Rätten till tillgång till uppgifter
En registrerad har rätt att av den personuppgiftsansvarige få en bekräftelse på att denne behandlar personuppgifter som gäller honom eller henne. På så sätt har den registrerade möjlighet att bedöma och säkerställa att behandlingen är lagenlig.
Om uppgifter om en registrerad behandlas, ska den personuppgiftsansvarige ge honom eller henne en kopia av de personuppgifter som behandlas. Om den registrerade framför begäran elektroniskt, ska uppgifterna lämnas ut i en elektronisk form som är i allmän användning, förutom om den registrerade begär en annan form.
Därtill har den registrerade rätt att få följande uppgifter:
- behandlingens syften
- de kategorier av personuppgifter som behandlas
- de mottagare eller kategorier av mottagare till vilka personuppgifter har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer
- skyddsåtgärder, om personuppgifter överförs till ett tredje land eller en internationell organisation
- den planerade förvaringstiden för personuppgifterna och om det inte är möjligt, kriterierna för fastställande av förvaringstiden
- en registrerads rätt att till den personuppgiftsansvarige framföra en begäran om att personuppgifter som gäller honom eller henne själv rättas eller raderas eller att behandlingen av personuppgifter begränsas samt rätten att göra invändning mot sådan behandling
- rätten att lämna in klagomål till tillsynsmyndigheten
- om personuppgifter inte samlas in av den registrerade, alla tillgängliga uppgifter om uppgifternas ursprung
- eventuell användning av automatiskt beslutsfattande (inkl. profilering), betydelsefulla uppgifter om behandlingslogiken, den berörda behandlingens betydelse och eventuella konsekvenser för den registrerade.
Hur snabbt ska den personuppgiftsansvarige besvara en begäran av en registrerad?
Den personuppgiftsansvarige ska svara till den registrerade utan oskäligt dröjsmål, i varje fall inom en månad från mottagandet av begäran. I svaret ska den personuppgiftsansvarige redogöra för de åtgärder som denne vidtagit med anledning av begäran.
Om antalet begäranden är många eller om de är komplicerade, kan den personuppgiftsansvarige i sitt svar meddela att mer tid behövs för handläggningen. I så fall kan den utsatta tiden förlängas med högst två månader. Förlängningen av den utsatta tiden ska motiveras.
Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till tillsynsmyndigheten och att använda andra rättsmedel.
Är det möjligt att ta ut en avgift av den registrerade?
I princip är det avgiftsfritt att utöva en rättighet. Den personuppgiftsansvarige kan dock av den registrerade ta ut en rimlig avgift som motsvarar de administrativa kostnaderna för att tillmötesgå begäran, om den registrerade begär flera kopior av uppgifterna.
Den registrerade kan ta ut en rimlig avgift för att tillmötesgå begäran också då den registrerades begäran är uppenbart omotiverad eller orimlig. Alternativt kan den personuppgiftsansvarige vägra att tillmötesgå begäran.
Begäranden kan ses som uppenbart omotiverade eller orimliga i synnerhet om de framförs på återkommande sätt. Den personuppgiftsansvarige ska kunna visa att en begäran är uppenbart omotiverad eller orimlig.
Vid eventuellt påförande av en avgift ska man beakta de administrativa kostnaderna för överlämnande av uppgifter eller meddelanden eller vidtagande av den begärda åtgärden.
Är det möjligt att vägra att tillmötesgå en begäran?
Huvudregeln är att den registrerades rättighet tillgodoses. Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den ha en lagenlig grund för vägran. Grunderna för vägran regleras i artikel 12 och artikel 15.4 i den allmänna dataskyddsförordningen samt i 31 och 34 § i dataskyddslagen. Den registrerade kan överföra ärendet för behandling av dataombudsmannen.
Den personuppgiftsansvarige kan vägra att tillmötesgå den registrerades begäran i dessa situationer:
- Rätten att få en kopia av uppgifterna skulle ha en skadlig inverkan på övriga rättigheter och friheter.
- Den registrerades begäranden är uppenbart omotiverade eller orimliga i synnerhet om de framförs på återkommande sätt.
- Den personuppgiftsansvarige ska kunna visa att en begäran är uppenbart omotiverad eller orimlig.
- Alternativt kan den personuppgiftsansvarige ta ut en rimlig avgift för tillmötesgåendet av begäran.
- Lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott.
- Lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter.
- Personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas.
När personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller för statistikföring får undantag på vissa villkor göras från den registrerades rätt till tillgång till uppgifter. Mer information om undantag från den registrerades rättigheter
Om grunden för vägran gäller enbart en del av uppgifterna, har den registrerade rätt att få information om andra uppgifter som gäller honom.
Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Den registrerade ska underrättas om orsakerna till vägran, om det inte äventyrar syftet med vägran. Den personuppgiftsansvarige ska också underrätta den registrerade om dennes möjlighet att framföra klagomål till tillsynsmyndigheten och använda andra rättsmedel.
Om den personuppgiftsansvariga vägrar genomföra rätten ska de begärda uppgifterna ges till dataskyddsombudsmannen på den registrerades begäran.
Styrkande av den registrerades identitet
Den personuppgiftsansvarige ska kunna styrka identiteten hos en registrerad som utövar sina dataskyddsrättigheter. Om den personuppgiftsansvarige har motiverade skäl att tvivla på identiteten hos den som framfört en begäran, kan den be att denna ger närmare uppgifter för att styrka identiteten.
Dataskyddsförordningen innehåller inte bestämmelser om hur den registrerades identitet ska styrkas. Ofta finns det redan lämpliga förfaranden. Det är möjligt att den personuppgiftsansvarige styrkt identiteten hos den registrerade till exempel redan innan ett avtal ingåtts eller ett samtycke till behandling inhämtats. I så fall kan dessa personuppgifter användas för att fastställa identiteten också då det handlar om tillgodoseende av den registrerades rättigheter.
Om den personuppgiftsansvarige begär närmare uppgifter för att styrka identiteten, får detta inte leda till orimliga krav eller insamling av personuppgifter som inte är väsentliga eller nödvändiga.
Om den personuppgiftsansvarige inte kan identifiera den registrerade, ska den i mån av möjlighet underrätta den registrerade om detta.
Om den personuppgiftsansvarige vägrar att tillmötesgå en begäran av en registrerad på grund av att denne inte kan identifieras, ska den personuppgiftsansvarige kunna visa att den inte kan styrka den registrerades identitet.
Om den registrerade inte kan identifieras, kan han eller hon inte utöva sina rättigheter att
- få tillgång till uppgifter
- rätta uppgifter
- radera uppgifter
- begränsa behandlingen av uppgifter
- flytta uppgifter mellan system.
Den registrerade kan dock överlämna närmare uppgifter för identifieringen.
När kan identiteten inte styrkas?
Personuppgifter får förvaras i en form som möjliggör identifiering av den registrerade enbart så länge som det är nödvändigt för behandlingens syfte.
Om personuppgifter som möjliggör identifiering inte är nödvändiga för syftet för behandlingen av personuppgifter, ålägger inte dataskyddsförordningen den personuppgiftsansvarige att förvara, inhämta eller behandla sådana tilläggsuppgifter enbart för att iaktta dataskyddsförordningen.
Läs mer:
Dataskyddsförordningen: artiklarna 12 och 15 (på EUR-Lex)
Dataskyddslagen: paragraferna 31 och 34 (i Finlex)