Dataskydd

Registerutdrag enligt GDPR: rätten till tillgång (art. 15)

Registerutdrag enligt GDPR: vad artikel 15 kräver, enmånadsfristen, identitetskontroll, undantag och format – med Spotify-fallet (58 MSEK).

Also available in:English·Français·Deutsch

Ett registerutdrag enligt GDPR ska lämnas ut utan onödigt dröjsmål och senast inom en månad från att begäran kommit in, och det ska omfatta både en kopia av personuppgifterna och den information som räknas upp i artikel 15 i dataskyddsförordningen. Rätten till tillgång är den mest utnyttjade av de registrerades rättigheter – och den som IMY oftast granskar. Den här guiden förklarar vad artikel 15 kräver, hur fristen och identitetskontrollen fungerar, vilka undantag som finns och i vilket format utdraget ska lämnas.

Viktigaste punkterna

  • Artikel 15 ger den registrerade rätt till både bekräftelse, information och en kopia av sina personuppgifter.
  • Svarsfristen är en månad, med möjlighet till förlängning med två månader vid komplexa begäranden (art. 12.3).
  • Utdraget är i regel kostnadsfritt; en rimlig avgift får tas ut endast vid uppenbart ogrundade eller orimliga begäranden (art. 12.5).
  • Sveriges största GDPR-böter hittills – 58 miljoner kronor mot Spotify (2023) – gällde just brister i rätten till tillgång.

Vad har den registrerade rätt att få?

Artikel 15.1 ger den registrerade rätt att få veta om personuppgifter behandlas och, om så är fallet, tillgång till uppgifterna samt följande information:

  • Ändamålen med behandlingen.
  • Kategorierna av personuppgifter.
  • Mottagarna eller kategorierna av mottagare, särskilt i tredjeländer.
  • Den planerade lagringstiden eller kriterierna för den.
  • Förekomsten av rätten till rättelse, radering och begränsning.
  • Rätten att lämna klagomål till IMY.
  • Uppgifternas källa om de inte samlats in från den registrerade.
  • Förekomsten av automatiserat beslutsfattande, inklusive profilering, och logiken bakom det.

Utöver denna information ska den ansvarige enligt artikel 15.3 lämna en kopia av de personuppgifter som behandlas. Det är här många organisationer brister: de svarar med en generisk beskrivning i stil med integritetspolicyn i stället för att lämna ut de faktiska uppgifterna om just den personen.

Enmånadsfristen och förlängning

Svar ska lämnas utan onödigt dröjsmål och senast inom en månad från mottagandet (art. 12.3). Fristen får förlängas med ytterligare två månader om begäran är komplex eller om flera begäranden inkommit, men då måste du informera den registrerade om förlängningen och skälen inom den första månaden. Att bara låta fristen passera är inte ett alternativ – uteblivet svar behandlas av IMY som en överträdelse.

Identitetskontroll

Innan du lämnar ut uppgifter måste du vara rimligt säker på vem som begär dem. Om du har rimliga skäl att tvivla på identiteten får du enligt artikel 12.6 begära ytterligare information för att bekräfta den. Men kravet ska vara proportionellt: att rutinmässigt kräva kopia på legitimation för varje begäran kan i sig strida mot dataminimeringsprincipen. Anpassa kontrollen efter uppgifternas känslighet – ett utdrag om hälsouppgifter motiverar strängare kontroll än ett nyhetsbrevsregister.

Undantag och begränsningar

Rätten till tillgång är stark men inte absolut. Artikel 15.4 anger att rätten att få en kopia inte får inkräkta på andras rättigheter och friheter – exempelvis om ett dokument innehåller uppgifter om tredje person. I sådana fall maskerar du de andras uppgifter i stället för att neka utdraget helt. I Sverige begränsas rätten dessutom av bland annat tystnadsplikt och sekretess; för advokatbyråer kan advokatsekretessen inskränka vad som lämnas ut. Ett generellt avslag är däremot sällan hållbart – utgångspunkten är att uppgifterna ska lämnas.

Format och leverans

Om begäran görs elektroniskt ska informationen enligt artikel 15.3 tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Utdraget ska vara begripligt – råa databasutdrag utan förklaring uppfyller sällan kravet på klar och tydlig information. Tänk också på säkerheten vid leverans: skicka inte känsliga uppgifter i ett okrypterat mejl.

Spotify: 58 miljoner för brister i rätten till tillgång

Det tydligaste svenska exemplet är IMY:s beslut mot Spotify i juni 2023, med en sanktionsavgift på 58 miljoner kronor – den största GDPR-boten i Sverige hittills. Efter klagomål granskade IMY hur bolaget hanterade begäranden om registerutdrag. Bristerna gällde inte att Spotify vägrade svara, utan att informationen som lämnades var otillräckligt specifik och begriplig: de registrerade fick inte tillräckligt tydlig information om hur deras uppgifter användes, och det var svårt att förstå den utlämnade datan.

Lärdomen är att det inte räcker att lämna ut något. Utdraget måste vara fullständigt, specifikt för individen och begripligt. Grunden för att kunna göra det är att veta vilka uppgifter du behandlar och var – vilket är exakt vad en aktuell registerförteckning ger.

Registerutdrag och andra rättigheter

Rätten till tillgång är ofta första steget för en person som vill utöva sina övriga rättigheter. När den registrerade sett vilka uppgifter du behandlar följer inte sällan en begäran om rättelse (art. 16) eller om radering enligt rätten att bli glömd. Det gör att en bra rutin för registerutdrag i praktiken behöver hänga ihop med rutinerna för de andra rättigheterna – annars svarar du korrekt på tillgångsbegäran men fastnar i nästa steg. IMY:s vägledning om de registrerades rättigheter beskriver hur rättigheterna samspelar, och Europeiska dataskyddsstyrelsens riktlinjer om rätten till tillgång klargör hur omfattande en kopia ska vara.

Så bygger du en rutin som håller

En begäran om registerutdrag kan komma via mejl, telefon, ett webbformulär eller sociala medier – och fristen börjar löpa direkt. En hållbar rutin kräver att du: kan identifiera var personuppgifter finns i alla system, har en mall för svaret som täcker hela artikel 15, och loggar när begäran kom in och när den besvarades. Ju fler system uppgifterna ligger spridda i, desto svårare blir manuell insamling – en medelstor organisation kan ha samma persons uppgifter i CRM, e-post, supportsystem, ekonomisystem och backuper samtidigt. Plattformar som Legiscope kopplar rätten till tillgång till registret så att du vet var uppgifterna finns – och kostnadsbilden för sådana verktyg beskrivs i vår kostnadsguide. Ansvaret för att rutinen fungerar övervakas av dataskyddsombudet där ett sådant finns.

Vanliga frågor

Får vi ta betalt för ett registerutdrag?

Nej, som huvudregel är det kostnadsfritt. En rimlig administrativ avgift får tas ut endast om begäran är uppenbart ogrundad eller orimlig, exempelvis vid upprepade begäranden. Du får också ta ut en avgift för ytterligare kopior utöver den första (art. 15.3).

Hur snabbt måste vi svara på en begäran om registerutdrag?

Utan onödigt dröjsmål och senast inom en månad. Fristen kan förlängas med ytterligare två månader vid komplexa eller talrika begäranden, men bara om du informerar den registrerade om förlängningen inom den första månaden.

Kan vi neka ett registerutdrag?

Bara i begränsade fall. Rätten får inte inkräkta på andras rättigheter (art. 15.4), och begränsas i Sverige av bland annat sekretess. Uppenbart ogrundade eller orimliga begäranden kan avslås eller avgiftsbeläggas. Ett generellt avslag utan rättsligt stöd är däremot en överträdelse.

Måste vi lämna ut interna anteckningar och mejl?

Ja, i den mån de innehåller personuppgifter om den som begär utdraget och ingen begränsning gäller. Uppgifter om andra personer i samma dokument ska dock maskeras. Rent interna bedömningar kan i vissa fall omfattas av undantag, men utgångspunkten är att personuppgifterna ska lämnas ut.

Slutsats

Rätten till tillgång enligt artikel 15 är enkel i teorin men krävande i praktiken: du har en månad på dig att lämna en fullständig, specifik och begriplig kopia av en persons uppgifter, tillsammans med lagstadgad information. Spotify-fallet visar att otydliga eller ofullständiga svar kostar – 58 miljoner kronor. Den organisation som vet var dess uppgifter finns och har en färdig rutin klarar begäran på rutin i stället för i panik. Behandla varje begäran som en möjlighet att visa att ni har ordning på era uppgifter: ett snabbt, komplett och begripligt svar bygger förtroende hos den registrerade och minskar risken för ett klagomål till IMY. Det som ser ut som en administrativ börda är i praktiken ett kvitto på att hela er dataskyddsorganisation fungerar.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →