Tillbaka till bloggens startsida

Sekretess och rätten till tillgång

10 december 2023

Många känner säkert till att GDPR medför en skyldighet för verksamheter lämna ut en kopia av de personuppgifter som de behandlar om en person om någon begär att utöva sin rätt till tillgång (artikel 15 GDPR). Denna skyldighet gäller för samtliga personuppgiftsansvariga, exempelvis myndigheter, företag och organisationer. Det är dock viktigt att komma ihåg att det finns andra lagar som kan vara tillämpliga och viktiga att hålla koll på. Till exempel har vi i Sverige offentlighets- och sekretesslagen (OSL), vilken bl.a. anger i vilka situationer uppgifter faktiskt inte får lämnas ut.

 

Offentlighetsprincipen

Offentlighetsprincipen innebär att allmänheten och massmedierna ska ha insyn i den offentliga förvaltningen hos staten och kommunerna och i viss enskilt bedriven verksamhet som innefattar offentliga förvaltningsuppgifter. Offentlighetsprincipen består av flera olika delar. Bland annat framkommer det i tryckfrihetsförordningen, en av Sveriges grundlagar, att var och en ska ha rätt att ta del av allmänna handlingar. Varje inskränkning i rätten att ta del av allmänna handlingar ska anges uttrykligen i lag. Främst regleras sådana inskränkningar i offentlighets- och sekretesslagen (OSL). Tryckfrihetsförordningen och yttrandefrihetsgrundlagen gäller före GDPR och dataskyddslagen om dessa skulle stå i strid med varandra.

Sekretess

Rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen är dock inte absolut, men får endast begränsas om det krävs med hänsyn till vissa intressen, exempelvis skyddet för en enskilds personliga eller ekonomiska förhållanden. Rätten att ta del av allmänna handlingar kan därmed begänsas genom att uppgifter lyder under sekretess.

Om sekretess föreligger får uppgift elle handling inte lämnas ut av den offentliga aktören. Sekretess förekommer i många olika situationer med hänsyn till olika intressen. Till exempel föreligger det sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen för personuppgifter om det kan antas att den som begär ut personuppgifterna kommer att behandla dem på ett sätt som strider mot GDPR. För att denna bestämmelse ska bli tillämplig krävs det att konkreta omständigheter för att personuppgifterna kan komma att hanteras felaktigt framkommit.

Några andra sekretessbestämmelser som kan vara bra att ha koll på är:

  • 21 kap. 1 § OSL, som stadgar att sekretess gäller för uppgift som rör enskilds hälsa eller sexualliv, exempelvis uppgift om sjukdomar eller missbruk.
  • 23 kap. 1 § OSL, som stadgar att sekretess gäller i förskola om en enskilds personliga förhållanden.
  • 26 kap. 1 § OSL, som stadgar att sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden.

GDPR och sekretess

Dataskyddsförordningen hindrar inte att personuppgifter som förekommer i allmänna handlingar lämnas ut för att uppfylla skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen. Däremot kan svenska sekretessbestämmelser (exv. OSL) hindra att uppgifter lämnas ut till en enskild som begärt tillgång till sina personuppgifter med stöd av GDPR. Sekretessbestämmelser kan alltså medföra att rätten till tillgång sätts inte kan tillgodoses fullt ut. Rätten till tillgång enligt GDPR beskivs i nästa stycke.

Notera dock att sekretess ofta inte gäller mot den person som uppgiften/handlingen rör.

 

Rätten till tillgång

Enligt artikel 15 GDPR har varje person rätt att få begära tillgång till sina personuppgifter. Denna rättighet brukar benämnas rätten till tillgång eller rätt till registerutdrag. Det innebär att om någon efterfrågar vilka personuppgifter som en organisation hanterar, ska den personuppgiftsansvarige lämna bekräftelsse på om de behandlar individens uppgifter och i så fall lämna information om bl.a. följande:

  • En kopia av personuppgifterna.
  • Ändamålet med den eller de behandlingar som omfattas.
  • Vilka andra parter som kan tänkas ta del av personuppgifterna (mottagare).
  • Hur länge personuppgifterna är planerade att sparas.
  • Varifrån uppgifterna har hämtats, om de inte kommer från den registrerade.

Informationen, d.v.s. registerutdraget, ska som huvudregel lämnas inom en månad från det att begäran mottagits. Det finns ingen begränsning hur många gånger en person kan begära tillgång till sina personuppgifter och det får inte kosta något för den enskilde att utöva denna rättighet (om begären inte är uppenbart ogrundad elle orimlig, vilket personuppgiftsansvarig måste visa).

Den information som ska lämnas om någon utövar sin rätt till tillgång omfattar däremot inte information om vilken laglig grund som behandlingen baseras på eller vilka säkerhetsåtgärder som vidtagits för att uppfylla kraven på teknisk och organisatorisk säkerhet i GDPR. Rätten till tillgång omfattar inte heller personuppgifter i löpande text som utgör utkast eller minnesanteckningar (se dataskyddslagen 5 kap. 2§).

Rätten till tillgång och offentlighetsprincipen kan verka ge individer snarlika möjligheter. Rätten till tillgång skiljer sig dock en del från offentlighetsprincipen. Det är till exempel bara den person som personuppgifterna rör som kan begära att få ut dem enligt rätten till tillgång i GDPR, medan vem som helst kan begära ut handlingar i enlighet med offentlighetsprincipen. Vidare gäller rätten till tillgång enbart personuppgifter, det vill säga man har inte rätt att få ut handlingarna i vilka personuppgifterna förekommer. Vid offentlighetsprincipen är det ofta handlingarna som lämnas ut, men om de innehåller sekretessbelagda uppgifter kan dessa maskas (d.v.s. täckas över med svart markering). Slutligen gäller offentlighetsprincipen för offentlig verksamhet medan rätten till tillgång gäller för alla verksamheter: inom offentlig likväl som privat sektor.

Rätten till tillgång är inte en absolut rättighet, utan begränsas precis som offentlighetsprincipen av svenska sekretessbestämmelser. En sekretessprövning ska därför göras innan personuppgifterna lämnas ut. Föreligger det sekretess för en viss personuppgift ska denna inte lämnas ut. Sekretessen måste i sådana fall föreligga även gentemot den enskilde som personuppgifter rör.

Läs mer om rätten till tillgång här.

 

Frågor?

GDPR Hero är ett verktyg för att på ett smidigt sätt uppfylla bland annat rätten till tillgång. Boka gärna en demo här för att få se hur!

Har ni några GDPR-frågor i er verksamhet? Ring oss gärna på 046 – 273 17 17 eller mejla oss på info@gdphero.se!

 

Josefin Karlström

info@gdprhero.se

046 – 273 17 17

 

Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning.

Andra relevanta blogginlägg

Vill du få en notis när nästa blogginlägg publiceras?