Rätten till tillgång till uppgifter
En registrerad har rätt att av den personuppgiftsansvarige få en bekräftelse på att denne behandlar personuppgifter som gäller honom eller henne. På så sätt har den registrerade möjlighet att bedöma och säkerställa att behandlingen är lagenlig.
Om uppgifter om en registrerad behandlas, ska den personuppgiftsansvarige ge honom eller henne en kopia av de personuppgifter som behandlas. Om den registrerade framför begäran elektroniskt, ska uppgifterna lämnas ut i en elektronisk form som är i allmän användning, förutom om den registrerade begär en annan form.
Därtill har den registrerade rätt att få följande uppgifter:
- om huruvida hans eller hennes personuppgifter behandlas eller inte
- behandlingens syften
- de kategorier av personuppgifter som behandlas
- de mottagare eller kategorier av mottagare till vilka personuppgifter har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer
- skyddsåtgärder, om personuppgifter överförs till ett tredje land eller en internationell organisation
- den planerade förvaringstiden för personuppgifterna och om det inte är möjligt, kriterierna för fastställande av förvaringstiden
- en registrerads rätt att till den personuppgiftsansvarige framföra en begäran om att personuppgifter som gäller honom eller henne själv rättas eller raderas eller att behandlingen av personuppgifter begränsas samt rätten att göra invändning mot sådan behandling
- rätten att lämna in klagomål till tillsynsmyndigheten
- om personuppgifter inte samlas in av den registrerade, alla tillgängliga uppgifter om uppgifternas ursprung
- eventuell användning av automatiskt beslutsfattande (inkl. profilering), betydelsefulla uppgifter om behandlingslogiken, den berörda behandlingens betydelse och eventuella konsekvenser för den registrerade.
Personen ska ges information om behandlingen av just de egna personuppgifterna. Den personuppgiftsansvarige ska alltså vid behov från fall till fall sammanställa de uppgifter som ska ges till den registrerade. Enbart en hänvisning till dataskyddsbeskrivningen räcker inte alltid.
Den registrerade ska till exempel ges exakta uppgifter om ändamålen med behandlingen av hans eller hennes personuppgifter och om mottagarna eller mottagargrupperna. Den personuppgiftsansvarige ska på den registrerades begäran benämna uppgifternas verkliga mottagare, såvida det inte är omöjligt att identifiera mottagarna.
Hur snabbt ska den personuppgiftsansvarige besvara en begäran av en registrerad?
Den personuppgiftsansvarige ska svara till den registrerade utan oskäligt dröjsmål, i varje fall inom en månad från mottagandet av begäran. I svaret ska den personuppgiftsansvarige redogöra för de åtgärder som denne vidtagit med anledning av begäran.
Om antalet begäranden är många eller om de är komplicerade, kan den personuppgiftsansvarige i sitt svar meddela att mer tid behövs för handläggningen. I så fall kan den utsatta tiden förlängas med högst två månader. Förlängningen av den utsatta tiden ska motiveras.
Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till tillsynsmyndigheten och att använda andra rättsmedel.
Är det möjligt att vägra att tillmötesgå en begäran?
Huvudregeln är att den registrerades rättighet tillgodoses. Rätten kan begränsas endast av skäl som grundar sig på lag.
Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den ha en lagenlig grund för vägran. Grunderna för vägran regleras i artikel 12 och artikel 15.4 i den allmänna dataskyddsförordningen samt i 31 och 34 § i dataskyddslagen. Den registrerade kan överföra ärendet för behandling av dataombudsmannen.
Den personuppgiftsansvarige kan vägra att tillmötesgå den registrerades begäran i dessa situationer:
- Rätten att få en kopia av uppgifterna skulle ha en skadlig inverkan på övriga rättigheter och friheter.
- Den registrerades begäranden är uppenbart omotiverade eller orimliga i synnerhet om de framförs på återkommande sätt.
- Den personuppgiftsansvarige ska kunna visa att en begäran är uppenbart omotiverad eller orimlig.
- Alternativt kan den personuppgiftsansvarige ta ut en rimlig avgift för tillmötesgåendet av begäran.
- Lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott.
- Lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter.
- Personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas.
När personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller för statistikföring får undantag på vissa villkor göras från den registrerades rätt till tillgång till uppgifter.
Om grunden för vägran gäller enbart en del av uppgifterna, har den registrerade rätt att få information om andra uppgifter som gäller honom.
Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Den registrerade ska underrättas om orsakerna till vägran, om det inte äventyrar syftet med vägran. Den personuppgiftsansvarige ska också underrätta den registrerade om dennes möjlighet att framföra klagomål till tillsynsmyndigheten och använda andra rättsmedel.
Om den personuppgiftsansvariga vägrar genomföra rätten ska de begärda uppgifterna ges till dataskyddsombudsmannen på den registrerades begäran.
Rätten kan också begränsas till exempel på grund av att den skulle skada andra människors rättigheter och friheter.
Om de uppgifter som lämnas till den registrerade också innehåller uppgifter om andra personer, ska den registeransvarige överväga om utlämnandet av uppgifterna kan äventyra deras rättigheter och frihet. Den personuppgiftsansvarige kan ändå inte automatiskt vägra att lämna ut uppgifter till den registrerade endast för att uppgifterna också innehåller uppgifter om andra personer. Den personuppgiftsansvarige ska alltså göra en prövning från fall till fall.
Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att den registrerades rätt att få tillgång till uppgifter om sig själv ska tillgodogöras i så fullständig utsträckning som möjligt. Det här kan till exempel innebära att andra personers personuppgifter täcks över, såsom att skyla andra personer på en videoinspelning.
Hur ska den registrerade framställa en begäran om att få ta del av uppgifterna?
Dataskyddsförordningen innehåller inga formkrav på begäran som gäller rätt till insyn i uppgifter. Dataskyddsförordningen förbjuder inte heller att begäran framställs muntligt.
De personuppgiftsansvariga ska erbjuda så ändamålsenliga och användarvänliga kontaktkanaler som möjligt för begäran.
Det kan inte finnas krav på att endast en viss kontaktkanal, såsom en blankett, används för att framställa begäran. Den personuppgiftsansvarige kan alltså i regel inte vägra att behandla en begäran även om den har framställts via en annan än den primära kontaktkanalen. I sådana fall ska den personuppgiftsansvarige bedöma om den registrerades identitet behöver fastställas till exempel med ytterligare frågor. Behandling av en begäran kan vägras endast om personens identitet trots försök inte kan fastställas.
Rätten till insyn används i allmänhet för att få tillgång till sina egna uppgifter, men en tredje part kan framställa en begäran för den registrerades del. Till exempel en vårdnadshavare eller en annan laglig företrädare kan framställa en begäran för en minderårigs del, eller så kan den registrerade ge en annan person fullmakt att agera för hans eller hennes del. Även intressebevakaren kan i vissa situationer ha rätt att framföra en begäran för den registrerades del.
Den personuppgiftsansvarige ska säkerställa att en person som handlar för den registrerades del har rätt att framställa en begäran för den registrerade. Till exempel när det gäller minderåriga är det nödvändigt att säkerställa att den person som framställt begäran är barnets lagliga företrädare och att personen har annan rätt att få informationen. Barnet kan förbjuda att uppgifter lämnas ut till exempel till vårdnadshavaren, om barnet är tillräckligt mogen för att fatta ett sådant beslut. I sådana situationer ska en bedömning göras av barnets förmåga att fatta beslut som gäller barnet självt och barnets rättigheter och intressen ska beaktas.
En förvaringstid ska fastställas för alla personuppgifter som den personuppgiftsansvarige innehar. En begäran som gäller den registrerades rättigheter innehåller personuppgifter om honom eller henne, såsom namn, kontaktuppgifter eller personbeteckning. Inom vissa sektorer, till exempel social- och hälsovården, kan den registrerades begäran innehålla särskilda personuppgifter eller sekretessbelagda uppgifter, såsom hälsouppgifter. Därför måste en förvaringstid fastställas också för begäranden om rätt till insyn och tillhörande kommunikation.
Personuppgifterna ska förvaras i en form som gör att den registrerade endast kan identifieras så länge som det är nödvändigt för att ändamålen med behandlingen av uppgifterna ska kunna uppnås. Endast personuppgifter som är nödvändiga för behandlingen ska behandlas. Dessa krav ska också beaktas när förvaringstiden för uppgifterna fastställs. När förvaringstiden fastställs ska också en säker behandling av uppgifterna beaktas.
Därtill ska det bedömas hur länge det är motiverat att förvara begäran om tillgång till uppgifterna och den tillhörande kommunikationen. Förvaringstiden kan påverkas av den personuppgiftsansvariges sektor och skyldigheter enligt lagstiftningen.
I vilken form ska uppgifterna lämnas till den registrerade?
Den registrerade har rätt att få tillgång till alla personuppgifter om sig själv oberoende av vilken form uppgifterna har. Personen har i regel rätt att få tillgång till även andra uppgifter än de som finns i textform, såsom röntgen- eller magnetbilder inom hälso- och sjukvården, telefoninspelningar eller inspelningar från övervakningskameror.
Uppgifterna ska lämnas i en allmänt tillgänglig form och motsvara de uppgifter som den personuppgiftsansvarige faktiskt behandlar om den registrerade.
Den registrerade har rätt att få en kopia av uppgifterna om sig själv så att han eller hon kan gå tillbaka till uppgifterna i efterhand. Detta innebär att möjligheten att titta eller lyssna på en inspelning vid den personuppgiftsansvariges verksamhetsställe inte kan vara det enda sättet att tillgodose rätten till insyn.
Är det möjligt att ta ut en avgift av den registrerade?
I princip är det avgiftsfritt att utöva en rättighet. Den personuppgiftsansvarige kan dock av den registrerade ta ut en rimlig avgift som motsvarar de administrativa kostnaderna för att tillmötesgå begäran, om den registrerade begär flera kopior av uppgifterna.
Den registrerade kan ta ut en rimlig avgift för att tillmötesgå begäran också då den registrerades begäran är uppenbart omotiverad eller orimlig. Alternativt kan den personuppgiftsansvarige vägra att tillmötesgå begäran.
Begäranden kan ses som uppenbart omotiverade eller orimliga i synnerhet om de framförs på återkommande sätt. Den personuppgiftsansvarige ska kunna visa att en begäran är uppenbart omotiverad eller orimlig.
Vid eventuellt påförande av en avgift ska man beakta de administrativa kostnaderna för överlämnande av uppgifter eller meddelanden eller vidtagande av den begärda åtgärden.
Den registrerade har rätt att med rimliga intervaller avgiftsfritt göra en begäran om insyn som berör samma uppgifter. För upprepade begäranden om samma uppgifter kan dock en avgift tas ut. Huruvida begäran har framställts med rimliga intervaller eller om det är fråga om upprepade begäranden ska alltid bedömas från fall till fall. Det väsentliga är att förstå om det är fråga om en ny begäran eller om den registrerade begär ytterligare kopior av samma uppgifter som han eller hon har fått inom en kort tid.
Vid bedömning av upprepade begäranden är det bra att beakta till exempel hur ofta det sker förändringar i den registrerades uppgifter. Ju oftare uppgifterna ändras, desto oftare har den registrerade rätt att begära uppgifterna utan att det kan anses oskäligt.
Det finns även orsak att beakta om den registrerade har framfört motiveringar till varför begäran inte kan anses vara upprepad eller ogrundad. Den registrerade kan till exempel ange en grundad anledning till att han eller hon inte längre förfogar över tidigare erhållna uppgifter.
Under den tidigare personuppgiftslagen hade den registrerade rätt att få uppgifterna avgiftsfritt en gång per år. Enligt dataskyddsförordningen föreskriver inte längre en tidsgräns på ett år för avgiftsfrihet, utan den personuppgiftsansvarige ska från fall till fall bedöma vad som är skäliga intervaller för begäran.
Fastställande av den registrerades identitet
Den personuppgiftsansvarige ska kunna fastställa identiteten hos en registrerad som utövar sina dataskyddsrättigheter. Om den personuppgiftsansvarige har motiverade skäl att tvivla på identiteten hos den som framfört en begäran, kan den be att denna ger närmare uppgifter för att fastställa identiteten.
Dataskyddsförordningen föreskriver inte hur den registrerades identitet ska fastställas. Vid fastställandet av identiteten ska principen om uppgiftsminimering iakttas, och för att fastställa identiteten får i regel inte mer uppgifter än den personuppgiftsansvarige redan förfogar över samlas in.
Om den personuppgiftsansvarige inte kan identifiera den registrerade, ska den i mån av möjlighet underrätta den registrerade om detta.
Om den personuppgiftsansvarige vägrar att tillmötesgå en begäran av en registrerad på grund av att denne inte kan identifieras, ska den personuppgiftsansvarige kunna visa att den inte kan fastställa den registrerades identitet.
Om den registrerade inte kan identifieras, kan han eller hon inte utöva sina rättigheter att
- få tillgång till uppgifter
- rätta uppgifter
- radera uppgifter
- begränsa behandlingen av uppgifter
- flytta uppgifter mellan system.
Det finns ofta redan lämpliga förfaranden inom organisationen för att fastställa identiteten. Den personuppgiftsansvarige har kunnat verifiera den registrerades identitet till exempel innan avtalet ingås eller samtycke till behandling av personuppgifter begärs. Då kan identiteten fastställas genom att jämföra uppgifterna om den person som gjort begäran med de uppgifter om den registrerade som den personuppgiftsansvarige redan förfogar över. Begäran om tilläggsuppgifter får inte leda till att oväsentliga eller onödiga personuppgifter samlas in.
Den personuppgiftsansvarige är skyldig att underlätta utövandet av den registrerades rättigheter. Fastställandet av identiteten får inte försvåra utövandet av rättigheterna. Den personuppgiftsansvarige kan till exempel i regel inte kräva att en begäran görs på plats vid den personuppgiftsansvariges verksamhetsställe. Användningen av identitetsbevis för att styrka identiteten ska övervägas noggrant. I första hand ska identiteten fastställas på annat sätt.
Med avseende på de olika sätten att fastställa identiteten ska också de registrerades olika situationer beaktas: till exempel kan äldre personer eller personer i sårbar ställning ha begränsade möjligheter att uträtta ärenden vid organisationens verksamhetsställe eller använda elektroniska system. Även barn har rätt att få tillgång till uppgifter om sig själva, men de har inte nödvändigtvis de verktyg som behövs för elektronisk identifiering. Den personuppgiftsansvarige ska alltså bedöma hur olika människor kan beaktas och hur deras rättigheter så heltäckande som möjligt kan tillgodoses.
När kan identiteten inte fastställas?
Personuppgifter får förvaras i en form som möjliggör identifiering av den registrerade enbart så länge som det är nödvändigt för behandlingens syfte.
Om personuppgifter som möjliggör identifiering inte är nödvändiga för syftet för behandlingen av personuppgifter, ålägger inte dataskyddsförordningen den personuppgiftsansvarige att förvara, inhämta eller behandla sådana tilläggsuppgifter enbart för att iaktta dataskyddsförordningen.