Rätt till tillgång till personuppgifter

Rätten till tillgång , även kallad rätten till tillgång och ( data ) subjektets tillgång , är en av de mest grundläggande rättigheterna i dataskyddslagar runt om i världen. Till exempel har USA, Singapore, Brasilien och länder i Europa alla utvecklade lagar som reglerar tillgång till personuppgifter som integritetsskydd. Europeiska unionen säger att: "Rätten till tillgång har en central roll i EU:s dataskyddslagars arsenal av bemyndigande åtgärder för registrerade." Denna rätt är ofta operationaliserad som en begäran om tillträde till ämnet.

europeiska unionen

Rätten till tillgång är inskriven som en del av den grundläggande rätten till dataskydd i Europeiska unionens stadga om de grundläggande rättigheterna . Det är faktiskt den enda av de praktiska rättigheterna för personuppgifter som finns uppräknade där.

I GDPR definieras denna rättighet i olika avsnitt av artikel 15. Det finns även rätt till tillgång i GDPR:s partnerlagstiftning, Data Protection Law Enforcement Directive. European Data Protection Board (EDPB) har ansett att det är "nödvändigt att ge mer exakt vägledning om hur rätten till tillgång måste implementeras i olika situationer". När EU-direktivet införlivas i medlemsstaternas nationella lagstiftning kan rätten till tillgång tillfälligt upphävas eller begränsas, som i fallet med Tyskland i artikel 34 i dess Bundesdatenschutzgesetz . På europeisk nivå erbjuder Europol dessutom en rätt till tillgång.

Storbritannien

I Storbritannien står det på webbplatsen för informationskommissionärens kontor angående Subject Access Requests (SAR): " Du har rätt att ta reda på om en organisation använder eller lagrar dina personuppgifter. Detta kallas rätten till åtkomst. Du utövar denna rättighet genom att be om en kopia av uppgifterna, vilket är allmänt känt som att göra en "subject access request." Innan den allmänna dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018, kunde organisationer ta ut en specificerad avgift för att svara på en SAR på upp till £10 för de flesta förfrågningar. Enligt GDPR: " En kopia av dina personuppgifter ska tillhandahållas gratis i ett vanligt använt och maskinläsbart format. En organisation kan ta betalt för ytterligare kopior. Den kan bara ta ut en avgift om den anser att begäran är "uppenbart ogrundad eller överdriven" Om så är fallet kan den begära en rimlig avgift för administrativa kostnader i samband med begäran . "

Singapore

Personuppgifter i Singapore är skyddade enligt Personuppgiftslagen 2012 (PDPA). PDPA upprättar en dataskyddslag som omfattar olika regler för insamling, användning, avslöjande och vård av personuppgifter. Tillgång till personuppgifter anges som en del av del IV, kapitel 21 som anger att på begäran av en individ ska en organisation så snart som rimligen är möjligt förse individen med:

• (a) personuppgifter om individen som är i organisationens besittning eller kontroll; och
• (b) information om de sätt på vilka de personuppgifter som avses i punkt (a) har använts eller kan ha använts eller avslöjats av organisationen inom ett år före dagen för begäran

Förenta staterna

Fem federala lagar inkluderar en rätt till tillgång till personuppgifter:

• FCRA Fair Credit Reporting Act ,
• FERPA Family Educational Rights and Privacy Act ,
• COPPA Children's Online Privacy Protection Act ,
• HIPAA Health Insurance Portability and Accountability Act .
• Privacy Act från 1974 .

Dessutom har vissa statliga lagar som CCPA California Consumer Privacy Act börjat inkludera denna rätt.

Brasilien

Enligt den brasilianska allmänna dataskyddslagen måste förfrågningar om tillgång till föremål uppfyllas inom 15 dagar.

Transatlantiska dataflöden

Transatlantiska dataflöden (eller åtminstone de som går västerut mot USA) styrs av EU–US Privacy Shield . En av Privacy Shield-principerna är rätten till åtkomst. Det är faktiskt mest grundläggande för att möjliggöra ansvarsmekanismer kring behandling av personuppgifter. Det här exemplet visar att en europeisk uppfattning om integritet inte nödvändigtvis måste uppfattas av amerikanska aktörer som att den på ett orimligt sätt inför nya begränsningar av yttrandefriheten för registrerade.

Denna Privacy Shield-praxis visar också att fallet med civilt dataskydd (som enligt GDPR) skiljer sig helt från fallet med brottsutredning, där en rätt till tillgång utövas som en "databegäran" av en regering, inte en individ, som i USA:s högsta domstolsmål Microsoft Corp. mot USA . Den enskilde i brottmål har rätt att få veta vilka uppgifter som används om honom/henne och för vilket brott han/hon är anklagad.

Förenta nationerna

Det ambitiösa mål 16 för hållbar utveckling, mål 9, kräver tillhandahållande av juridisk identitet för alla människor. "I den digitala ekonomin blir detta rätten till en digital identitet." En sådan identitet skulle kunna hjälpa till att lämna in begäranden om tillgång till ämnet.

Se även

• Max Schrems#Complaints with the Irish Data Protection Commissioner 2011
• Facebook–Cambridge Analytica dataskandal
• Datatillgång
• Microsoft Corp. mot USA

Vidare läsning

• Norris, Clive, Antonella Galetta, Paul de Hert och Xavier L'Hoiry. 2016. The Unaccountable State of Surveillance: Exercising Access Rights in Europe (bok).
• Ausloos, Jef, René Mahieu, Michael Veale. 2019. Att få rätt till datasubjekt: En inlämning till European Data Protection Board från internationella datarättsakademiker, för att informera om regulatorisk vägledning, 40 sidor | doi=10.31228/osf.io/e2thg |
• Mahieu, René, Jef Ausloos. 2020. Erkänna och möjliggöra den kollektiva dimensionen av GDPR och rätten till åtkomst. LawArXiv. 2 juli doi:10.31228/osf.io/b5dwm