En rapport om utredningen om rätten att granska egna personuppgifter har publicerats – vi kompletterade anvisningarna på vår webbplats

Utgivningsdatum 21.1.2025 9.46 | Publicerad på svenska 6.2.2025 kl. 13.18
Typ:Pressmeddelande

Europeiska dataskyddsstyrelsen har publicerat en rapport om en åtgärd i hela EU där dataskyddsmyndigheterna redde ut hur en persons rätt till tillgång till uppgifter om sig själv tillgodoses i organisationerna. Sammanlagt 1 185 organisationer av olika storlek bidrog med sina svar till utredningen. Rapporten innehåller beskrivningar av de utvecklingsobjekt som identifierats i utredningen och rekommendationer om vad organisationerna bör beakta när rätten till insyn tillgodoses.

Rapporten innehåller rekommendationer om utmaningarna med att tillgodose rätten till insyn

EU-ländernas dataskyddsmyndigheter redde under 2024 ut hur organisationer i olika branscher förverkligar människors begäranden att få tillgång till de personuppgifter som samlats in om dem. Utredningen genomfördes hos 30 dataskyddsmyndigheter.

Rapporten fokuserar närmare på sju utmaningar som observerades i utredningen. Till dessa hör bland annat brister i organisationens interna dokumentation, begränsning av rätten till insyn på felaktiga grunder och hinder som en person kan möta när han eller hon vill utöva sin rätt. I rapporten ger dataskyddsstyrelsen rekommendationer för varje utmaning.

Utifrån resultaten ansåg två tredjedelar av dataskyddsmyndigheterna att organisationerna tillgodoser rätten att kontrollera personuppgifter medelmåttigt eller väl. Många organisationer har till exempel skapat webbtjänster som kan användas för att enkelt begära eller ladda ner uppgifterna. Resultaten visar att större organisationer har bättre förutsättningar att förverkliga begäranden än små aktörer.

I Finland känner organisationerna till sina skyldigheter, utmaningen är föråldrade förfaringssätt

I Finland redde dataombudsmannens byrå ut situationen med en enkät som skickades till femton organisationer i privata och offentliga sektorn. Utredningen riktades bland annat till städer och välfärdsområden samt till företag i flera olika branscher.

"De organisationer som svarade på enkäten känner allmänt taget bra till skyldigheterna som gäller rätten till insyn. De flesta organisationer har också fungerande processer för att behandla begäranden”, konstaterar biträdande dataombudsman Heljä-Tuulia Pihamaa.

Utmaningar observerades bland annat när det gällde att lämna personuppgifter i anslutning till bilder, videoinspelningar och ljudupptagningar. Dessutom hade en del organisationer brister i praxis för hur den person som begärt uppgifterna identifieras och för att fastställa identiteten krävdes ibland onödiga personuppgifter. Alla organisationer hade inte heller fastställt lagringstider för begäranden. Lagringstider måste fastställas för alla personuppgifter, även för begäranden och dithörande kommunikation.

I vissa organisationer tillämpades praxis som stred mot dataskyddsförordningen eller följde den gamla personuppgiftslagen. Det hände till exempel att begärandena lämnades helt utan beaktande om de inte lämnats in via den primära kanalen eller så krävdes att en viss blankett används för att lämna in en begäran. I vissa organisationer fick begäran om granskning av uppgifter framställas avgiftsfritt endast en gång per år. Gällande lagstiftning innehåller inte längre någon tidsgräns på ett år, utan rimliga intervaller för avgiftsfria begäranden måste fastställas från fall till fall.

Vi kompletterade anvisningarna för hur begäranden om granskning av uppgifter ska förverkligas

På vår webbplats får organisationerna handledning i hur rätten till insyn tillgodoses i enlighet med kraven i dataskyddslagstiftningen. Vi har kompletterat anvisningarna utifrån de observationer som framkommit i utredningen.

Vi berättar bland annat i vilken form personuppgifterna ska lämnas ut, hur länge begäranden ska lagras och vad som ska beaktas när den person som begär uppgifterna identifieras. Vi klargör också hur man ska gå till väga när uppgifterna som lämnas ut också innehåller uppgifter om en annan person eller om någon annan gör en begäran för personens räkning.

Läs anvisningarna till organisationer på vår webbplats: ​​​​​​​Rätten till tillgång till uppgifter

Mer information:

​​​​​​​Dataskyddsstyrelsens rapport och bilaga om de nationella resultaten på engelska på rådets webbplats

Europeiska dataskyddsstyrelsens meddelande på styrelsens webbplats (på engelska)​​​​​​​: CEF 2024: EDPB identifies challenges to the full implementation of the right of access (20.1.2025)

Meddelande 28.2.2024: Dataombudsmannens byrå utreder tillgodoseendet av granskningsrätten som en del av den sameuropeiska åtgärden

Europeiska dataskyddstyrelsens anvisning: Riktlinjer 01/2022 om registrerades rättigheter – rätt till tillgång (pdf på dataskyddstyrelsens webbplats)

Granskningsrätten, det vill säga rätten att ta del av egna uppgifter, är en av de mest utövade dataskyddsrättigheterna. Tack vare granskningsrätten kan en person granska vilka uppgifter en organisation behandlar om hen själv och om behandlingen är förenlig med dataskyddskraven. Därtill ger granskningsrätten möjlighet till att utöva dataskyddsrättigheterna, såsom rätten till korrigering eller radering av uppgifter.

Europeiska dataskyddsstyrelsen (EDPB) är ett oberoende EU-organ som består av EU:s nationella dataskyddsmyndigheter och representanter för Europeiska datatillsynsmannen. Även EES-länderna Island, Norge och Liechtenstein är medlemmar i dataskyddsstyrelsen. Europeiska dataskyddsstyrelsen ansvarar för en enhetlig tillämpning av EU:s allmänna dataskyddsförordning och dataskyddsdirektivet för polisen och andra brottsbekämpande myndigheter. ​​​​​​​Med de gemensamma koordinerade åtgärderna tillgodoses dataskyddsstyrelsens mål om att harmonisera tillsynen och därtill intensifieras samarbetet mellan EU-ländernas tillsynsmyndigheter. Denna utredning var den tredje sameuropeiska åtgärden.