Vad är ett registerutdrag enligt GDPR? Din guide

maj 31, 2026, Jesper Thornberg

Många tror att ett registerutdrag enligt GDPR är samma sak som att begära ut allmänna handlingar. Det är en missuppfattning som orsakar problem på båda sidor av bordet. Den korrekta termen är rätt till tillgång, reglerad i artikel 15 i GDPR, och den ger dig som registrerad rätt att få en kopia av de personuppgifter en organisation behandlar om dig. Skillnaden mot offentlighetsprincipen är avgörande. Registerutdraget handlar om just dina personuppgifter, inte om att få ut hela dokument eller akter där ditt namn råkar förekomma.

Innehållsförteckning

Viktiga slutsatser

Punkt Detaljer
Rätten grundar sig i artikel 15 GDPR ger registrerade rätt att begära kopia av sina personuppgifter, inte hela handlingar.
Tidsfristen är en månad Organisationer måste svara inom 30 dagar, med möjlighet till förlängning om 60 extra dagar.
Format ska matcha begäran En elektronisk förfrågan ska besvaras i elektroniskt, allmänt använt format.
Identifiering krävs alltid Företaget måste verifiera din identitet innan utlämning för att skydda din integritet.
Brister kan kosta dyrt Felaktig hantering, sena svar eller utebliven dokumentation riskerar tillsynsmyndighetens ingripande.

Vad är ett registerutdrag enligt GDPR?

Det officiella begreppet i förordningen är rätt till tillgång, och ett registerutdrag är det praktiska verktyget för att utöva den rätten. Enligt artikel 15 i GDPR har du som registrerad rätt att begära en kopia av de personuppgifter som behandlas om dig, tillsammans med information om ändamål, mottagare och varifrån uppgifterna ursprungligen hämtades.

Det är inte en rätt att få ut hela journaler, kontrakt eller utredningar. Karolinska Universitetssjukhuset är ett tydligt exempel på hur ett registerutdrag i praktiken ska avgränsas till behandlade personuppgifter, inte till att expediera fullständiga handlingar i deras helhet.

Registerutdrag enligt GDPR ska innehålla följande kategorier av information:

  • Vilka personuppgifter som behandlas om dig
  • Ändamålen med behandlingen
  • De kategorier av personuppgifter som berörs
  • Vilka mottagare eller kategorier av mottagare som tagit del av uppgifterna
  • Hur länge uppgifterna lagras eller kriterierna för hur lagringstiden bestäms
  • Information om dina övriga rättigheter, till exempel rätten att rätta eller radera uppgifter
  • Om uppgifterna har hämtats från en annan källa än du själv

Proffstips: Kom ihåg att registerutdragets syfte är att ge dig kontroll och insyn i hur dina personuppgifter används, inte att ersätta en begäran om allmänna handlingar. De två rättigheterna existerar parallellt men är juridiskt åtskilda.

Skillnaden mot offentlighetsprincipen är värd att betona. När du begär ut allmänna handlingar enligt tryckfrihetsförordningen kan du ta del av dokument i deras helhet. Registerutdraget ger inte den rätten, utan fokuserar uteslutande på personuppgifter som aktivt behandlas om dig.

Hur du begär ett registerutdrag

Processen är enklare än många tror, men den kräver att du formulerar dig korrekt och vet vad du kan förvänta dig av organisationen. Följ dessa steg:

  1. Identifiera vilken organisation du vänder dig till. Det kan vara din arbetsgivare, en webbutik, din bank, en sjukvårdsaktör eller en myndighet. Varje personuppgiftsansvarig hanterar din förfrågan separat.

  2. Formulera begäran tydligt. Ange uttryckligen att du begär ett registerutdrag med stöd av artikel 15 i GDPR. Förtydliga i begäran vilket format du önskar svaret i, till exempel som PDF eller direkt via e-post. Det minskar risken för feltolkning.

  3. Skicka begäran via rätt kanal. Många organisationer har ett dedikerat formulär eller en e-postadress för dataskyddsfrågor. Kontakta dataskyddsombudet om ett sådant finns.

  4. Räkna med identitetskontroll. Organisationen har rätt och skyldighet att verifiera att det verkligen är du som begär uppgifterna. Det kan ske via BankID, legitimation eller liknande metod.

  5. Vänta på svar inom en månad. Tidsfristen enligt GDPR är 30 dagar från det att begäran tagits emot. I undantagsfall, om begäran är komplex eller om många förfrågningar inkommer samtidigt, får organisationen förlänga handläggningstiden med ytterligare två månader. Du ska då informeras om förlängningen och skälen till den inom den ursprungliga månaden.

  6. Kontrollera om du kan anlita ett ombud. Rätten till tillgång kan utövas av ett ombud, men detta kräver en fullmakt och att ombudets behörighet styrks på lämpligt sätt.

Proffstips: Om du skickar din begäran via e-post gäller att svaret ska ges i elektronisk form och i ett allmänt använt format, såvida du inte aktivt begär något annat. Kräv detta om du inte får det.

Utdraget är normalt kostnadsfritt. En avgift får enbart tas ut om begäran är uppenbart ogrundad eller överdriven, till exempel om samma person skickar identiska förfrågningar i snabb följd utan rimligt syfte.

Företags skyldigheter vid registerutdrag

För dig som jobbar i en organisation som tar emot förfrågningar om registerutdrag är kraven tydliga. Att hantera dem rätt handlar inte bara om att svara i tid, utan om att bygga en process som håller över tid.

Kollegor går tillsammans igenom ett utdrag ur GDPR-registret

Grundläggande formella krav

Organisationen är skyldig att tillgodose alla begäranden om registerutdrag som inkommer, såvida det inte föreligger ett undantag. Undantag kan gälla om uppgifterna rör tredje part vars rättigheter väger tyngre, eller om särskilda sekretessregler tillämpas. Sådana undantag är snäva och ska motiveras skriftligen.

Tabellen nedan sammanfattar de centrala skyldigheterna:

Skyldighet Krav enligt GDPR Konsekvens vid brister
Svara inom tidsfristen 30 dagar, möjlig förlängning med 60 dagar Tillsynsingripande, eventuell sanktion
Verifiera identitet Kontrollera namn, personnummer eller ombud Risk för dataintrång och ansvar
Leverera korrekt format Elektroniskt och allmänt använt format vid e-begäran Bristande uppfyllelse av artikel 15
Dokumentera hanteringen Spara kopia av begäran och svar Svårt att visa efterlevnad vid granskning
Informera om förlängning Meddela inom den ursprungliga månaden Anses ha nekat begäran utan sakliga skäl

Identitetskontroll är ett område där många organisationer underskattar risken. Att lämna ut personuppgifter till fel person är ett dataintrång i sig, oavsett om det skett i god tro. Rutinen för identifiering ska vara dokumenterad och konsekvent tillämpad.

Vanliga brister som tillsynsmyndigheter och jurister återkommande påpekar:

  • Svar som levereras för sent utan att förlängning kommunicerats
  • Registerutdrag som är ofullständiga och inte täcker alla behandlade uppgifter
  • Att man lämnar ut hela handlingar i stället för de relevanta personuppgifterna, vilket riskerar att exponera uppgifter om tredje part
  • Avsaknad av intern spårbarhet för inkomna begäranden
  • Att man kräver avgift utan att kunna motivera att begäran är ogrundad

Individuell bedömning av varje begäran är avgörande. Det går inte att ha en mall som tillämpas mekaniskt på alla ärenden. En begäran från en f.d. anställd kräver en annan analys än en begäran från en aktiv kund. Se Trustviews guide om registerförteckning enligt GDPR för stöd i hur du strukturerar din behandlingsöversikt.

Vanliga missförstånd och fallgropar

Så här begär du ett registerutdrag enligt GDPR – steg för steg i bild

Trots att GDPR funnits sedan 2018 är felaktig hantering av registerutdrag fortfarande ett av de vanligaste bristområdena vid tillsyn. Många av problemen beror inte på ond vilja, utan på grundläggande missuppfattningar om vad rätten faktiskt innebär.

Missförstånd 1: Registerutdraget ger rätt till hela akten.
Det är fel. Rätten gäller de personuppgifter som behandlas, inte de dokument i vilka de råkar förekomma. En patient som begär ett registerutdrag från ett sjukhus får alltså inte automatiskt ut hela journalen, utan de personuppgifter sjukhuset behandlar om henne eller honom.

Missförstånd 2: Det räcker att svara “vi har inga uppgifter”.
Om organisationen faktiskt behandlar uppgifter om personen räcker det inte att hänvisa till att man “inte hittar något”. Svaret måste vara specifikt och dokumenterat. Att inte svara alls, eller svara slentrianmässigt, är ett brott mot GDPR.

Missförstånd 3: Alla uppgifter ska alltid lämnas ut.
Vissa uppgifter kan undantas. Om ett utlämnande skulle röja uppgifter om en tredje person, eller om sekretessregler är tillämpliga, kan delar av svaret behöva anonymiseras eller utelämnas. Men detta ska motiveras, inte användas som en generell utebliven svar-strategi.

“En organisation som inte kan visa hur den hanterar registerutdrag kan inte heller visa att den följer GDPR. Process och dokumentation är inte administrativa detaljer, de är kärnan i efterlevnaden.”

Det fjärde och kanske mest underskattade misstaget är att sakna en utsedd person eller ett tydligt arbetsflöde för att ta emot och hantera förfrågningar. Utan det riskerar begäranden att fastna i inkorgar, vidarebefordras fel eller glömmas bort. Resultatet är sen hantering, vilket tillsynsmyndigheter ser på med allvar.

  1. Dokumentera alla inkomna begäranden med datum
  2. Tilldela ansvar till en specifik funktion, till exempel dataskyddsombudet
  3. Ha en checklista för identitetskontroll
  4. Sätt upp intern påminnelse vid dag 20 för att hinna agera innan fristen löper ut
  5. Spara en kopia av det svar som skickades

Min erfarenhet av registerutdragshantering

Jag har följt hur organisationer hanterar registerutdrag sedan GDPR trädde i kraft, och ett mönster är slående tydligt. De organisationer som har problem är sällan de som aktivt valt att strunta i regelverket. De är de som trott att god vilja räcker, att det löser sig i det enskilda fallet, att de aldrig riktigt etablerat en process.

Vad jag har sett är att misstagen sker i glappet. Ingen äger frågan. Ingen vet exakt vad som ska lämnas ut. Och när en begäran väl landar hamnar den hos tre olika personer innan någon faktiskt gör något, vid dag 29.

Det som skiljer organisationer med hög efterlevnad från dem med bristande är inte juridisk kompetens i sig. Det är struktur. Det är att ha behandlingskartläggning på plats, att veta var uppgifterna finns, och att ha ett arbetsflöde som aktiveras direkt när en begäran inkommer. En välstrukturerad behandlingsöversikt är grunden utan vilken svaret på ett registerutdrag aldrig kan vara komplett eller korrekt.

Det är min övertygelse att transparent hantering av registerutdrag i slutändan stärker förtroendet för organisationen, inte underminerar det. En person som får ett välformulerat, komplett och snabbt svar upplever att organisationen tar deras integritet på allvar. Det är inte en kostnad att bära, det är en investering i relationen.

— Jesper

Så hjälper Trustview din organisation

Att hantera registerutdrag korrekt kräver mer än god vilja. Det kräver dokumentation, tydliga ansvarsroller och ett system som håller koll på tidsfrister och historik.

https://trustview.se

Trustview är en plattform för compliance och dataskydd som hjälper organisationer att arbeta strukturerat med GDPR. Med Trustview kan du kartlägga behandlingsaktiviteter, tilldela ansvar, följa upp ärenden och dokumentera hanteringen av registerutdrag på ett spårbart sätt. Plattformen kombinerar juridisk expertis med automatiserade arbetsflöden, vilket minskar det administrativa arbetet och ökar tryggheten vid tillsyn. Vill du veta hur du bygger en hållbar complianceprocess som håller vid granskning? Läs om hur du upprättar en åtgärdsplan för compliance steg för steg.

Vanliga frågor

Vad innehåller ett registerutdrag enligt GDPR?

Ett registerutdrag ska innehålla de personuppgifter som behandlas om dig, ändamålen med behandlingen, vilka mottagare som tagit del av uppgifterna, lagringstider och varifrån uppgifterna hämtades. Det är inte samma sak som att få ut hela handlingar.

Hur begär jag ett registerutdrag?

Skicka en skriftlig begäran till den personuppgiftsansvariga organisationen och hänvisa till artikel 15 i GDPR. Ange önskat format och var beredd på att styrka din identitet.

Hur lång tid har ett företag på sig att svara?

Företaget ska svara inom 30 dagar. Om begäran är komplex får handläggningstiden förlängas med ytterligare 60 dagar, men du ska informeras om förlängningen inom den ursprungliga månaden.

Kan ett registerutdrag kosta något?

Normalt är ett registerutdrag kostnadsfritt. En avgift kan tas ut om begäran är uppenbart ogrundad eller uppenbart överdriven, till exempel vid upprepade identiska förfrågningar utan sakligt syfte.

Vad skiljer registerutdraget från offentlighetsprincipen?

Rätten till tillgång enligt GDPR gäller dina personuppgifter och hur de behandlas. Offentlighetsprincipen ger rätt att ta del av allmänna handlingar i deras helhet. De två rättigheterna är juridiskt åtskilda och tillämpas på olika grunder.

Rekommendation

Mer att upptäcka

En professionell författare sitter och utformar en GDPR-begäran vid skrivbordet i ett soligt kontor.
Akademi
Vad är ett registerutdrag enligt GDPR? Din guide
Vad är ett registerutdrag enligt GDPR? Få rätt till tillgång till dina personuppgifter. Lär dig mer om dina rättigheter idag!
Läs mer
maj 31, 2026
En kvinna sitter vid sitt skrivbord och jobbar på datorn i ett öppet kontorslandskap.
Akademi
Hur länge får man spara personuppgifter enligt GDPR?
Funderar du på hur länge får man spara personuppgifter? Läs vår artikel för att förstå GDPR:s regler och få praktiska…
Läs mer
maj 30, 2026
IT-ansvarig går igenom övervakningsbilder på kontoret
Akademi
Kameraövervakning och GDPR: guide för arbetsplatser
Kameraövervakning och GDPR: Lär dig de rättsliga krav och rutiner som skyddar ditt företag från böter och säkerställer korrekt hantering.
Läs mer
maj 29, 2026
Compliance with less effort

Upptäck mer inom området

TrustView kostnadsfritt i 30 dagar!

Compliance är inget du måste älska, men det är något som måste bli gjort. Testa kostnadsfritt innan du bestämmer dig!

Detta fält är dolt när formuläret visas