Fråga: Vad ska jag lämna ut om någon begär ett registerutdrag? Ska jag lämna ut hela mail?
Svar: Till att börja med är det viktigt att agera i tid och absolut senast inom en månad vid en begäran från en registrerad. Vid en begäran är det bra att säkerställa identiteten på den som begär registerutdraget för att se till att utdraget hamnar hos rätt person. När den registrerades identitet ska kontrolleras, ska detta göras utifrån lämpliga medel kopplat till de personuppgifter som ni redan behandlat. Har ni till exempel endast den registrerades e-post och namn, kan ett mail från den registrerades mailadress vara tillräckligt för att bekräfta identiteten. Den registrerades identitet ska alltså säkerställas, men tillvägagångssättet för detta är inte alltid detsamma.
Den registrerade har rätt till tillgång enligt artikel 15 GDPR. Detta innefattar en rätt för den registrerade att få veta för vilka ändamål uppgifterna behandlas och vilka kategorier av personuppgifter om den registrerade som ni behandlar (exempelvis namn, adress, telefonnummer). Den registrerade har även en rätt att få reda på om företaget lämnar ut uppgifter till en annan part inom EU eller tredje land, exempelvis om företaget använder sig av underleverantörer. I övrigt har den registrerade rätt att få reda på den förutsedda period under vilka personuppgifterna kommer att lagras och varifrån uppgifterna kommer. Det kan finnas information som den registrerade inte får ta del av. Det kan vara exempelvis om utlämnandet skulle medföra nackdelar för andra eller om annan lagstiftning hindrar att ett registerutdrag lämnas ut. Ett annat exempel på när undantaget aktualiseras är om personuppgifterna inte fått sin slutliga utformning när begäran gjordes, exempelvis minnesanteckningar eller liknande. Rätten till tillgång är inte heller tillämplig om det finns uppgifter som inte skulle lämnas ut enligt offentlighets- och sekretesslagen, som exempelvis uppgifter i en förundersökning eller uppgifter om hälsotillstånd.
Den registrerades rätt innefattar alltså en rätt att få en kopia på uppgifterna som behandlas om denne. En kopia på personuppgifterna är dock inte samma som en kopia på handlingen där personuppgifterna förekommer. Detta har tagits upp både i EU-domstolen YS m.fl. C-141/12 och C-372/12, och i Kammarrätten i Göteborg 2019-09-17, målnummer 1677-19. Domstolen uttalade i dessa domar att personuppgifterna ska tillhandahållas som en sammanställning av de behandlade uppgifterna i en begriplig form. Det finns däremot inget krav på att själva originalhandlingen ska lämnas ut. Sammanfattningsvis behöver mejl inte lämnas ut i sin helhet till den registrerade men den registrerade har rätt att få veta exempelvis vilka personuppgifter det rör sig om och med vilket ändamål personuppgifterna behandlas.