Bryssel den 20 januari - Europeiska dataskyddsstyrelsen (EDPB) har antagit en rapport om genomförandet av registeransvarigas rätt till tillgång. I rapporten sammanfattas resultatet av en rad samordnade nationella åtgärder som genomfördes 2024 inom ramen för den samordnade tillsynsramen (FSE). Den listar de problem som observerades för vissa personuppgiftsansvariga, tillsammans med en rad rekommendationer för att hjälpa dem att genomföra rätten till tillgång. Ett centralt inslag är de personuppgiftsansvarigas medvetenhet om EDPB:s riktlinjer 01/2022 om registrerades rättigheter – Rätt till tillgång och om dessa riktlinjer har följts i praktiken.
Europeiska dataskyddsstyrelsens vice ordförande Zdravko Vukíc sade: ”FSE är ett värdefullt initiativ som bidrar till att stärka samarbetet mellan dataskyddsmyndigheter: Genom att ta itu med utvalda ämnen på ett samordnat sätt uppnår de större effektivitet och konsekvens. Hur de personuppgiftsansvariga genomför rätten till tillgång står i centrum för dataskyddet och är en av de rättigheter som de registrerade oftast utövar.”
Under 2024 inledde 30 dataskyddsmyndigheter i hela Europa samordnade utredningar av personuppgiftsansvarigas efterlevnad av rätten till tillgång genom att inleda formella utredningar, bedöma om en formell utredning var motiverad och/eller genomföra undersökningsuppdrag. Totalt 1 185 personuppgiftsansvariga, bestående av små och medelstora företag och stora företag som är verksamma inom olika branscher och områden samt olika typer av offentliga enheter, svarade på åtgärden.
Förbättringsområden och huvudsakliga utmaningar
Resultaten tyder på att det behövs mer information om riktlinjerna 01/2022, både på nationell nivå och EU-nivå, eftersom riktlinjerna hjälper personuppgiftsansvariga att genomföra rätten till tillgång, förklarar hur utövandet av denna rätt kan underlättas och anger undantagen och begränsningarna för rätten till tillgång.
Till följd av FSE-åtgärden 2024 identifierades sju utmaningar. En av dem är bristen på dokumenterade interna förfaranden för att hantera begäranden om åtkomst. Dessutom observerades inkonsekventa och överdrivna tolkningar av gränserna för rätten till tillgång, såsom att alltför mycket förlita sig på vissa undantag för att automatiskt avslå begäranden om tillgång. Ett annat exempel är de hinder som enskilda personer kan stöta på när de utövar sin rätt till tillgång, såsom formella krav eller krav på att tillhandahålla överdrivna identitetshandlingar. För varje identifierad utmaning innehåller rapporten en förteckning över icke-bindande rekommendationer som ska beaktas av personuppgiftsansvariga och dataskyddsmyndigheter.
Positiva resultat
Trots de befintliga utmaningarna utvärderade två tredjedelar av de deltagande dataskyddsmyndigheterna graden av efterlevnad hos de svarande personuppgiftsansvariga när det gäller rätten till tillgång från ”genomsnittlig” till ”hög”. En viktig faktor som konstaterades ha en inverkan på graden av efterlevnad var volymen av begäranden om åtkomst som mottagits av personuppgiftsansvariga samt organisationens storlek. Mer specifikt var det mer sannolikt att stora personuppgiftsansvariga eller personuppgiftsansvariga som tog emot fler förfrågningar nådde en högre efterlevnadsnivå än små organisationer med mindre resurser.
Positiva resultat observerades i hela Europa. Dessa inbegriper personuppgiftsansvarigas genomförande av bästa praxis, såsom användarvänliga onlineformulär som gör det möjligt för enskilda personer att enkelt lämna in en begäran om åtkomst samt självbetjäningssystem som gör det möjligt för enskilda personer att självständigt ladda ner sina personuppgifter med några få klick och när som helst.
Bakgrund och nästa steg
FSE är en nyckelåtgärd för EDPB inom ramen för dess strategi för 2024–2027, som syftar till att effektivisera tillsynen och samarbetet mellan dataskyddsmyndigheter.
Under de senaste tre åren har två tidigare FSE-åtgärder genomförts.
Resultaten av dessa nationella åtgärder aggregeras och analyseras tillsammans för att ge en djupare inblick i ämnet och möjliggöra riktad uppföljning på både nationell nivå och EU-nivå.
År 2023 offentliggjorde EDPB rapporten om sin första samordnade åtgärd om den offentliga sektorns användning av molnbaserade tjänster.
Under 2024 offentliggjorde EDPB också rapporten om resultatet av den andra samordnade åtgärden om utnämning av och ställning för dataskyddsombud.
FSE 2025-åtgärden kommer att handla om genomförandet av rätten till radering.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.