Vad är rätten till tillgång?
Rätten till rätt till tillgång är ett kraftfullt verktyg, eftersom den ger dig möjlighet att få veta vilken information företag har om dig, varför de har den och vad de gör med den. Därför är en begäran om tillgång ofta ett första steg och en förutsättning för att utöva andra rättigheter enligt GDPR och ett sätt att ta reda på om dina rättigheter kränks.
Omfattning av rätten till tillgång
Rätten till tillgång ger dig rätt att få en kopia av dina uppgifter, men också rätt att få detaljerade förklaringar som gör det möjligt för dig att förstå om uppgifterna behandlas lagligt. Du har rätt att få reda på följande
- för vilka ändamål dina uppgifter används
- kategorierna av dessa uppgifter
- om företaget har delat dina uppgifter med tredje part och i så fall vilka dessa parter är (du har rätt att få namnen på alla dessa parter)
- eventuella källor som företaget har fått dina personuppgifter från
- hur länge företaget lagrar dina uppgifter
- vilka andra rättigheter du har gentemot ett företag, inklusive rätten att rätta dina uppgifter, att radera dina uppgifter (under vissa omständigheter) eller att begränsa eller invända mot att företaget använder dina uppgifter
- om företaget använder dina uppgifter i en automatiserad beslutsprocess (t.ex. beslut som fattas av AI eller en algoritm), meningsfull information om logiken bakom algoritmen och den betydelse och de konsekvenser som företaget förutser för användningen av dina uppgifter på detta sätt
- om uppgifterna skickas utanför Europeiska unionen och, om så är fallet, vilka skyddsåtgärder som vidtagits för att skydda dina uppgifter.
Hur du utövar dina rättigheter
- Du kan skicka ett informellt meddelande där du anger att du vill utöva din rättighet enligt artikel 15 i GDPR. Det finns ingen skyldighet att ange vilka specifika uppgifter du vill få tillgång till (eftersom du kanske inte känner till dem ännu), men om du är intresserad av mycket specifika uppgifter kan du begränsa din begäran till dessa uppgifter.
Typiska problem
- Företaget svarar inte inom utsatt tid
- Företaget skickar bara delar av den information som krävs
- Du får bara ett allmänt svar (t.ex. alla syften anges, men det framgår inte vilka uppgifter som behandlas för vilket syfte, eller företaget nämner att de "kan ha dina uppgifter utan att säga om de faktiskt har dem)
- Du får bara ett standardsvar i stället för ett personligt svar (t.ex. företaget hänvisar dig till integritetspolicyn och förklarar inte vad som egentligen hände med dina uppgifter)
- Företaget ger bara information bit för bit på ytterligare förfrågningar.
- Det är ofta svårt att ta reda på om information saknas, eftersom du inte kan inspektera företagets servrar. Det är bra att leta efter inkonsekvenser i svaret, kontrollera offentligt tillgänglig information eller ställa ytterligare frågor om du inte är säker på att all information lämnades.
Det är enkelt att utöva sina rättigheter enligt GDPR och i de flesta fall räcker det med ett informellt e-postmeddelande. Men det finns ändå några saker att tänka på. Klicka här om du är intresserad av användbara tips!