Hur kan vi göra rätten till registerutdrag till vinna-vinna?

2017-06-07

En transparent process för registerutdrag kan bli en konkurrensfördel samt tids- och kostnadsbesparing för din verksamhet. Tänk annorlunda och innovativt och dina registerutdrag kan plötsligt bli till din fördel. Följ med i Ateas fördjupade anlyser inom GDPR.

Carl-Magnus Brandt
Carl-Magnus Brandt Specialist Säkerhet

Vad säger lagen idag?

Rätten till registerutdrag finns redan idag enligt §26 i PUL och detta förtydligas i artikel 15 i dataskyddsförordningen (GDPR). Just rätten till registerutdrag och rätten till att bli bortglömd blev tidigt ämnen som diskuterades och hur man skulle kunna lösa dem. Det finns även fall där företag som har lämnat ut personlig uppgifter efter begäran insett att det kanske går med ett fåtal per år men om detta skulle bli mer frekvent skulle det bli ytterst kostnadsdrivande och därför börjat titta på alternativa lösningar som underlättar proceduren för både registrerad och personuppgiftsansvarig. 

 

Vad innebär det egentligen för dig som kund (registrerad) och för dig som företag (personuppgiftsansvarig)?

 

Registrerad

Du som registrerad har rätt att vända dig till en personuppgiftsansvarig och begära att få veta vilka personuppgifter som behandlas av den personuppgiftsansvarige som rör dig som person. Du har inte rätt att få ta del av personuppgifter som omfattas av tystnadsplikt eller skyddas av sekretesslagstiftning. Tystnadsplikt skulle kunna tolkas som personuppgifter som behandlas i samband med exempel antagningsprocedur med psykologiska bedömningar. Sekretess skulle kunna tolkas som personuppgifter som behandlas i samband med försvars- eller utredningssekretess.

 

Personuppgiftsansvarig

Du som personuppgiftsansvarig är skyldig att tillmötesgå en kostnadsfri kopia till den registrerade på begäran, omfattandes bl a ändamål med behandlingen, kategorier av personuppgifterna, hur den registrerade har möjlighet att korrigera personuppgifterna mm. Detta ska ske inom en månad från det att begäran inkommit. Du ska även kunna styrka identiteten på den som efterfrågar informationen för att säkerställa att personlig information inte delges obehörig.

Om du som personuppgiftsansvarig även har delat uppgifterna till tredje land ska du ha säkerställt att personuppgifterna har givits lämpliga skyddsåtgärder enligt artikel 46, där det bl a innebär att du behöver kontrollera och följa upp rättssäkerheten i tredje land.

 

Undantag

Personuppgifter i löpande text, minnesanteckning eller i utkastform och det som enligt OSL ej är att betrakta som sk allmän handling samt även personuppgifter som omfattas av någon form av sekretess är undantagna.

Registerutdrag som är uppenbart ogrundade, orimliga eller av repetitiv form får nekas eller påföras en administrativ avgift. Detta kan tänkas vara tillfällen då en individ frekvent ber om registerutdrag från samma verksamhet eller att jag som person begär ut information som det är osannolikt att verksamheten behandlar pga ex långt tillbaka i tiden eller   

 

Vad innebär då allt detta?

Du som personuppgiftsansvarig har långtgående krav på kännedom om var, hur och varför du behandlar personuppgifter. Du ska även kunna sammanställa dessa och presentera dem på ett lättförståeligt sätt på begäran från den registrerade. Detta kan du uppnå till viss del med artikel 30, ett register över behandling, detta är din karta. I ditt register identifierar du vilka personliga uppgifter du behandlar och kan även identifiera uppgifter som du inte bör behandla.

 

Av detta kan vi dra några slutsatser

Dataminimering bör eftersträvas som grundförfarande, ju mindre information du har desto mindre behöver du ha kontroll över. Flera aktörer (bl a Twitter) har tagit fram innovativa lösningar där den registrerade får insyn i vilken typ av personuppgifter som behandlas genom att man loggar in på sin profil och där kan ändra, radera och lägga till uppgifter. Detta innebär sannolikt en stor kostnadsbesparing samt ett transparent förhållningsätt till den registrerade.

Jag tror att lösningar som denna komma att vara intressanta för många verksamheter. Det innebär att kunden får mer inflytande och påverkansmöjlighet över sin personliga data och det är ju en utav dataskyddsförordningens huvudsyften.

 

Vill du veta mer?

Besök gärna https://www.atea.se/tjanster/it-sakerhet/ om du har frågor kring GDPR eller informationssäkerhet i allmänhet.