Har EDPB utvidgat vad som ska omfattas av ett registerutdrag?

European Data Protection Board (EDPB) har i dagarna publicerat sin Draft Guidance till rätten till tillgång (registerutdrag) för GDPR. Rätten till tillgång innebär, förenklat, att en person har rätt att ta del av kopior av den personuppgifter som behandlas av ett personuppgiftsansvarigt företag, myndighet eller förening.

1. Ett registerutdrag omfattar personuppgifter i mycket bred bemärkelse

EDPB fastslår att personuppgifter i bred bemärkelse ska omfattas av ett registerutdrag. De exempel som lämnas är bland annat kommunikationsloggar, telefoninspelningar och minnesanteckningar. Utifrån EU-domstolens dom, särskilt i Nowak-målet, konstaterar med andra ord EDPB att minnesanteckningen i sig kan utgöra en personuppgift om det är möjligt att identifiera en person utifrån informationen i minnesanteckningen. En kopia av dessa uppgifter ska med andra ord lämnas ut om den ansvarige inte omfattas av ett av undantagen i GDPR.

2. Uppgifter i säkerhetskopior omfattas av registerutdrag

Personuppgifter i säkerhetskopior ska även lämnas ut. Det kan även vara nödvändigt att lämna närmare information om hur personuppgifter förändrats över tid om det är nödvändigt för att förstå uppgifter i säkerhetskopior.

3. Det finns ingen proportionalitetsbedömning för att avgöra vad som ska omfattas

Utgångspunkten är att en kopia av alla personuppgifter ska lämnas ut. EDPB skriver uttryckligen att det inte är aktuellt med någon proportionalitetsbedömning. Det går med andra ord inte att argumentera för att det för svårt eller arbetskrävande att lämna ut vissa personuppgifter.

Som lök på laxen tillägger EDPB att alla ansvariga utifrån Privacy by Design & Default ska säkerställa att system och register stödjer möjligheten till registerutdrag. Det kan med andra ord utgöra en överträdelse av GDPR om ett sådant stöd inte är implementerat.

4. Ett registerutdrag kan skickas ut per e-post men rättsläget är oklart vilka skyddsåtgärder som är nödvändiga

Den ansvarige har en skyldighet att aktivt underlätta för personer att ta del av sina personuppgifter. Därför konstaterar EDPB att personuppgifter får skickas per e-post. Det är dock oklart hur personuppgifterna ska skyddas. Förra veckan beslutade vår svenska tillsynsmyndighet IMY att tilldela Region Uppsala 1,9 miljoner SEK i sanktionsavgift för bristande informationssäkerhet för personuppgifter i e-post. Här finns det med andra ord skäl att vara försiktig.

5. Fotokopior av ID-handlingar bör inte skickas

EDPB är tydliga med att det är olämplig att skicka fotokopior av legitimation, pass och andra typer av ID-handlingar – både för att bekräfta en persons identitet innan kopior av personuppgifter lämnas ut samt i allmänhet. Det är sannolikt att EDPB bedömer att det som regel inte är tillåtet enligt GDPR att skicka fotokopior av ID-handlingar i e-post av säkerhetsskäl.

6. Informationen ska redovisas på en mer detaljerad nivå än i personuppgiftspolicy

I samband med att en kopiorna av personuppgifter lämnas ut ska personen även ta del av viss information. EDPB konstaterar att denna information som regel ska vara på en mycket detaljerad nivå. Till exempel ska ändamålet för respektive behandling redovisas på detaljnivå och den ansvariga bör även redovisa till vilka mottagare personuppgifter delas med (inkl. personuppgiftsbiträden).

Vår sammanfattande slutsats är att detta är en långtgående vägledning som kommer kräva ändringar av interna processer. I många fall kommer det även att kräva en uppdatering av registerförteckningen eftersom denna vägledning indirekt påverkar vilken information som behöver finnas dokumenterad.

Har du eller någon av dina kollegor frågor eller funderingar kring hur man tillgodoser registrerades rättigheter, tveka inte att höra av dig till oss på FCG.

Matilda Hansen
Manager
matilda.hansen@fcg.se

Aron Klingberg
Manager
aron.klingberg@fcg.se

Let's connect

Har EDPB utvidgat vad som ska omfattas av ett registerutdrag? Har EDPB utvidgat vad som ska omfattas av ett registerutdrag?
I want an Advisense expert to contact me about:
Har EDPB utvidgat vad som ska omfattas av ett registerutdrag?

By submitting, you consent to our privacy policy

Thank you for connecting with us

An error occurred, please try again later