Gegevensbeschermingsautoriteit (GBA) anser att administratören av en mjukvaruplattform som gör det möjligt för människor att boka läkartider är ett personuppgiftsbiträde eftersom denne inte bestämmer ändamålen med behandlingen och därför inte behöver svara på en begäran om tillgång enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad utövade sin rätt till tillgång hos administratören av mjukvaruplattformen för en app och webbplats, som gjorde det möjligt för patienter att bläddra bland läkarmottagningar, identifiera sig, välja den läkare som de vill boka tid hos, välja önskad tid och bekräfta bokningen.
Plattformens administratör angav att denne endast agerade som personuppgiftsbiträde och behandlade personuppgifter för vårdgivarnas räkning. Plattformens administratör gav också den registrerade en lista över de läkare som den registrerade finns med i databasen. Den registrerade lämnade in ett klagomål till GBA då denne ansåg att svaret var otillräckligt och att administratören faktiskt var ansvarig för behandlingen.
När det gäller personuppgiftsansvar angav GBA att GDPR definierar en personuppgiftsansvarig som den person som bestämmer ändamålen och medlen för behandlingen av personuppgifter. I det aktuella fallet fann GBA att syftet med appen och webbplatsen var att ha ett schemaläggningssystem online, utbyta uppgifter med andra appar och göra helt automatiserade tidsbeställningar. Syftet fastställdes därför självständigt av vårdgivaren. Plattformens administratör tillhandahöll helt enkelt ett kalendersystem online för att uppnå detta syfte, varför plattformens administratör ansågs vara ett personuppgiftsbiträde.
När det gäller rätten till tillgång påpekade GBA att de rättigheter som den registrerade har måste utövas gentemot den personuppgiftsansvarige. Det angavs att ingen bestämmelse i GDPR ger den registrerade någon grund för att utöva sin rätt till tillgång direkt gentemot personuppgiftsbiträdet. I det aktuella fallet försökte personuppgiftsbiträdet upprepade gånger att ge information till den registrerade och förklara att begäran om tillgång skulle riktas till varje vårdgivare. GBA drog därför slutsatsen att det inte förelåg någon överträdelse av artikel 4.7 i GDPR, jämförd med artiklarna 12.3, 12.4 och 15.1 GDPR.