Rätten att få tillgång till personuppgifter – process, skyldigheter och rättssäker hantering

5 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 26 augusti 2025
  1. Utformning av intern process för att få insyn i personuppgifter
  2. Hur du svarar korrekt på en begäran om tillgång
  3. Sanktioner, praxis och proaktivt arbete

Rättigheterna enligt artikel 15 i GDPR är några av de mest grundläggande rättigheterna registrerade får från GDPR. De innebär att en individ har rätt att få veta om en organisation behandlar personuppgifter om denne och i så fall få tillgång till dessa. Det stärker individens kontroll över sina personuppgifter och skapar en tydlig skyldighet för personuppgiftsansvariga att agera öppet transparent. Läs mer om hur en individ kan begära ut personuppgifter enligt GDPR.

För organisationer innebär detta en skyldighet att snabbt, korrekt och strukturerat kunna svara på begäran om att få tillgång. Detta ställer krav på företagets processer och personalens kunskap då ett slarvigt eller ofullständigt svar kan leda till tillsyn, sanktionsavgifter eller skada på förtroendet. Detta är särskilt relevant när behandlingen är omfattande eller av andra orsaker känslig.

Utformning av intern process för att få insyn i personuppgifter

En välfungerande intern process är avgörande för att hantera begäranden om tillgång rättssäkert och i tid. GDPR kräver att svar lämnas inom en månad från att begäran mottagits, med möjlighet till förlängning vid komplexa förfrågningar. Att svar ska lämnas inom en månad är inte samma sak som att den personuppgiftsansvarige alltid har en månad på sig att svara, den tid som företaget kan använda beror på vad den registrerade ber om. Om förfrågan exempelvis avser om en e-postadress används för att skicka digital direktmarknadsföring bör en sådan förfrågan kunna besvaras betydligt snabbare än så, kanske till och med på någon eller några dagar beroende på omständigheterna i det enskilda fallet.

Det kräver att det finns tydliga rutiner, tekniska lösningar och ansvarsfördelning internt. Rutinerna bör inte bara omfatta tidsramarna utan även hur företaget ska arbeta för att göra de olika värderingar som kan behövas. Följande delar bör beaktas:

  • Mottagande: En central kanal (exempelvis dataskydd@dittforetag.se) minimerar risken att en begäran missas.
  • Identifiering: Kontrollera identiteten, särskilt höga säkerhetsåtgärder krävs om det handlar om känsliga uppgifter (använd exempelvis BankID).
  • Dokumentation: Samtliga åtgärder loggas, inklusive tidpunkter och innehåll för att kunna visa på efterlevnad om det skulle ifrågasättas. För detta ändamål behöver legal grund fastställas.
  • Bedömning: Gör en behovsanalys – vilka uppgifter omfattas? Finns undantag (exempelvis tredje mans rättigheter)?
  • Överlämning: Använd en säker metod för att lämna ut uppgifter, exempelvis krypterad filöverföring.

Processen bör testas regelbundet och vara förankrad hos relevanta funktioner, inklusive IT, HR och kundservice. Det är också klokt att skapa standardiserade svarsmallar för att säkerställa enhetlighet och undvika bristande efterlevnad.

Hur du svarar korrekt på en begäran om tillgång

Ett korrekt svar på en begäran om tillgång måste vara fullständigt, begripligt och lämnas utan onödigt dröjsmål. Det räcker inte att skicka ut personuppgifter – informationen måste presenteras på ett strukturerat sätt och innehålla alla de element som anges i artikel 15.

  • Bekräftelse: Inled med att bekräfta mottagandet och ange inom vilken tid svar kommer att ges.
  • Behandlingsinformation: Ange vilka personuppgifter som behandlas, varför de behandlas och hur länge uppgifterna lagras.
  • Utlämning av uppgifter: Bifoga en kopia av de aktuella personuppgifterna i ett lättillgängligt format.
  • Kompletterande information: Informera om rätten att begära rättelse, radering, begränsning, invända mot behandling samt klaga till Integritetsskyddsmyndigheten.

Om vissa uppgifter inte lämnas ut, exempelvis på grund av att de rör tredje part, ska detta tydligt motiveras. Samma sak gäller om en begäran avslås – då krävs en rättsligt förankrad motivering. Det är också viktigt att dokumentera sådana typer av beslut i ärendet, inklusive tidpunkter och involverade funktioner.

Sanktioner, praxis och proaktivt arbete

Integritetsskyddsmyndigheten har i flera beslut betonat vikten av att svara korrekt på begäran om tillgång. Bristande hantering kan leda till både anmärkningar och sanktionsavgifter – särskilt vid upprepade eller systematiska brister.

Genom att arbeta proaktivt med rutiner, utbildning och teknisk beredskap kan riskerna minska avsevärt. Det handlar inte bara om regelefterlevnad, utan även om att bygga förtroende hos kunder, anställda och andra registrerade.

Morling Consultings GDPR-konsulter erbjuder rådgivning kring hela processen – från kartläggning av flöden av personuppgifter och upprättande av dokumenterade rutiner, till utbildning av personal och stöd vid konkreta begäranden. Vi hjälper även till att granska befintliga processer och föreslår förbättringar ur ett dataskyddsperspektiv.

Senaste inlägg

Två personer skakar hand över ett avtal.

12 december 2025

Så vet du när du behöver stöd av en affärsjurist
Läs mer
tre personer står över ett bord och diskuterar något som finns på en datorskärm.

12 december 2025

När det känns som att GDPR tar all fokus – hyr in en konsult
Läs mer
Bilden visar tre personer i kostym sitter och diskuterar ett dokument.

9 december 2025

Så påverkar penningtvättslagen finansiell reglerad verksamhet
Läs mer