GDPR och begäran om tillgång – en praktisk guide för företag
Som företag behöver ni på ett korrekt sätt enligt GDPR kunna hantera när de registrerade begär tillgång till sina personuppgifter. De registrerade har rätt att begära tillgång till sina personuppgifter enligt artikel 15 GDPR och den personuppgiftsansvarige måste kunna tillhandahålla information om bland annat behandlingsändamål, kategorier av personuppgifter och lagringstid. I detta blogginlägg ger vi en översikt av viktiga moment i denna process.
Vi utgår från vanliga praktiska utmaningar vid begäran om tillgång, vanliga typer av frågor som kommer in och hur ni kan säkerställa regelefterlevnad. Den läsare som önskar fördjupa sig i ämnet rekommenderas även det tidigare inlägget som behandlar hur en person enligt GDPR får begära ut personuppgifter.
Fallgropar vid hantering av begäranden om tillgång till personuppgifter
När en begäran om tillgång mottas riskeras flera vanliga misstag om rutinerna inte är på plats och är tydliga. En vanlig miss är att begäran inte besvaras inom tidsfristen på en månad. En annan är att information ges utan korrekt identifiering eller att för omfattande identifiering krävs innan begäran hanteras.
- Försenat svar: Inte tillräckligt snabb hantering, senast inom en månad eller kortare beroende på förfrågans omfattning.
- Otillräcklig verifiering: Bristande eller för omfattande krav på identitetsverifiering tillämpas.
- Personuppgiftsincident: Risk att känsliga uppgifter skickas ut utan lämpliga skyddsåtgärder.
- Ofullständig information: Är fallet om syfte, mottagare eller lagringstid enligt artikel 15 saknas.
- Ingen intern dokumentation: Förteckning över behandlingarna saknas enligt artikel 30 GDPR.
Dessa fallgropar kan leda till klagomål till Integritetsskyddsmyndigheten. Det är därför viktigt att ha tydliga processer, säkra överföringsrutiner och dokumentation för hur begäranden ska hanteras – så att det blir rätt varje gång.
Exempel på vad registrerade kan be om tillgång till
Många registrerade vänder sig till företag med specifika frågor om hur personuppgifter hanteras. Vanliga exempel inkluderar frågor om hur data har samlats in, var den lagras, vilka tredje parter den delas med och hur länge den sparas.
-
- Hur samlades mina uppgifter in? (exempelvis via webbformulär).
- För vilka syften lagras mina personuppgifter och hur länge? (retentionstid).
- Mottagare utanför organisationen (tredje parter, underleverantörer).
- Används data för automatiserat beslutsfattande eller profileringsändamål?
Dessa frågor ska kunna ställas för att kontrollera att behandlingen är laglig och utförs enligt GDPR:s regler. Ert svar behöver vara tydligt, fullständigt och följa GDPR:s krav. Det skapar förtroende och minskar risken för klagomål.
Complianceperspektiv på en begäran om tillgång
Ur ett complianceperspektiv är hantering av en begäran om tillgång ett tydligt sätt att visa att ni uppfyller GDPR:s krav på transparens, rättslig grund och dokumentation. Saknas rutiner är det svårt att visa ansvar och uppfylla principen om ansvarsskyldighet enligt artikel 5 GDPR.
För att säkerställa regelefterlevnad bör ni införa standardiserade processer för:
-
-
- Identifiering och verifiering av identitet.
- Tidsmässigt svara inom en månad, eller bedöma en kortare eller längre svarstid i vissa fall.
- Standardiserade och säkrade leveransformat (exempelvis krypterad PDF).
- Intern dokumentation och loggning av alla begäranden enligt artikel 30.
- Utbildning till personal om registrerades rättigheter.
-
Genom att implementera dessa rutiner kan ni både säkerställa regelefterlevnad och effektiv hantering av begäran. Det skapar trygghet både internt och gentemot tillsynsmyndigheter.
Tillgångshantering är bara ett av flera områden där våra GDPR-jurister kan bistå med stöd. Vi erbjuder praktisk rådgivning och hjälp med att etablera processer för tillgångsbegäran, dokumentationsrutiner och intern utbildning. Vi kan även granska era befintliga rutiner med avseende på regelefterlevnad.
