GDPR-begäran om Registerutdrag Sverige

En GDPR-begäran om Registerutdrag i Sverige är en formell skriftlig begäran som en fysisk person (registrerad) skickar till en personuppgiftsansvarig för att utöva sin rätt enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (allmänna dataskyddsförordningen, GDPR). Begäran kompletteras av lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, populärt kallad dataskyddslagen, och i förekommande fall av sektorsspecifik svensk lagstiftning såsom patientdatalagen (2008:355), socialtjänstlagen (2001:453), brottsdatalagen (2018:1177) och lag (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning inom brottsbekämpningen.

Den rättsliga grunden vilar på principen om transparens och den registrerades kontroll över sina personuppgifter. Genom registerutdraget får den registrerade bekräftelse på om personuppgifter behandlas samt en kopia av uppgifterna. Personuppgiftsansvarig är skyldig att besvara begäran utan onödigt dröjsmål och senast inom en månad enligt artikel 12.3 GDPR. Vid komplicerade ärenden eller stor mängd begäranden får tidsfristen förlängas med ytterligare två månader, varvid den registrerade ska informeras inom den ursprungliga månaden om förlängningen och dess skäl.

Utöver kopia på själva personuppgifterna har den registrerade rätt till en rad kompletterande upplysningar enligt artikel 15.1 GDPR. Hit hör ändamålen med behandlingen, kategorierna av personuppgifter, mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut (särskilt mottagare i tredje land utanför EU/EES samt vilka skyddsåtgärder som tillämpas enligt artiklarna 44 till 49 GDPR), den planerade lagringstiden eller kriterierna för att fastställa denna, samt information om rätten till rättelse (art. 16), radering (art. 17), begränsning (art. 18), invändning (art. 21) och rätten att inge klagomål till Integritetsskyddsmyndigheten (IMY). Vidare ska den registrerade få information om varifrån personuppgifterna har samlats in om de inte har samlats in direkt från honom eller henne samt om förekomsten av automatiserat beslutsfattande och profilering enligt artikel 22 GDPR.

Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen, är tillsynsmyndighet enligt artikel 51 GDPR och 7 kap. 1 § dataskyddslagen. IMY har sitt kontor på Drottninggatan 29 i Stockholm och kan kontaktas via [email protected] eller telefonnummer 08-657 61 00. Vid otillräckligt eller försenat svar från personuppgiftsansvarig kan den registrerade inge klagomål enligt artikel 77 GDPR. IMY beslutar då om eventuella tillsynsåtgärder, vilka kan omfatta varning, reprimand, föreläggande att efterleva begäran samt administrativa sanktionsavgifter på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen enligt artikel 83 GDPR.

Registerutdraget skiljer sig från fyra angränsande rättigheter. För det första från rätten till radering enligt artikel 17 GDPR (rätten att bli bortglömd) som gäller när personuppgifter inte längre är nödvändiga, samtycke har återkallats eller behandlingen är olaglig. För det andra från rätten till rättelse enligt artikel 16 GDPR vid felaktiga eller ofullständiga personuppgifter. För det tredje från rätten till dataportabilitet enligt artikel 20 GDPR som ger den registrerade rätt att få ut sina personuppgifter i strukturerat, allmänt använt och maskinläsbart format för överföring till annan personuppgiftsansvarig. För det fjärde från offentlighetsprincipen enligt tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) som ger en parallell rätt att ta del av allmänna handlingar hos svenska myndigheter, oavsett om handlingarna innehåller personuppgifter.

Kostnaden för registerutdraget är som huvudregel noll enligt artikel 12.5 GDPR. Personuppgiftsansvarig får endast ta ut en rimlig administrativ avgift om begäran är uppenbart ogrundad eller orimlig, särskilt på grund av att den upprepas, eller alternativt vägra att tillmötesgå begäran. Bevisbördan för att begäran är uppenbart ogrundad eller orimlig åvilar personuppgiftsansvarig. Vid avslag eller villkorad begäran kan den registrerade utöva sin rätt att inge klagomål till IMY samt sin rätt till effektivt rättsmedel inför svensk domstol enligt artikel 79 GDPR. Förvaltningsrätten i Stockholm är första instans för överklagande av IMY:s beslut, därefter Kammarrätten i Stockholm och slutligen Högsta förvaltningsdomstolen. Vid skada följer av artikel 82 GDPR och 7 kap. 1 § dataskyddslagen rätt till ersättning för materiell eller immateriell skada, som prövas av allmän domstol (tingsrätt, hovrätt, Högsta domstolen).

En GDPR-begäran om Registerutdrag i Sverige aktualiseras i en rad situationer där en fysisk person vill få insyn i hur ett företag, en myndighet eller annan organisation behandlar personuppgifter om honom eller henne. Nedan beskrivs centrala scenarion där begäran om registerutdrag är särskilt motiverad enligt GDPR och lag (2018:218).

Kreditupplysningar och finansiella tjänster. Vid avslag på låneansökan, kreditkortsansökan eller bostadslån kan den registrerade vilja veta vilka personuppgifter banken eller kreditgivaren har behandlat, vilka kreditvärderingsmodeller som har använts och om automatiserat beslutsfattande enligt artikel 22 GDPR har förekommit. Stora svenska kreditgivare som Svenska Handelsbanken, Swedbank, SEB, Nordea Bank och Klarna Bank omfattas av GDPR samt lag (2018:1219) om bank- och finansieringsrörelse. Kreditupplysningsföretag som Bisnode (numera del av Dun and Bradstreet), Creditsafe och UC AB lyder under kreditupplysningslagen (1973:1173) parallellt med GDPR.

Anställning och rekrytering. Arbetstagare som vill veta vilka uppgifter arbetsgivaren behandlar avseende prestation, lön, sjukfrånvaro, disciplinära åtgärder eller bedömningar kan begära registerutdrag enligt artikel 15 GDPR. Vid avslag på jobbansökan kan kandidaten begära uppgifter om bedömning och eventuella anteckningar från rekryteringsprocessen. Arbetsgivare omfattas av arbetsmiljölagen (1977:1160), lag (1982:80) om anställningsskydd (LAS) samt diskrimineringslagen (2008:567) parallellt med GDPR. Diskrimineringsombudsmannen (DO) hanterar diskrimineringsärenden separat från IMY.

Sjukvård och patientuppgifter. Patienter har enligt patientdatalagen (2008:355) en utvidgad rätt till sina journaluppgifter, som kompletterar GDPR art. 15. Region Stockholm, Region Skåne, Region Västra Götaland och övriga regioner samt privata vårdgivare omfattas. Förfrågningar kan riktas till respektive vårdgivares avdelning för medicinsk dokumentation. Vid känsliga psykiatriska eller socialtjänstuppgifter kan särskilda sekretessbestämmelser enligt offentlighets- och sekretesslagen (2009:400) tillämpas.

Socialtjänst och myndighetsregister. Vid kontakter med socialtjänsten, Försäkringskassan, Arbetsförmedlingen, Pensionsmyndigheten eller Skatteverket kan den registrerade vilja se vilka uppgifter myndigheten har samlat in och hur de har använts. Hos svenska myndigheter gäller parallellt offentlighetsprincipen enligt tryckfrihetsförordningen 2 kap. samt sekretessbestämmelser enligt offentlighets- och sekretesslagen (2009:400). Begäran kan formuleras som registerutdrag enligt GDPR eller som begäran att ta del av allmänna handlingar.

E-handel och digitala tjänster. Konsumenter som handlat hos Boozt, Bonnier Magazines, NetOnNet, Elgiganten, ICA Maxi eller Spotify kan vilja veta vilka uppgifter företaget har samlat in om köpvanor, intressen, betalningar, leveransadresser samt eventuella profileringsuppgifter för riktad annonsering. Marknadsföringslagen (2008:486) och lag (2002:562) om elektronisk kommunikation kompletterar GDPR i denna sektor.

Telekomoperatörer och internetleverantörer. Kunder hos Telia Company, Tele2, Telenor Sverige eller Tre kan begära uppgifter om samtalsregister, lokaliseringsdata, surfhistorik (i den utsträckning sådan lagras), prenumerationshistorik och betalningar. Lagen (2003:389) om elektronisk kommunikation och dess implementering av ePrivacy-direktivet 2002/58/EG sätter ramar för vad telekomoperatörerna får lagra och i vilka syften.

Försäkringsbolag. Försäkringstagare hos Folksam, Länsförsäkringar, Trygg-Hansa, If Skadeförsäkring eller Skandia kan begära uppgifter om skadeärenden, hälsobedömningar, premieuträkningar och eventuella anteckningar från skadereglerare. Försäkringsavtalslagen (2005:104), försäkringsrörelselagen (2010:2043) samt försäkringsdistributionslagen (2018:1219) tillämpas parallellt med GDPR.

Sociala medier och teknikplattformar. Användare av Meta Platforms (Facebook, Instagram, WhatsApp), Google Sverige, Microsoft Sverige, TikTok eller X kan begära registerutdrag avseende inlägg, meddelanden, sökhistorik, lokaliseringsdata, annonsprofilering och samarbetspartner. Dessa företag har ofta automatiserade verktyg för att ladda ned personuppgifter, men formell artikel 15-begäran ger fullständigare information enligt GDPR-kraven, inklusive uppgifter om mottagare i tredje land och tillämpade skyddsåtgärder.

Utbildningsinstitutioner. Studenter och tidigare studenter vid Stockholms universitet, Uppsala universitet, Lunds universitet, Karolinska Institutet eller Kungliga Tekniska högskolan kan begära uppgifter om betyg, prestationsbedömningar, disciplinärenden och övriga noteringar. Skollagen (2010:800) tillämpas parallellt med GDPR. Centrala studiestödsnämnden (CSN) hanterar studiemedelsuppgifter.

Inför rättsliga åtgärder. Innan stämning, skadestånd eller överklagande kan den registrerade behöva få ut uppgifter som motparten innehar, exempelvis i arbetsrättstvister vid Arbetsdomstolen, hyrestvister hos hyresnämnden, konsumenttvister vid Allmänna reklamationsnämnden (ARN) eller diskrimineringsärenden hos Diskrimineringsombudsmannen. Registerutdraget kan användas som bevisning eller som underlag för fortsatt utredning. Det förbättrar förhandlingspositionen och säkerställer informerat beslutsfattande inför eventuellt rättsligt förfarande.

En giltig GDPR-begäran om Registerutdrag i Sverige bör innehålla nedanstående element för att underlätta personuppgiftsansvarigs handläggning och garantera den registrerades rättigheter enligt artikel 15 GDPR och lag (2018:218).

Identifiering av den registrerade. Fullständigt namn så som det är registrerat hos personuppgiftsansvarig, personnummer enligt folkbokföringslagen (1991:481) i format ÅÅÅÅMMDD-XXXX, folkbokföringsadress samt e-postadress för svar. För befintliga kunder, anställda eller patienter underlättar dessutom kundnummer, anställningsnummer, patient-ID eller medlemsnummer identifieringen. Vid begäran från ombud krävs fullmakt undertecknad av den registrerade i original eller bestyrkt kopia, eventuellt med signaturprovning genom Bank-ID.

Identifiering av personuppgiftsansvarig. Fullständigt företagsnamn eller myndighetsnamn enligt Bolagsverkets register, organisationsnummer (tio siffror tilldelade enligt lag (1974:174) om identitetsbeteckning för juridiska personer) samt adress till dataskyddsombud (DPO) eller juridisk avdelning. Många organisationer publicerar dessa uppgifter i sin integritetspolicy enligt artiklarna 13 och 14 GDPR.

Datum för begäran. Tydligt datum då begäran skickas, vilket är utgångspunkt för en-månads-tidsfristen enligt artikel 12.3 GDPR. Datumet bör framgå tydligt i brevet eller e-postmeddelandet, helst i ÅÅÅÅ-MM-DD-format. Vid skriftlig postförsändelse är det rekommenderat att skicka begäran rekommenderat eller med mottagningsbevis för att kunna styrka mottagningsdatum.

Uttrycklig hänvisning till artikel 15 GDPR. Texten i begäran ska tydligt visa att det rör sig om en rätt enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) samt lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. En vag formulering som 'kan jag få mina uppgifter' kan tolkas som annan typ av begäran (offentlighetsbegäran, allmän kundförfrågan). Tydlig juridisk hänvisning säkerställer att begäran behandlas korrekt och att tidsfrister börjar löpa.

Omfattning av begäran. Den registrerade kan välja mellan att begära samtliga personuppgifter eller smalna av till specifika kategorier eller tidsperiod. För komplicerad behandlingsmiljö hos stora företag eller myndigheter kan smalare begäran påskynda svaret. Exempel på avgränsning: 'samtliga personuppgifter rörande min anställning från 1 januari 2024 till 31 december 2024' eller 'samtliga personuppgifter rörande mitt försäkringsärende med ärendenummer SKADA-12345'.

Krav på kompletterande information enligt artikel 15.1 GDPR. Förutom kopia på personuppgifterna ska den registrerade kräva följande upplysningar: (a) bekräftelse på behandling; (b) ändamål med behandlingen och rättslig grund enligt artikel 6 GDPR; (c) kategorier av personuppgifter; (d) mottagare eller kategorier av mottagare, särskilt mottagare i tredje land utanför EU/EES med uppgift om skyddsåtgärder enligt artiklarna 44 till 49 GDPR; (e) planerad lagringstid eller kriterier för fastställande; (f) rätten till rättelse, radering, begränsning och invändning; (g) rätten att inge klagomål till Integritetsskyddsmyndigheten (IMY); (h) varifrån uppgifterna samlats in om inte direkt från den registrerade; (i) förekomsten av automatiserat beslutsfattande och profilering enligt artikel 22 GDPR.

Önskat format. Enligt artikel 15.3 GDPR ska informationen tillhandahållas i vanligt förekommande elektroniskt format om begäran lämnas elektroniskt. Tydligt angivande av önskat format (elektroniskt eller papperskopior med post) underlättar handläggningen. För stora datamängder rekommenderas elektroniskt format. Vid känsliga personuppgifter bör säker överföring (krypterad e-post, lösenordsskyddat PDF, säker portal) krävas.

Tidsfrist för svar. Tydligt påpekande om en-månads-tidsfristen enligt artikel 12.3 GDPR samt möjligheten till två-månaders-förlängning för komplicerade ärenden. Påpekande om konsekvenserna vid uteblivet eller otillräckligt svar: klagomål till Integritetsskyddsmyndigheten (IMY) enligt artikel 77 GDPR, rättslig prövning enligt artikel 79 GDPR samt skadeståndskrav enligt artikel 82 GDPR och 7 kap. 1 § dataskyddslagen.

Kostnadsfrihet. Enligt artikel 12.5 GDPR är registerutdraget kostnadsfritt. Endast vid uppenbart ogrundade eller orimliga begäranden, särskilt på grund av att de upprepas, får personuppgiftsansvarig ta ut en rimlig administrativ avgift eller vägra att tillmötesgå begäran, med bevisbörda hos personuppgiftsansvarig. Tydlig markering av detta i begäran avskräcker från orättfärdig avgiftsdebitering.

Kontaktuppgifter för uppföljning. E-postadress och telefonnummer där personuppgiftsansvarig kan nå den registrerade vid behov av kompletterande identitetskontroll eller frågor om omfattning. Vid identitetsverifiering enligt artikel 12.6 GDPR kan personuppgiftsansvarig kräva ytterligare information, men endast i den utsträckning som behövs för att bekräfta identitet, exempelvis kopia av ID-handling eller verifiering via Bank-ID.

Eskaleringsväg vid uteblivet svar. Uttrycklig hänvisning till Integritetsskyddsmyndigheten (IMY) som tillsynsmyndighet med kontor på Drottninggatan 29 i Stockholm, kontakt [email protected] och telefon 08-657 61 00. Hos forms-legal.com finner du också mallar för GDPR-begäran om Radering, Klagomål till Myndighet och relaterade integritetsdokument enligt svensk rätt. Vid eskalering kan IMY besluta om varning, reprimand, föreläggande att efterleva begäran samt administrativa sanktionsavgifter på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen enligt artikel 83 GDPR. Förvaltningsrätten i Stockholm är första instans för överklagande av IMY:s beslut.

Undertecknande. Egenhändig namnteckning på pappersbrev eller avancerad elektronisk underskrift enligt eIDAS-förordningen 910/2014 vid digitalt försändande. Bank-ID är ett vanligt accepterat verktyg för digital identifiering i Sverige. Vid skriftlig postförsändelse rekommenderas rekommenderat brev med mottagningsbevis för att kunna styrka mottagningsdatum och säkerställa korrekt handläggning.

En GDPR-begäran om Registerutdrag i Sverige fylls i genom följande steg, som säkerställer korrekt utformning enligt artikel 15 GDPR och lag (2018:218).

Steg 1 - Identifiera personuppgiftsansvarig. Hitta korrekt mottagare av begäran. För större organisationer publiceras kontaktuppgifter till dataskyddsombud (DPO) i deras integritetspolicy enligt artikel 13 GDPR. Sök efter 'dataskyddsombud', 'DPO contact' eller 'privacy@företaget.se' på deras webbplats. För myndigheter står ofta uppgifterna under 'kontakt' eller 'organisation'. Fullständigt företagsnamn enligt Bolagsverkets register samt organisationsnummer (tio siffror enligt lag (1974:174) om identitetsbeteckning för juridiska personer) ger säker identifiering. Bolagsverkets webbplats bolagsverket.se tillåter sökning på namn och organisationsnummer.

Steg 2 - Fyll i datum för begäran. Använd ÅÅÅÅ-MM-DD-format (exempelvis 2026-05-28). Datumet är utgångspunkt för en-månads-tidsfristen enligt artikel 12.3 GDPR. Vid postförsändelse är det rekommenderat att skicka rekommenderat brev med mottagningsbevis (rekommenderad försändelse från PostNord) för att kunna styrka mottagningsdatum. Vid e-post räcker oftast bekräftelse på leverans (read receipt eller manuell bekräftelse från mottagaren).

Steg 3 - Fyll i dina personuppgifter. Skriv fullständigt namn så som det är registrerat hos personuppgiftsansvarig, personnummer i format ÅÅÅÅMMDD-XXXX, folkbokföringsadress (gata, postnummer, ort) samt e-postadress för svar. Vid känsligare uppgifter kan kompletterande identifiering via Bank-ID krävas, vilket personuppgiftsansvarig kan be om enligt artikel 12.6 GDPR. Bifoga vid behov bestyrkt kopia av legitimation eller fullmakt om begäran lämnas via ombud.

Steg 4 - Ange kund-, anställnings- eller medlemsnummer. För befintliga kunder hos banker, försäkringsbolag och teleoperatörer finns oftast kundnummer på kontoutdrag eller fakturor. För anställda gäller anställningsnummer från lönespecifikation. För patienter finns ofta patient-ID på vårdkort eller i digital tjänst som 1177.se. För medlemmar i fackförbund eller ideella organisationer används medlemsnummer. Detta underlättar identifiering hos stora personuppgiftsansvariga med många kundregister.

Steg 5 - Välj omfattning av begäran. Du kan välja mellan 'samtliga personuppgifter' eller 'specifika kategorier'. Bred begäran ger fullständig bild men kan ta längre tid. Smal begäran påskyndar svar om du vet vad du söker. Exempel på smal begäran: 'samtliga e-postmeddelanden och anteckningar rörande min anställning vid IT-avdelningen från 1 januari 2024 till 31 december 2024'. Vid bred begäran begär du 'samtliga personuppgifter som behandlas om mig oberoende av ändamål och kategori'.

Steg 6 - Specificera särskilda kategorier vid smalare begäran. Om du valt 'specifika kategorier' ska du beskriva i fritext vilka uppgifter och vilken tidsperiod begäran omfattar. Exempel: 'samtliga personuppgifter rörande mitt försäkringsärende med ärendenummer SKADA-12345 från 1 januari 2025 till och med datum för denna begäran, inklusive korrespondens med skadereglerare, läkarintyg, prisuträkning och eventuella anteckningar i skaderegister'. Var konkret men ange inte avsiktligt smal omfattning som kan undanhålla relevant information.

Steg 7 - Välj format för svar. Enligt artikel 15.3 GDPR ska personuppgiftsansvarig tillhandahålla information i vanligt förekommande elektroniskt format vid elektronisk begäran. Välj elektroniskt format (PDF eller liknande) om du vill söka i datan, eller papperskopior om du föredrar fysisk handling. Vid känsliga personuppgifter bör säker överföring krävas, exempelvis krypterad e-post (S/MIME, PGP), lösenordsskyddat PDF eller säker portal med Bank-ID-inloggning.

Steg 8 - Ange kompletterande informationskrav. Räkna upp samtliga informationspunkter enligt artikel 15.1 GDPR: bekräftelse på behandling, ändamål och rättslig grund enligt artikel 6 GDPR, kategorier av personuppgifter, mottagare eller kategorier av mottagare (särskilt mottagare i tredje land), planerad lagringstid eller kriterier, rätten till rättelse (art. 16), radering (art. 17), begränsning (art. 18) och invändning (art. 21), rätten att inge klagomål till Integritetsskyddsmyndigheten (IMY), varifrån uppgifterna samlats in om inte direkt från dig, samt förekomsten av automatiserat beslutsfattande och profilering enligt artikel 22 GDPR.

Steg 9 - Påminn om tidsfrister och konsekvenser. Skriv tydligt att personuppgiftsansvarig enligt artikel 12.3 GDPR ska besvara begäran senast inom en månad efter mottagandet, med möjlighet till två-månaders-förlängning för komplicerade ärenden mot underrättelse inom den ursprungliga månaden. Klargör att uteblivet eller otillräckligt svar leder till klagomål till Integritetsskyddsmyndigheten (IMY) enligt artikel 77 GDPR, rättslig prövning enligt artikel 79 GDPR samt eventuellt skadeståndskrav enligt artikel 82 GDPR och 7 kap. 1 § dataskyddslagen.

Steg 10 - Underteckna och skicka. Egenhändig namnteckning på pappersbrev eller avancerad elektronisk underskrift enligt eIDAS-förordningen 910/2014 vid digital försändelse. Bank-ID är ett vanligt accepterat verktyg för digital identifiering. Skicka rekommenderat brev med mottagningsbevis för pappersversion eller med skicka-bekräftelse vid e-post. Spara kopia av begäran och bevis på leverans för dokumentation. Notera datum för mottagandet hos personuppgiftsansvarig för uppföljning av en-månads-tidsfristen.

En GDPR-begäran om Registerutdrag i Sverige regleras av flera samverkande rättsakter på EU-nivå och svensk nivå, vilket skapar en komplex juridisk ram som personuppgiftsansvarig måste följa.

Grundläggande EU-rättslig grund. Artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt om upphävande av direktiv 95/46/EG (allmänna dataskyddsförordningen, GDPR) ger varje registrerad rätt att av personuppgiftsansvarig få bekräftelse på om personuppgifter behandlas och, om så är fallet, tillgång till uppgifterna samt en kopia av dessa enligt artikel 15.3 GDPR. Förordningen har direkt effekt och är direkt tillämplig i samtliga EU:s medlemsstater enligt artikel 288 i fördraget om Europeiska unionens funktionssätt (FEUF).

Kompletterande svensk lagstiftning. Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, populärt kallad dataskyddslagen, trädde i kraft den 25 maj 2018 samtidigt som GDPR blev direkt tillämplig. Den utnyttjar öppningsklausuler i GDPR och innehåller bland annat bestämmelser om Integritetsskyddsmyndigheten (IMY) som tillsynsmyndighet enligt artikel 51 GDPR, ramar för behandling av personuppgifter inom forskning, statistik och arkiv, samt skadeståndsregler enligt artikel 82 GDPR. För brottsbekämpning och rättskipning gäller parallellt lag (2018:1177) med kompletterande bestämmelser till EU:s dataskyddsförordning inom brottsbekämpningen (brottsdatalagen).

Tidsfrister enligt artikel 12.3 GDPR. Personuppgiftsansvarig ska utan onödigt dröjsmål och under alla omständigheter senast inom en månad efter mottagandet av begäran lämna information om de åtgärder som vidtagits med anledning av begäran. Tidsfristen får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Vid sådan förlängning ska personuppgiftsansvarig informera den registrerade om förlängningen och skälen för dröjsmålet inom en månad från mottagandet. Tidsfristerna är ovillkorliga och kan inte avtalas bort.

Format enligt artikel 15.3 GDPR. Personuppgiftsansvarig ska tillhandahålla en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får personuppgiftsansvarig ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade lämnar begäran i elektronisk form ska informationen tillhandahållas i ett vanligt förekommande elektroniskt format, om inte den registrerade begär annat. Detta innebär i praktiken PDF, CSV, XML eller liknande maskinläsbart format.

Identitetsverifiering enligt artikel 12.6 GDPR. Personuppgiftsansvarig får, om det finns rimliga skäl att betvivla identiteten hos den fysiska person som lämnat begäran, begära att ytterligare information tillhandahålls som är nödvändig för att bekräfta den registrerades identitet. Sådan begäran ska vara proportionell och får inte användas som hinder för att tillgodose registerutdraget. I Sverige används ofta Bank-ID för identifiering, alternativt kopia av legitimation. Personuppgiftsansvarig får inte kräva orimligt mycket bevisning eller använda identifieringskravet för att avskräcka från legitima begäranden.

Undantag från rätten till tillgång. Vissa begränsningar följer av artikel 15.4 GDPR avseende rätten att få kopia av personuppgifterna när detta inverkar menligt på ändras rättigheter och friheter. Vidare kan svensk sektorslagstiftning innehålla undantag, exempelvis offentlighets- och sekretesslagen (2009:400) för myndigheter när uppgifterna omfattas av sekretess till skydd för rikets säkerhet, försvar, brottsbekämpning eller affärshemligheter. Vid sjukvårdsuppgifter gäller patientdatalagen (2008:355) och hälso- och sjukvårdslagen (2017:30) med kompletterande regler om patientens rätt till journalöverlämning. För brottsbekämpning gäller brottsdatalagen med särskilda undantag enligt artikel 23 GDPR.

Tillsynsmyndighet och klagomålsväg. Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen fram till 2021, är tillsynsmyndighet enligt artikel 51 GDPR och 7 kap. 1 § dataskyddslagen. Myndigheten har sitt kontor på Drottninggatan 29 i Stockholm och kan kontaktas via [email protected] eller telefon 08-657 61 00. Klagomål kan inges enligt artikel 77 GDPR och 7 kap. 2 § dataskyddslagen. IMY:s beslut överklagas till Förvaltningsrätten i Stockholm enligt 7 kap. 4 § dataskyddslagen, vidare till Kammarrätten i Stockholm och slutligen till Högsta förvaltningsdomstolen.

Administrativa sanktionsavgifter enligt artikel 83 GDPR. Vid överträdelse av GDPR-bestämmelserna kan IMY besluta om administrativa sanktionsavgifter. För överträdelser av bestämmelser om registrerades rättigheter, inklusive artikel 15, gäller den högre sanktionsskalan enligt artikel 83.5 GDPR med belopp på upp till 20 miljoner euro eller, om det är högre, upp till fyra procent av den globala årsomsättningen för det föregående räkenskapsåret. IMY beaktar omständigheter som överträdelsens art, allvar och varaktighet, antalet drabbade registrerade samt graden av skada vid sanktionsbeslutet.

Skadeståndsrätt enligt artikel 82 GDPR. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av GDPR har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Enligt 7 kap. 1 § dataskyddslagen prövas skadeståndsanspråk av allmän domstol (tingsrätt, hovrätt, Högsta domstolen). Bevisbördan för faktiska omständigheter åvilar den registrerade, medan personuppgiftsansvarig kan friskrivas endast genom att visa att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

Gränsöverskridande behandling. Vid behandling som omfattar flera EU-medlemsstater gäller mekanismen för samarbete och enhetlighet enligt kapitel VII GDPR (artiklarna 60 till 76 GDPR). Den huvudsakliga personuppgiftsansvarige är 'huvudtillsynsmyndighet' (leading supervisory authority) för den registrerade och samordnar med övriga berörda tillsynsmyndigheter. Europeiska dataskyddsstyrelsen (EDPB) utfärdar bindande beslut vid oenighet mellan tillsynsmyndigheter. Vid skadestånd i gränsöverskridande situationer tillämpas Brysselförordningen (EU) 1215/2012 för domstols behörighet och Romförordningen II (EG) 864/2007 för tillämplig lag.

Följande misstag förekommer regelbundet vid utformning av GDPR-begäran om Registerutdrag i Sverige och försvagar den registrerades position vid handläggning enligt artikel 15 GDPR.

Misstag 1 - Otydlig rättslig grund. En vag formulering som 'kan jag få mina uppgifter' eller 'jag vill veta vad ni har om mig' kan tolkas som annan typ av begäran (offentlighetsbegäran, allmän kundförfrågan, eller GDPR-begäran utan tydlig artikelhänvisning). Detta kan leda till att personuppgiftsansvarig inte aktiverar de strikta GDPR-tidsfristerna. Tydlig hänvisning till artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) samt lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning säkerställer korrekt handläggning och att en-månads-tidsfristen enligt artikel 12.3 GDPR börjar löpa direkt vid mottagandet.

Misstag 2 - Bristfällig identitetsverifiering. Att skicka begäran utan tillräckliga identifieringsuppgifter (endast namn utan personnummer eller adress) kan leda till att personuppgiftsansvarig begär kompletterande information enligt artikel 12.6 GDPR, vilket fördröjer handläggningen. Inkludera fullständigt namn, personnummer i format ÅÅÅÅMMDD-XXXX, folkbokföringsadress samt eventuellt kundnummer eller anställningsnummer. Vid känsliga uppgifter kan bestyrkt kopia av legitimation eller verifiering via Bank-ID krävas i förväg.

Misstag 3 - För smal omfattning utan motivering. Att avgränsa begäran till mycket smala kategorier ('endast min senaste fakturadetaljer') kan resultera i ofullständig bild av behandlingen och missade upptäckter, exempelvis profileringsuppgifter eller överföring till tredje land. Vid osäkerhet bör bred begäran om 'samtliga personuppgifter som behandlas om mig' användas. Smal begäran är endast motiverad när du har specifik anledning, exempelvis vid pågående tvist om visst ärende eller anställningsförhållande.

Misstag 4 - Saknat krav på kompletterande information enligt artikel 15.1 GDPR. Endast begäran om kopia på personuppgifterna utan att kräva kompletterande upplysningar (ändamål, rättslig grund, mottagare, lagringstid, automatiserat beslutsfattande) ger ofullständig bild av behandlingen. Räkna upp samtliga punkter enligt artikel 15.1 GDPR: bekräftelse på behandling, ändamål, kategorier av personuppgifter, mottagare (särskilt i tredje land), planerad lagringstid, rätten till rättelse, radering, begränsning och invändning, klagomålsrätt till IMY, källa om inte direkt insamlat samt automatiserat beslutsfattande enligt artikel 22.

Misstag 5 - Saknad påminnelse om tidsfrister. Begäran utan tydlig påminnelse om en-månads-tidsfristen enligt artikel 12.3 GDPR och möjlig två-månaders-förlängning för komplicerade ärenden kan leda till att personuppgiftsansvarig dröjer med svar utan att underrätta dig om förlängning. Tydligt påpekande om tidsfristerna samt konsekvenserna vid uteblivet svar (klagomål till IMY enligt artikel 77 GDPR, rättslig prövning enligt artikel 79 GDPR, skadestånd enligt artikel 82 GDPR) skapar tryck på korrekt handläggning.

Misstag 6 - Felaktig mottagare. Att skicka begäran till generell kundtjänst eller VD i stället för dataskyddsombud (DPO) eller juridisk avdelning kan fördröja handläggningen avsevärt. Sök efter 'dataskyddsombud', 'DPO' eller 'privacy@' på personuppgiftsansvarigs webbplats. Större organisationer publicerar dataskyddsombudets kontaktuppgifter i sin integritetspolicy enligt artikel 13 GDPR. För myndigheter står ofta uppgifterna under 'kontakt' eller 'organisation'. Felaktig mottagare kan dock inte vara grund för att inte aktivera tidsfristen, men det skapar oklarhet och risk för fördröjning.

Misstag 7 - Avsaknad av leveransbevis. Att skicka begäran med vanlig post eller e-post utan kvitto eller bekräftelse på mottagandet skapar bevisproblem vid eskalering. Vid skriftlig postförsändelse rekommenderas rekommenderat brev med mottagningsbevis från PostNord. Vid e-post bör read receipt eller manuell bekräftelse från mottagaren begäras. Vid digital försändelse via portal eller säker e-post bör skärmdump eller automatisk bekräftelse sparas. Bevis på leverans behövs för att kunna styrka mottagningsdatum och starttidpunkt för en-månads-tidsfristen vid eventuellt klagomål till IMY.

Misstag 8 - Acceptera orimliga avgifter. Personuppgiftsansvarig får enligt artikel 12.5 GDPR endast ta ut rimlig administrativ avgift vid uppenbart ogrundade eller orimliga begäranden, särskilt på grund av att de upprepas, med bevisbörda hos personuppgiftsansvarig. Att utan invändning acceptera avgiftsdebitering vid förstagångsbegäran eller motiverad omtagning är ofta felaktigt. Vid avgiftskrav bör motivering begäras skriftligen i förväg, varefter klagomål till IMY kan inges om motiveringen är otillräcklig. Standardregeln är kostnadsfri handläggning, vilket bör markeras tydligt i begäran för att avskräcka från orättfärdig debitering.