Logga in

Glömt ditt lösenord?

När PUL är borta, dansar rättshaveristerna på bordet - eller?

Så hanterar du begäran om registerutdrag enligt GDPR

Det är sedan länge känt att bland annat myndigheter och offentliga organ tenderar att drabbas av så kallade rättshaverister – personer som, enligt Svenska Akademins ordlista, ”påstridigt hävdar sin rätt”, ofta i juridiska sammanhang. Trots att deras ärenden många gånger kan tyckas orimliga, måste de ändå enligt lag bemötas – oavsett bifall eller ej. Något som riskerar att leda till omfattande och tidskrävande arbete för de anställda som måste handlägga ärendena. Det kan exempelvis avse en begäran om registerutdrag av sina personuppgifter, vilket enligt PUL är begränsat till en gång per kalenderår. Men när nu PUL snart upphävs och ersätts av GDPR är frågan hur sådana ärenden ska hanteras, då registerutdrag kan begäras obegränsat antal gånger. Dessutom ska den sökande få betydligt mer information om personuppgiftsbehandlingen. Många ser nog framför sig en kö likt till karusellerna på Gröna lund utanför myndigheterna den 25 maj. Det behöver dock inte bli så. Nedan följer tips på hur du kan förbereda din verksamhet för de nya reglerna.

Registerutdrag i enlighet med PUL respektive GDPR

26 § PUL

I nuläget är PUL fortfarande gällande lag vari det föreskrivs att den personuppgiftsansvarige (myndighet, företag, organisation eller liknande) är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. För det fall personuppgifterna behandlas, ska den sökande även få skriftlig information om vilka uppgifter som avses med behandlingen, varifrån de är hämtade, ändamålen med behandlingen samt till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut (26 § PUL). Informationen ska lämnas till den sökande inom en månad från att ansökan gjordes. Vid särskilda skäl kan tidsfristen förlängas till högst fyra månader.

Artikel 12 – 15 GDPR

När PUL upphävs den 25 maj och ersätts av den nya dataskyddsförordningen förstärks de registrerades rättigheter. De ges en rätt att få sina uppgifter rättade eller raderade eller att personuppgiftsbehandlingen begränsas. De kommer även kunna få sina personuppgifter flyttade till en annan personuppgiftsansvarig (dataportabilitet), samt att kunna invända mot behandling. Som tidigare kommer de fortsatt ha rätt till upplysning om deras personuppgifter behandlas hos den personuppgiftsansvarige och även kunna begära att få ut dem genom ett registerutdrag. Skillnaden är att det kommer kunna göras ett obegränsat antal gånger.

Även personuppgiftsansvarigas informationsplikt utvidgas. Vid utlämnande av registerutdrag måste de nu informera om den rättsliga grunden för personuppgiftsbehandlingen samt om möjligheten att lämna klagomål hos Datainspektionen om man anser att fel har begåtts. Informationen ska tillhandahållas konstandsfritt i en lättillgänglig och skriftlig form med ett klart och tydligt språk. Om den personuppgiftsansvarige omöjligen kan identifiera den sökande, får informationen vägras lämnas ut. Informationen ska sedan utan dröjsmål tillhandahålla den registrerade information, senast inom en månad från det att ansökan gjordes. Utöver den information som måste utgå enligt 26 § PUL, föreskrivs det i GDPR ytterligare information som ska bifogas vid registerutdrag. Det är bland annat kontaktuppgifter till den personuppgiftsansvarige och till eventuellt dataskyddsombud, den rättsliga grunden till behandlingen, samt den tidsperiod som uppgifterna kommer att lagras. Det ska dessutom framgå att den registrerade har rätt att få uppgifterna rättade vid faktafel eller helt raderade, samt att behandlingen begränsas.

De nya bestämmelserna genomsyras av de principer som är kärnan i GDPR – att all personuppgiftsbehandling ska präglas av öppenhet, laglighet och skälighet. De registrerade ska enkelt kunna få insyn i hur deras personuppgifter används, och att detta ska förmedlas på ett begripligt och lättillgängligt sätt. Informationen ska vara kortfattad, med ett klart och tydligt språk. Det förutsätter dock att personuppgiftsansvariga så som myndigheter, organisationer, företag etc. fastställer rutiner för att på bästa sätt kunna hantera begäranden om registerutdrag och för att den registrerade ska kunna ta tillvara sina rättigheter. Den personuppgiftsansvarige ska helt enkelt utge all information som säkerställer en rättvis och transparent personuppgiftsbehandling, beaktat sitt sammanhang och rådande omständigheter. 

Begränsningar enligt GDPR

I vissa fall är det dock inte alltid nödvändigt att införa någon skyldighet för de personuppgiftsansvariga att tillhandahålla information till den registrerade. Det gäller exempelvis om denne redan har den önskade informationen eller om utlämnande av personuppgifterna uttryckligen föreskrivs i lag. Dessutom kan utdragsskyldigheten begränsas av om det visar sig vara omöjligt eller medför orimliga ansträngningar att tillhandahålla den registrerade informationen (se skäl 62 i förordningen).  

Offentlighetsprincipen i förhållande till GDPR

Dataskyddsförordningen ger visst utrymme vid tillämpning av bestämmelserna att ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Vid förekomsten av personuppgifter i allmänna handlingar som innehas av en myndighet eller ett offentligt organ kan dessa lämnas ut offentligt om det föreskrivs i nationell rätt. I Sverige regleras detta genom offentlighetsprincipen, vilken är lagstadgad i Tryckfrihetsförordningen (TF) och som föreskriver en rätt för var och en att ta del av allmänna handlingar. Detta får dock begränsas med hänsyn till landets säkerhet eller för brottsförebyggande åtgärder. Sammanfattningsvis har alltså TF företräde framför GDPR vad avser allmänna handlingars offentlighet i syfte att förena allmänhetens rätt att få tillgång till sådant material med rätten till skydd av personuppgifter i enlighet med GDPR.

Missbruksregelns dagar är räknade

Viktigt att ha i åtanke när GDPR träder ikraft är att den så kallade missbruksregeln enligt PUL helt tas bort. Missbruksregeln innebär att personuppgifter som förekommer i ostrukturerat material (e-post, på Internet, i listor på datorn etc.) omfattas av enklare regler. I och med GDPR kommer dock även sådant material att omfattas av samma regler som för personuppgifter i exempelvis databaser och ärendehanteringssystem. Därför måste exempelvis även behandlingen av personuppgifter i mejl baseras på en rättslig grund, samt att de registrerade ska få information om behandlingen.   

Begäran av registerutdrag efter den 25 maj – hur hantera?

Enligt en undersökning gjord av CRM-leverantören Pegasystems kommer fyra av fem svenskar att utnyttja sina utvidgade rättigheter i enlighet med GDPR. Rapporten visade även att de främsta anledningarna till att som privatperson begära ut registerutdrag skulle vara om man upptäckte att ett företag sålt information om denna till andra företag, eller efter att ha fått motta reklam för irrelevanta produkter, eller slutligen om man blivit uppringd av telefonförsäljare. Dessutom angav nästan hälften av de svenska storföretagens chefer att de saknar rutiner och strategier för att kunna leva upp till de nya kraven.

Så hur ska man som personuppgiftsansvarig tänka vid hantering av begäran om registerutdrag – eller motförmodan – ihärdiga rättshaverister som är redo att tillvarata sina förstärkta rättigheter enligt GDPR? Till att börja med bör det göras en kartläggning över hur begäranden om registerutdrag hanteras idag, och göra en konsekvensanalys kring hur det står sig gentemot de nya bestämmelserna. Kanske krävs det inte att man upprättar helt nya rutiner för hanteringen, utan att de befintliga justeras så att det klart och tydligt framgår vad som gäller. Vilken information som ska utgå och inom vilka tidsramar. Dessutom gäller det att se till att kunna motivera all personuppgiftsbehandling så att den vilar på en rättslig grund. Därtill kan det rekommenderas att informera de anställda som ska hantera förfrågningar likt registerutdrag om när det är befogat och inte – med hänsyn till tidsomfång och arbetsbelastning. Att helt enkelt upprätta tydliga instruktioner som hela verksamheten har tillgång till.  

Viktigt är också att kartlägga vilka personuppgifter som idag behandlas med stöd av missbruksregeln och bestämma hur dessa ska hanteras framöver och på vilken rättslig grund de möjligen fortsättningsvis kan behandlas.

Så ingen anledning att drabbas av panik. Rättshaverister må komma och gå, men så länge man arbetar enligt GDPR och upprättar tydliga rutiner för hantering av ibland mer eller mindre komplicerade ärenden, så kommer verksamheten att bestå.

Vill du fler analyser och guider inom rättsområdet? 

Läs mer om våra informationstjänster, utbildningar och rådgivning här

Publicerad 5 mar 2018

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Skyddade personuppgifter i skolan

Skyddade personuppgifter i skolan

Utveckling och inköp av digitala tjänster – de legala kraven

Utveckling och inköp av digitala tjänster – de legala kraven

Offentlighet, sekretess och outsourcing av IT tjänster inom den offentliga verksamheten

Offentlighet, sekretess och outsourcing av IT tjänster inom den offentliga verksamheten

Se alla kurser inom it och dataskydd

Tjänster

Se alla tjänster inom it och dataskydd

Nyheter

Kraftig ökning av cyberangrepp under förra året

IT och dataskydd

Antalet försök till cyberangrepp ökade kraftigt mot statliga myndigheter och leverantörer av samhällsviktiga tjänster under 2023. Det framgår av MSB:s årsredovisning av it-incidentrapporter. 

8 apr 2024

Dömde kammarrätten rätt i MedHelp-målet?

IT och dataskydd

Vår expert Monika Wendleby går i den här analysen igenom avgörandet utifrån olika EU-rättskällor.

8 apr 2024

Värdet av spårbarhet ur GDPR-synvinkel

IT och dataskydd

I denna analys reder vår expert Jakob Söderbaum ut begreppen, beskriver behovet och förutsättningarna för att jobba med spårbarhet med utgångspunkt i GDPR, och framhåller värdet av spårbarhet i den digitala miljön ur dataskyddssynvinkel.

12 mar 2024

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Genom att välja "acceptera" samtycker du till att cookies används. Läs mer

  • Inloggning och sessionshantering

    Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.

    Cookie-namn:
    • .JpLogin
    • ASP.NET_SessionId
    Godkännande av kakor

    Denna kaka används för att hålla reda på vilka kakor som användaren accepterat att vi lagrar.

    Cookie-namn:
    • jp-cookies
    Federerad inloggning

    Denna kaka sätts för användare som använder federerad inloggning.

    Cookie-namn:
    • FedAuth
    Kursutvärderingar

    Denna kaka sätts för användare som skickat in kursutvärderingar.

    Cookie-namn:
    • CourseEvaluations
  • Filnedladdning

    Denna kaka håller reda på om användaren har lämnat sin e-postadress när den ska ladda ner en fil från den publika sajten.

    Cookie-namn:
    • JP_Download
    Webbkursexaminationer

    Kakan möjliggör för webbkursexamintioner för användare utan personligt konto.

    Cookie-namn:
    • ExamStudentId
    Solidtango

    Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.

    Cookie-namn:
    • JSESSIONID
    • _fanplay_session
    Twitter

    Sparar språkval för Twitter-flödet.

    Cookie-namn:
    • lang
    Google Analytics

    Denna kaka används för att särskilja användare.

    Cookie-namn:
    • _gali
    Form Apsis One

    Denna kaka används för inbäddade formulär.

    Cookie-namn:
    • form.apsis.one
  • Google Analytics

    Kakor som används för besöksmätning.

    Cookie-namn:
    • _ga
    • _gid
    • _gat
    Hot Jar

    Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.

    Cookie-namn:
    • _hjIncludedInSample
    • _hjid
    Upplysningscentralen (UC)

    Används för risksigillet i sidfoten på publik sajt.

    Cookie-namn:
    • www.uc.se
    Apsis One

    Används för att analysera användarbeteende och skräddarsy marknadsföring.

    Cookie-namn:
    • Apsis One
  • Google Advertising

    Kakor för Google Advertising

    Cookie-namn:
    • test_cookie
    • IDE
    ProspectEye (Apsis Lead)

    Kaka för att spara IP-adresser för att identifiera företag eller organisationer som besöker webbsidan.

    Cookie-namn:
    • 3135848f46