråer – praktiska krav och fallgropar
Läs mer