Två vanliga och viktiga begrepp inom GDPR, som även kan vara enkla att blanda ihop, är skillnaden mellan obehörig åtkomst och obehörigt röjande. När det är fråga om obehörig åtkomst, är det en personuppgiftsincident där någon obehörig person har fått ta del av en personuppgift. Obehörigt röjande innebär istället att det är den personuppgiftsansvarige som publicerat eller personuppgifter utan tillstånd eller på felaktigt sätt. Detta gäller oavsett om det sker inom företaget eller externt. Det är också skillnad på personuppgifter med subjektiv och objektiv karaktär.
Skillnaden mellan obehörig åtkomst och obehörigt röjande
Obehörig åtkomst
Obehörig åtkomst sker när någon som inte ska få tillgång till personuppgifter, får tillgång till personuppgifter. Detta gäller oavsett om det är någon utanför företaget eller inom företaget. Dessutom kan det ske avsiktligt eller oavsiktligt.
En anställd kan ha behörighet att behandla vissa personuppgifter inom sitt arbetsområde, men inte andra personuppgifter. Vid ett sådant fall om är det viktigt att företaget exempelvis begränsar olika IT-system som de olika användarna använder. Det bör ske för att kontrollera och styra vilka anställda som får tillgång till personuppgifter, för att förhindra obehörig åtkomst av personuppgifter.
Obehörigt röjande
Om personuppgifter har blivit exempelvis offentligt publicerade av en personuppgiftsansvarig utan tillstånd från den registrerade personen ifråga, är det en fråga om obehörigt röjande av personuppgifter. Dessutom gäller det om den personuppgiftsansvarige sprider information som inte stämmer och är felaktig. Oavsett om en mottagare tar del av det som blivit obehörigt röjt eller inte, är det fråga om obehörigt röjande.
