Datatilsynet har i ett särskilt fall undersökt i vilken utsträckning en personuppgiftsansvarig är skyldig att granska material för att uppfylla en begäran om tillgång enligt dataskyddsförordningen (GDPR), när det rör sig om ett mycket stort antal dokument som i huvudsak har tagits fram inom ramen för sökandens arbete.
Bakgrunden till Datatilsynets granskning var ett klagomål enligt vilken en registrerad begärt tillgång till handlingar i samband med ett pågående rättsligt förfarande. Den registrerades begäran om tillgång skulle dock kräva identifiering, insamling, granskning och bedömning av mer än en miljon dokument som var fördelade på olika företag för att avgöra om personuppgifter om den registrerade som kan förekomma i dessa dokument bör lämnas ut.
Den stora mängden handlingar som kunde innehålla information om den registrerade gällde i huvudsak företag Q, där den registrerade var styrelseledamot, och företag Z, där den registrerade var delägare, samt pågående rättsliga förfaranden, bland annat mot den registrerade, efter en företagsöverlåtelse.
Under dessa omständigheter ansåg Datatilsynet att de personuppgiftsansvariga inte var skyldiga att söka och granska dokumenten för att identifiera och avslöja information om den registrerade, jämför artikel 12.5 (b) GDPR. Mot denna bakgrund fann Datatilsynet ingen anledning att kritisera de personuppgiftsansvarigas hantering av den registrerades begäran om tillgång.
I sitt beslut betonade Datatilsynet att den registrerade inte specificerat sin begäran på ett sådant sätt att den skulle minska mängden material som skulle granskas för att identifiera information om honom. Datatilsynet betonade också att det fanns ett stort antal handlingar som kunde innehålla information om den registrerade, men där det måste antas att all information om den registrerade endast skulle förekomma “tillfälligt” i förhållande till syftet med handlingarna (i detta sammanhang, affärsverksamhet).