Rätten till information för registrerade enligt GDPR innebär att företag som behandlar personuppgifter, måste ange vilka personuppgifter de behandlar om en individ vid dennes begäran. Med andra ord kan en individ begära att få tillgång till den information ett företag behandlar om personen ifråga. Detta gäller såväl innan personuppgifterna blir behandlade som efter de redan är behandlade. Det är den personuppgiftsansvarige som har ansvar att ge denna information inom en skälig tid efter begäran. Informationen ska skickas skriftligt, men det är tillåtet att skicka elektroniskt också.
Rätten till information för registrerade enligt GDPR
När en person begär om att få information om vilka personuppgifter som ett företag behandlar om denne, ska företag kommunicera det på ett tydligt sätt. Dessutom ska det ske på ett enkelt och tydligt språk, så att mottagaren kan förstå det. Däremot behöver inte företaget uppge informationen om personen redan har tillgång till den. Exempelvis om det står tydligt på en hemsida som personen har ett personligt inlogg till. Tänk på att informationen ska vara lättillgänglig för den enskilde.
Det som ska framgå av informationen som den personuppgiftsansvarige ska ge vid begäran är bland annat vilket syfte personuppgifterna är inhämtade för. Dessutom ska den rättsliga grunden för behandlingen framgå, om personuppgifterna är tänkta att bli överförda till ett tredje land. Det är bra för företag att ha färdiga svarsmallar. Detta för att kunna ge ett korrekt svar med rätt innehåll vid en begäran. Den personuppgiftsansvarige får inte ta betalt för att ge ut informationen. Däremot finns det undantag, exempelvis om det avser en person som ständigt begär ut sådant registerutdrag. Om behandlingen avser personuppgifter tillhörande barn är det extra viktigt att det är ett enkelt och tydligt språk när informationen ges. Till exempel fick ett företag i Holland betala en sanktionsavgift för att informationen var på engelska, istället för holländska.