Begäran om registerutdrag (DSAR) — en komplett guide för dataskyddsombud

En begäran om registerutdrag är en formell begäran från en enskild person till en personuppgiftsansvarig, där de utövar sin rätt enligt artikel 15 GDPR att få bekräftelse på om deras personuppgifter behandlas och, om så är fallet, tillgång till dessa uppgifter tillsammans med specifik kompletterande information. Varje fysisk person vars uppgifter behandlas kan lämna in en begäran om registerutdrag. Det finns inga formkrav — begäran kan göras muntligt, via e-post, genom ett webbformulär eller till och med via sociala medier. Den sökandes identitet måste verifieras, men organisationen kan inte ställa orimliga hinder för att göra en begäran. Registerutdrag är inte begränsade till kunder. Anställda, tidigare anställda, arbetssökande, webbplatsbesökare och även affärskontakter kan lämna in dem. För organisationer med betydande HR-verksamhet är anställdas registerutdrag ofta de mest komplexa — de involverar uppgifter spridda över lönesystem, e-postarkiv, prestationsutvärderingar med mera.

Standardtidsfristen för att svara på en begäran om registerutdrag är en månad från mottagandet av begäran — inte en månad från identitetsverifiering eller bekräftelse, utan från mottagandet. Tidsfristen beräknas per kalendermånad: en begäran mottagen den 15 mars ska besvaras senast den 15 april. Förlängningar är möjliga enligt artikel 12(3) GDPR: om begäran är särskilt komplex eller om organisationen tar emot ett stort antal begäran kan tidsfristen förlängas med ytterligare två månader. Dock måste den personuppgiftsansvarige informera den registrerade om förlängningen inom den ursprungliga enmånadersperioden, inklusive skälen för fördröjningen. I praktiken ser de flesta tillsynsmyndigheter negativt på förlängningar som används som standardpraxis. De är avsedda för genuint komplexa ärenden — inte som en standardbuffert. Om du regelmässigt behöver förlängningar är det ett tecken på att din process för hantering av registerutdrag behöver förbättras. För externa dataskyddsombud som hanterar 15 klienter med i genomsnitt 3 registerutdrag per klient per år är det 45 individuella tidsfrister att spåra. Manuell spårning med kalenderposter är felbenägen och skalas inte. En enda missad tidsfrist kan resultera i ett klagomål till tillsynsmyndigheten och ryktesskada för både klienten och dataskyddsombudet.

Artikel 15 kräver att personuppgiftsansvariga tillhandahåller följande information som svar på en begäran om registerutdrag: ändamålen med behandlingen, kategorierna av berörda personuppgifter, mottagarna eller kategorierna av mottagare, den planerade lagringsperioden eller kriterierna för att fastställa den, rätten till rättelse, radering eller begränsning, rätten att lämna in ett klagomål till en tillsynsmyndighet, uppgifternas källa (om de inte samlats in direkt från den registrerade) och förekomsten av automatiserat beslutsfattande inklusive profilering. Utöver dessa metadata måste den personuppgiftsansvarige tillhandahålla en kopia av de personuppgifter som behandlas. Den första kopian ska tillhandahållas kostnadsfritt; för ytterligare kopior får en rimlig administrativ avgift tas ut. Svaret måste tillhandahållas i ett allmänt använt elektroniskt format om begäran gjordes elektroniskt. Det måste vara kortfattat, transparent och på ett klart, tydligt språk — särskilt om den registrerade är ett barn.

Inte varje begäran om registerutdrag behöver uppfyllas i sin helhet. Artikel 12(5) tillåter personuppgiftsansvariga att avslå begäran som är "uppenbart ogrundade eller orimliga" — till exempel upprepade begäran från samma person utan att ny behandling har skett. Bevisbördan för att en begäran är uppenbart ogrundad ligger hos den personuppgiftsansvarige. Juridiskt sekretesskydd och affärshemligheter kan också begränsa vad som måste lämnas ut. Om en fullständig kopia av alla uppgifter skulle avslöja proprietära algoritmer, affärsstrategier eller information om andra personer får den personuppgiftsansvarige maskera eller undanhålla den specifika informationen — men måste fortfarande besvara begäran i övrigt. Anställdas registerutdrag är särskilt komplexa. De involverar ofta uppgifter som finns hos flera avdelningar (HR, IT, ekonomi, ledning) och kan inkludera intern kommunikation om den anställde. Tillsynsmyndigheter förväntar sig generellt att organisationer söker i alla relevanta system, inklusive e-post, men konfidentiella ledningsdiskussioner om omstrukturering eller disciplinära åtgärder kan under vissa omständigheter vara undantagna. Vid tveksamhet, dokumentera dina resonemang för eventuella begränsningar eller undantag. Tillsynsmyndigheter är betydligt mer förstående när en personuppgiftsansvarig kan visa en genomtänkt, dokumenterad beslutsprocess än när de möter generella avslag.