LUP Student Papers

A comparative study on “the Right of Access” under the GDPR and the CCPA

• Mark

Abstract

A study conducted showed that the many companies subject to the study had insufficient safeguards for verifying subject access requests under article 15. The researchers were able to obtain copies of the research subjects’ personal data. The personal information obtained varied in sensitivity from public records to Social Security numbers and account passwords. In this thesis I will examine differences and similarities between the right of access provisions under the GDPR and the CCPA. The comparison is then used to test how the different regulation affects legal risks connected to fraudulent right of access request. It is also tested whether the legal text of the GDPR proposes legal risks due to lack of guidance regarding verification of... (More)

A study conducted showed that the many companies subject to the study had insufficient safeguards for verifying subject access requests under article 15. The researchers were able to obtain copies of the research subjects’ personal data. The personal information obtained varied in sensitivity from public records to Social Security numbers and account passwords. In this thesis I will examine differences and similarities between the right of access provisions under the GDPR and the CCPA. The comparison is then used to test how the different regulation affects legal risks connected to fraudulent right of access request. It is also tested whether the legal text of the GDPR proposes legal risks due to lack of guidance regarding verification of data subject access requests.

The thesis is conducted using a comparative study. Provisions relevant to the respective data protection legislations are examined separately and then compared in the analysis to answer the purpose and research questions. The analysis showed that the legislations are consistent however the analysis suggests that CCPA is more friendly towards businesses than the GDPR. The analysis does not establish any connection between the text of the legislation and its effects creating better identification methods for right of access requests.
The thesis is conducted using a comparative study. Provisions relevant to the respective data protection legislations are examined separately and then compared in the analysis to answer the purpose and research questions. The analysis showed that the legislations are consistent however the analysis suggests that CCPA is more friendly towards businesses than the GDPR. The analysis does not establish any connection between the text of the legislation and its effects creating better identification methods for right of access requests. (Less)

Abstract (Swedish)

En studie testade den registrerades rätt till information enligt artikel 15 i dataskyddsförordningen. Resultatet av studien visade att många företag som testades i studien hade otillräckliga säkerhetsåtgärder för att verifiera den registrerades identitet. Genom att endast använda sig av publik data lyckades forskarna erhålla känslig information såsom personnummer och lösenord. I denna uppsats kommer jag att undersöka skillnader och likheter mellan rätten till information enligt GDPR och CCPA. Jämförelsen används sedan för att testa hur de olika lagstiftningar påverkar riskerna för att rätten till information manipuleras genom bedrägliga dataförfrågningar enligt artikel 15.

Uppsatsen använder en komparativ juridisk metod. Bestämmelser... (More)

En studie testade den registrerades rätt till information enligt artikel 15 i dataskyddsförordningen. Resultatet av studien visade att många företag som testades i studien hade otillräckliga säkerhetsåtgärder för att verifiera den registrerades identitet. Genom att endast använda sig av publik data lyckades forskarna erhålla känslig information såsom personnummer och lösenord. I denna uppsats kommer jag att undersöka skillnader och likheter mellan rätten till information enligt GDPR och CCPA. Jämförelsen används sedan för att testa hur de olika lagstiftningar påverkar riskerna för att rätten till information manipuleras genom bedrägliga dataförfrågningar enligt artikel 15.

Uppsatsen använder en komparativ juridisk metod. Bestämmelser som är relevanta för respektive lagstiftning om dataskydd granskas separat och jämförs sedan i analysen för att besvara syftet och frågeställningarna. Analysen visade att lagstiftningarna är likartade men antyder att CCPA är mer gynnsam för företag än GDPR. Uppsatsen kommer fram till att CCPA är mer gynnsam för företagen. Analysen visar ingen koppling mellan lagstiftningens utformning och dess effekter på möjligheten att erhålla tredje parts information från företag genom användandet av artikel 15.

Uppsatsen använder en komparativ juridisk metod. Bestämmelser som är relevanta för respektive lagstiftning om dataskydd granskas separat och jämförs sedan i analysen för att besvara syftet och frågeställningarna. Analysen visade att lagstiftningarna är likartade men antyder att CCPA är mer gynnsam för företag än GDPR. Analysen visar ingen koppling mellan lagstiftningens utformning och dess effekter på möjligheten att erhålla tredje parts information från företag genom användandet av artikel 15. (Less)