När PUL är borta, dansar rättshaveristerna på bordet - eller?

Så hanterar du begäran om registerutdrag enligt GDPR

Det är sedan länge känt att bland annat myndigheter och offentliga organ tenderar att drabbas av så kallade rättshaverister – personer som, enligt Svenska Akademins ordlista, ”påstridigt hävdar sin rätt”, ofta i juridiska sammanhang. Trots att deras ärenden många gånger kan tyckas orimliga, måste de ändå enligt lag bemötas – oavsett bifall eller ej. Något som riskerar att leda till omfattande och tidskrävande arbete för de anställda som måste handlägga ärendena. Det kan exempelvis avse en begäran om registerutdrag av sina personuppgifter, vilket enligt PUL är begränsat till en gång per kalenderår. Men när nu PUL snart upphävs och ersätts av GDPR är frågan hur sådana ärenden ska hanteras, då registerutdrag kan begäras obegränsat antal gånger. Dessutom ska den sökande få betydligt mer information om personuppgiftsbehandlingen. Många ser nog framför sig en kö likt till karusellerna på Gröna lund utanför myndigheterna den 25 maj. Det behöver dock inte bli så. Nedan följer tips på hur du kan förbereda din verksamhet för de nya reglerna.

Registerutdrag i enlighet med PUL respektive GDPR

26 § PUL

I nuläget är PUL fortfarande gällande lag vari det föreskrivs att den personuppgiftsansvarige (myndighet, företag, organisation eller liknande) är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. För det fall personuppgifterna behandlas, ska den sökande även få skriftlig information om vilka uppgifter som avses med behandlingen, varifrån de är hämtade, ändamålen med behandlingen samt till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut (26 § PUL). Informationen ska lämnas till den sökande inom en månad från att ansökan gjordes. Vid särskilda skäl kan tidsfristen förlängas till högst fyra månader.

Artikel 12 – 15 GDPR

När PUL upphävs den 25 maj och ersätts av den nya dataskyddsförordningen förstärks de registrerades rättigheter. De ges en rätt att få sina uppgifter rättade eller raderade eller att personuppgiftsbehandlingen begränsas. De kommer även kunna få sina personuppgifter flyttade till en annan personuppgiftsansvarig (dataportabilitet), samt att kunna invända mot behandling. Som tidigare kommer de fortsatt ha rätt till upplysning om deras personuppgifter behandlas hos den personuppgiftsansvarige och även kunna begära att få ut dem genom ett registerutdrag. Skillnaden är att det kommer kunna göras ett obegränsat antal gånger.

Även personuppgiftsansvarigas informationsplikt utvidgas. Vid utlämnande av registerutdrag måste de nu informera om den rättsliga grunden för personuppgiftsbehandlingen samt om möjligheten att lämna klagomål hos Datainspektionen om man anser att fel har begåtts. Informationen ska tillhandahållas konstandsfritt i en lättillgänglig och skriftlig form med ett klart och tydligt språk. Om den personuppgiftsansvarige omöjligen kan identifiera den sökande, får informationen vägras lämnas ut. Informationen ska sedan utan dröjsmål tillhandahålla den registrerade information, senast inom en månad från det att ansökan gjordes. Utöver den information som måste utgå enligt 26 § PUL, föreskrivs det i GDPR ytterligare information som ska bifogas vid registerutdrag. Det är bland annat kontaktuppgifter till den personuppgiftsansvarige och till eventuellt dataskyddsombud, den rättsliga grunden till behandlingen, samt den tidsperiod som uppgifterna kommer att lagras. Det ska dessutom framgå att den registrerade har rätt att få uppgifterna rättade vid faktafel eller helt raderade, samt att behandlingen begränsas.

De nya bestämmelserna genomsyras av de principer som är kärnan i GDPR – att all personuppgiftsbehandling ska präglas av öppenhet, laglighet och skälighet. De registrerade ska enkelt kunna få insyn i hur deras personuppgifter används, och att detta ska förmedlas på ett begripligt och lättillgängligt sätt. Informationen ska vara kortfattad, med ett klart och tydligt språk. Det förutsätter dock att personuppgiftsansvariga så som myndigheter, organisationer, företag etc. fastställer rutiner för att på bästa sätt kunna hantera begäranden om registerutdrag och för att den registrerade ska kunna ta tillvara sina rättigheter. Den personuppgiftsansvarige ska helt enkelt utge all information som säkerställer en rättvis och transparent personuppgiftsbehandling, beaktat sitt sammanhang och rådande omständigheter. 

Begränsningar enligt GDPR

I vissa fall är det dock inte alltid nödvändigt att införa någon skyldighet för de personuppgiftsansvariga att tillhandahålla information till den registrerade. Det gäller exempelvis om denne redan har den önskade informationen eller om utlämnande av personuppgifterna uttryckligen föreskrivs i lag. Dessutom kan utdragsskyldigheten begränsas av om det visar sig vara omöjligt eller medför orimliga ansträngningar att tillhandahålla den registrerade informationen (se skäl 62 i förordningen).  

Offentlighetsprincipen i förhållande till GDPR

Dataskyddsförordningen ger visst utrymme vid tillämpning av bestämmelserna att ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Vid förekomsten av personuppgifter i allmänna handlingar som innehas av en myndighet eller ett offentligt organ kan dessa lämnas ut offentligt om det föreskrivs i nationell rätt. I Sverige regleras detta genom offentlighetsprincipen, vilken är lagstadgad i Tryckfrihetsförordningen (TF) och som föreskriver en rätt för var och en att ta del av allmänna handlingar. Detta får dock begränsas med hänsyn till landets säkerhet eller för brottsförebyggande åtgärder. Sammanfattningsvis har alltså TF företräde framför GDPR vad avser allmänna handlingars offentlighet i syfte att förena allmänhetens rätt att få tillgång till sådant material med rätten till skydd av personuppgifter i enlighet med GDPR.

Missbruksregelns dagar är räknade

Viktigt att ha i åtanke när GDPR träder ikraft är att den så kallade missbruksregeln enligt PUL helt tas bort. Missbruksregeln innebär att personuppgifter som förekommer i ostrukturerat material (e-post, på Internet, i listor på datorn etc.) omfattas av enklare regler. I och med GDPR kommer dock även sådant material att omfattas av samma regler som för personuppgifter i exempelvis databaser och ärendehanteringssystem. Därför måste exempelvis även behandlingen av personuppgifter i mejl baseras på en rättslig grund, samt att de registrerade ska få information om behandlingen.   

Begäran av registerutdrag efter den 25 maj – hur hantera?

Enligt en undersökning gjord av CRM-leverantören Pegasystems kommer fyra av fem svenskar att utnyttja sina utvidgade rättigheter i enlighet med GDPR. Rapporten visade även att de främsta anledningarna till att som privatperson begära ut registerutdrag skulle vara om man upptäckte att ett företag sålt information om denna till andra företag, eller efter att ha fått motta reklam för irrelevanta produkter, eller slutligen om man blivit uppringd av telefonförsäljare. Dessutom angav nästan hälften av de svenska storföretagens chefer att de saknar rutiner och strategier för att kunna leva upp till de nya kraven.

Så hur ska man som personuppgiftsansvarig tänka vid hantering av begäran om registerutdrag – eller motförmodan – ihärdiga rättshaverister som är redo att tillvarata sina förstärkta rättigheter enligt GDPR? Till att börja med bör det göras en kartläggning över hur begäranden om registerutdrag hanteras idag, och göra en konsekvensanalys kring hur det står sig gentemot de nya bestämmelserna. Kanske krävs det inte att man upprättar helt nya rutiner för hanteringen, utan att de befintliga justeras så att det klart och tydligt framgår vad som gäller. Vilken information som ska utgå och inom vilka tidsramar. Dessutom gäller det att se till att kunna motivera all personuppgiftsbehandling så att den vilar på en rättslig grund. Därtill kan det rekommenderas att informera de anställda som ska hantera förfrågningar likt registerutdrag om när det är befogat och inte – med hänsyn till tidsomfång och arbetsbelastning. Att helt enkelt upprätta tydliga instruktioner som hela verksamheten har tillgång till.  

Viktigt är också att kartlägga vilka personuppgifter som idag behandlas med stöd av missbruksregeln och bestämma hur dessa ska hanteras framöver och på vilken rättslig grund de möjligen fortsättningsvis kan behandlas.

Så ingen anledning att drabbas av panik. Rättshaverister må komma och gå, men så länge man arbetar enligt GDPR och upprättar tydliga rutiner för hantering av ibland mer eller mindre komplicerade ärenden, så kommer verksamheten att bestå.

Vill du fler analyser och guider inom rättsområdet? 

Läs mer om våra informationstjänster, utbildningar och rådgivning här

Senast uppdaterad 5 mar 2018

Mer om IT och dataskydd

Utbildningar

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området