GDPR (Dataskyddsförordningen)
Rättigheter för registrerade enligt GDPR
Det finns flera rättigheter för registrerade enligt GDPR som företag behöver kunna tillgodose vid exempelvis begäran.
Viktiga regler i GDPR
Rättigheter för registrerade enligt GDPR
Här kan du läsa information om rättigheter för registrerade enligt GDPR. När GDPR började gälla den 25 maj 2018, fick registrerade fler rättigheter avseende behandlingen av deras personuppgifter som företag utför. Dessutom är kraven högre på företagen än tidigare. Företag behöver bland annat ha interna rutiner som handlar om hur de registrerades rättigheter ska bli tillgodosedda.
Om ett företag behandlar en persons personuppgifter, har personen ifråga (nedan kallad ”registrerad”) nedan angivna grundläggande rättigheter enligt GDPR avseende de behandlade personuppgifterna.
Innehåll
Rätt till information
Innan ett företag behandlar personuppgifter, ska företaget informera den registrerade om behandlingen. Dessutom har den registrerade rätt att få information om behandlingen vid begäran.
Informationen ska vara lättillgänglig, vilket innebär att den registrerade inte ska behöva leta för att hitta den. Med andra ord bör det vara uppenbart för den registrerade avseende hur personuppgifterna blir behandlade och varför.
Informationen kan bli tillhandahållen i en integritetspolicy som blir publicerad på företagets webbplats. Den ska bli presenterad för den registrerade innan personuppgifterna blir insamlade.
Exempel på information som registrerade har rätt till är:
– Ändamålet med behandlingen.
– Vilken rättslig grund företaget stödjer behandlingen på.
– Tidsfristen för lagringstiden av personuppgifterna.
– Vem eller vilka som kommer att få ta del av personuppgifterna.
– Om det kommer att ske en överföring av personuppgifterna till ett tredjeland.
– Vilka rättigheter den registrerade har enligt GDPR.
– Information om möjligheten att återkalla ett lämnat samtycke efter att det har blivit överlämnat.
– Kontaktuppgifter till den personuppgiftsansvarige och även till dataskyddsombudet om företaget har ett sådant.
Vid vissa fall ska företag också informera den registrerade om det inträffar en personuppgiftsincident, såsom ett dataintrång, som berör personuppgifter som tillhör den registrerade.
Gratis och lättförståelig information
Informationen om behandlingen av personuppgifterna ska vara gratis och skriftlig. Det är också viktigt att språket är klart och tydligt.
Observera att kravet på tydlighet är särskilt viktigt när exempelvis en tjänst riktar sig till barn och behandlingen avser personuppgifter tillhörande barnen. Vid sådana fall ska informationen om behandlingen vara så pass lättförståelig att ett barn förstår informationen. Dessutom ska det vara formulerat på samma språk som det nationella språket där tjänsten blir tillhandahållen. Det vill säga, på svenska i Sverige eller holländska i Nederländerna.
Information ska bli utformad på ett sätt för att undvika informationsutmattning och ska vara anpassad efter målgruppen. Om målgruppen har stora tekniska kunskaper, kan det vara tillåtet att använda tekniska begrepp som den genomsnittsmedlemmen med förmodan förstår.
Skillnad beroende på hur personuppgifterna blir insamlade
Det är skillnad på om personuppgifterna blir insamlade direkt från den registrerade eller om företaget erhållit dem på ett annat sätt. Om personuppgifterna har blivit insamlade direkt från den registrerade personen ifråga, är det artikel 13 i GDPR som gäller avseende informationen som ska bli tillhandahållen. Men om ett företag istället har erhållit personuppgifter på annat sätt, är det artikel 14 i GDPR som reglerar utformningen av informationen som ska bli tillhandahållen till den registrerade ifråga.
Tidsfrist för informationsavlämnandet
Företag ska lämna information om behandlingen av personuppgifter inom en månad från och med att företaget har fått in begäran om att utlämna information till en registrerad. Om begäran är komplex eller om företaget exempelvis har fått in ett stort antal förfrågningar, kan denna tidsperiod bli förlängd med ytterligare två månader. I sådana fall ska företaget meddela den registrerade om förlängningen inom den första månaden efter att begäran blev mottagen.
Information behöver inte alltid bli överlämnad
Om den registrerade redan har tillgång till informationen, behöver företaget inte överlämna den. Detsamma gäller om det skulle visa sig medföra en oproportionerlig ansträngning för företaget eller om det visar sig vara omöjligt. Framförallt när det gäller behandling av personuppgifter för statistiska ändamål av allmänt intresse eller forskningsändamål.
Om företaget inte kan uppfylla den registrerades begäran på grund av tillämplig lagstiftning eller andra undantag, ska företaget meddela den registrerade om detta. Företaget ska i sådana fall även informera om skälen till varför företaget inte kan uppfylla begäran, med de begränsningar som följer av tillämplig lag.
Rätt till tillgång
Ett företag måste besvara förfrågan, om en person frågar om företaget behandlar personuppgifter om denne eller inte. En registrerad har rätt till information om ifall företaget behandlar dennes personuppgifter eller inte, samt rätt att ta del av dennes personuppgifter som företaget behandlar. Information om hur personuppgifterna blir använda ska också bli delgiven till den registrerade.
I det fall företaget behandlar personuppgifter tillhörande den registrerade, har den registrerade rätt att få en kopia av de behandlade personuppgifterna i form av ett registerutdrag. Ett registerutdrag är en form av sammanställning av personuppgifterna som blir behandlade. En sådan kopia är enligt huvudregeln gratis att begära. Men om den registrerade begär kopior regelbundet, har företaget rätt att debitera en administrativ avgift som är rimlig.
Syftet med registerutdraget är att den registrerade ska kunna kontrollera uppgifternas laglighet och riktighet. Detta innebär dock inte att den registrerade har rätt att få ut dokumenten som innehåller de behandlade personuppgifterna.
Informationen i registerutdraget ska bland annat innehålla:
– Vilka kategorier av personuppgifter som företaget behandlar.
– Syftet med behandlingen.
– Tidsfristen för behandlingen.
– Hur företaget har samlat in personuppgifterna.
– Vilka som fått ta del av personuppgifterna.
Tidsfrist för att ge tillgång till information på begäran
Företaget ska ge den registrerade tillgång till informationen senast inom en månad från och med begäran. Däremot kan det vid vissa fall blir förlängt ytterligare två månader, exempelvis om det är ett komplicerat ärende. Observera att företaget måste meddela den registrerade om tidsfristen förlängs inom den första månaden.
Undantag från att ge tillgång till uppgifter
Det kan dock förekomma situationer då utlämnandet av vissa uppgifter skulle medföra nackdelar för andra personer. Det kan även vara så att annan lagstiftning eller andra undantag hindrar utlämnandet av vissa uppgifter eller registerutdrag. Vid sådana situationer får företaget inte lämna ut uppgifterna ifråga. Det kan därmed finnas information om den registrerade som den registrerade inte har rätt att få tillgång till.
Kostnad att begära ut registerutdrag
Enligt huvudregeln, ska företag överlämna registerdrag utan någon avgift. Däremot finns det undantag. Till exempel om en registrerad begär det ofta. Konsekvensen om ett företag vägrar att tillgodose den registrerade med sina rättigheter genom att ge tillgång till information angående behandlingen, kan vara att företaget blir skadeståndsskyldigt.
Rätt till rättelse
Det är företaget som ska se till att personuppgifterna är korrekta. Dessutom ska de vara uppdaterade och aktuella över tid. Däremot händer det att personuppgifter är felaktiga eller ofullständiga och vid sådana fall har registrerade rätt att vända sig till företaget för att få dem rättade.
Efter att företaget rättat uppgifterna, ska den registrerade blir meddelad om detta. I vissa fall kan det dock vara för betungande för företaget, och vid sådana fall behöver företaget inte meddela den registrerade om de vidtagna åtgärderna.
Rätt till radering
Företag ska radera personuppgifter på begäran från den registrerade, om uppgifterna inte längre behöver bli behandlade för de ändamål som de blev insamlade in för. Detta är även kallat för ”rätten att bli bortglömd”. Dessutom finns det fler tillfällen då företag ska radera personuppgifter.
Exempel på när företag ska radera personuppgifter
– Personuppgifterna inte längre är nödvändiga för ändamålet de blev inhämtade för.
– När den rättsliga grunden är samtycke och den registrerade återkallar samtycket. Den registrerade har nämligen rätt att när som helt återkalla ett lämnat samtycke, men det påverkar behandling som tidigare har blivit utförd med stöd i det lämnade samtycket.
– Vid direktmarknadsföring, där den registrerade begär att företaget upphör med marknadsföringen mot denne genom personuppgifterna och begär att uppgifterna ska bli raderade.
– I fall att behandlingen inte är laglig.
Informera de registrerade efter radering
När företaget raderar personuppgifterna på begäran av den registrerade, ska företaget informera den registrerade efter att raderingen har blivit utförd. Detta gäller under förutsättning att det är möjligt och inte för betungande för företaget.
I vissa fall kan personuppgifterna bli publicerade offentligt, som kan göra det svårare att radera personuppgifterna. Vid sådana fall ska företag vidta rimliga åtgärder för att informera de andra parterna som behandlar personuppgifterna, så att de också raderar uppgifterna.
Informerade att de raderat personuppgifter när de inte hade gjort det
Ett företag fick en reprimand efter att de bland annat inte raderade personuppgifter på begäran i tid. Dessutom meddelade de den registrerade att de hade raderat personuppgifterna, när de i själva verket inte hade gjort det. Därefter fortsatte de med att skicka e-postmeddelanden även fast den registrerade bad företaget att upphöra med sådana utskick till den registrerade. Efter tillsynen förbättrade företaget sin process och de vidtog även olika lämpliga tekniska och organisatoriska åtgärder för att det inte ska ske igen.
Undantag från rätten till radering
I vissa fall behöver företag inte radera personuppgifter på begäran, eftersom det finns undantag från sådan skyldighet.
Till exempel om behandlingen:
– är nödvändigt för att tillgodose exempelvis yttrande- och informationsfrihet,
– behövs för att uppfylla en rättslig förpliktelse eller försvara, göra gällande eller fastställa rättsliga anspråk,
– krävs som ett led i myndighetsutövning,
– är nödvändig för att utföra en uppgift av allmänt intresse.
Rätt till begränsning
I vissa fall har registrerade rätt att begära att behandlingen av personuppgifterna blir begränsad av företaget. Det innebär att personuppgifterna enbart får bli behandlade i framtiden för det avgränsade syftet.
Exempel på tillfällen där rättigheten är tillämplig för registrerade, är om personuppgifter som företaget behandlar är felaktiga och personen ber företaget rätta dem. Dessutom ska företaget informera den registrerade när begränsningen upphör.
Rätten till begränsning gäller särskilt i dessa situationer
– Om företaget inte längre behöver behandla vissa personuppgifter, ska företaget enligt huvudregeln radera personuppgifterna. Men om den registrerade inte vill att företaget ska radera dem, kan den registrerade begära begränsning av behandlingen av personuppgifterna. Exempelvis för att den registrerade vill ha möjligheten att begära data i framtiden, eller om den registrerade anger att denne behöver dem för ett rättsligt anspråk såsom vid en tvist.
– Om den registrerade har invänt mot företagets behandling av personuppgifterna och företaget utreder ärendet, har den registrerade rätt att, i avvaktan på verifiering av överklagandet, begära att företaget inte behandlar personuppgifterna ifråga.
– Om den registrerade har påkallat sin rätt till rättelse och bestrider riktigheten av vissa personuppgifter som företaget behandlar, har den registrerade rätt att, under perioden företaget bedömer ärendet och bestridandet, begära att företaget inte behandlar personuppgifterna ifråga.
Rätt att göra invändningar
När företag behandlar personuppgifter har den registrerade i vissa fall att lämna invändningar till behandlingen.
Rätten att göra invändningar när den rättsliga grunden är uppgift av allmänt intresse
Registrerade har rätt att göra invändningar när deras personuppgifter blir behandlade för uppgift av allmänt intresse som sker i ett led i myndighetsutövning.
Detsamma gäller efter en intresseavvägning. Vid sådana fall ska företaget upphöra med behandlingen såvida inte företagets intresse väger tyngre än de registrerades intressen.
Rätten att göra invändningar vid direktmarknadsföring
När ett företag behandlar personuppgifter för att utföra direktmarknadsföring, har registrerade rätt att begära att företaget upphör med sådan marknadsföring riktad mot den registrerade. Vid sådana fall ska företaget upphöra med behandlingen för det ändamålet och informera när företaget har raderat personuppgifterna, om den registrerade begär det.
Rätt till dataportabilitet
Registrerade har rätt att begära att företaget överför dennes personuppgifter till den registrerade eller någon annan tredje part. Denna rättighet är även kallad för rätt till dataportabilitet. För att denna rättighet ska vara tillämpligt, behöver vissa krav vara uppfyllda.
Om denna rättighet är tillämplig, ska företaget på den registrerades begäran om att flytta dennes personuppgifter, att tillhandahålla personuppgifterna ifråga i ett strukturerat, vanligt använt, maskinläsbart format.
Kort sagt, innebär denna rättighet att företag ska underlätta överföring av personuppgifter till andra plattformar. Med andra ord kan registrerade begära att ett företag överför dennes personuppgifter till den registrerade eller någon annan tredje part, för att personuppgifterna ska bli använda på annan plats.
Om ett företag exempelvis driver en bokföringstjänst, ska den registrerade ha rätt att begära att dennes personuppgifter överförs till en annan bokföringstjänst.
Krav för dataportabilitet ska ske
Rätten till dataportabilitet är enbart tillämplig i följande fall:
– När personuppgifterna blir behandlade automatiskt.
– Om den rättsliga grunden är samtycke eller avtal vid behandling.
– Det får inte påverka tredje parts fri- och rättigheter negativt.
– Uppgifterna som blir begärda ska tillhöra den registrerade.
Observera att dataportabilitet enbart kan bli begärd om behandlingen av personuppgifterna blir utförd automatiskt, och enbart om behandlingen sker för att genomföra ett avtal som den registrerade är en avtalspart i eller grundas på den registrerades samtycke. Det innebär till exempel att det inte är aktuellt för myndigheter i sin myndighetsutövning och därmed är rättigheten inte absolut. Det måste uppfylla kraven.
Dessutom kan det vara tekniskt omöjligt för företaget att genomföra en överföring av personuppgifterna. Vid sådana fall kan företaget inte genomföra begäran. Företag behöver inte heller införa ett tekniskt system som gör det möjligt att överföra personuppgifterna. Det framgår i skälen till GDPR att företaget enbart ska utföra en överföring om det är tekniskt möjligt.
Automatiserade Beslut
Kort sagt handlar automatiserade beslut om behandling som är automatiskt, exempelvis genom algoritmer, där personuppgifterna blir behandlade för att bedöma och analysera personliga egenskaper hos den registrerade. Ett praktiskt exempel är vid en automatisk bedömning av kreditvärdighet.
Profilering
Ett praktiskt exempel på profilering som är vanligt förekommande är användning av cookies när företag vill analysera köpbeteendet hos sina kunder. Observera att det är mer integritetskränkande när det avser svagheter hos registrerade. Exempelvis om ett spelbolag använder profilering med syfte att få kunderna att spendera mer.
Automatiserade beslut och profilering samtidigt
Det är vanligt att det förekommer automatiserade beslut och profilering samtidigt. Däremot behöver det inte alltid vara så.
Automatiserade beslut kan ha rättsliga följder för den registrerade eller påverka den registrerade på andra betydande sätt, och om så sker har den registrerade rätt att inte bli föremål för det automatiserade beslutet.
Om ett automatiserat beslut har fattats, med eller utan profilering, har den registrerade rätt att återkomma till företaget som utfört det automatiserade beslutet för att få beslutet granskat eller för att bestrida det.
Hur den registrerade utövar rättigheterna
Den registrerade ska kontakta företaget ifråga som behandlar personuppgifter tillhörande den registrerade, om denne vill åberopa någon av rättigheterna enligt GDPR.
Det är normalt kostnadsfritt att utöva rättigheterna, under förutsättning att den registrerades förfrågningar inte är överdrivna, upprepade eller uppenbart ogrundade. Vid sådana fall har företaget rätt att debitera en rimlig avgift för att hantera begäran eller rätt att neka utförandet av begäran.
Innan företaget hanterar eller svarar på en begäran, kan företaget komma att begära kompletterande information från den registrerade om det är nödvändigt för att företaget ska kunna bekräfta den registrerades identitet.
Företaget ska informera den registrerade om hanteringen av begäran utan dröjsmål och senast inom en månad efter att företaget mottagit begäran. Om begäran är komplex eller om företaget exempelvis har fått in ett stort antal förfrågningar, kan denna tidsperiod bli förlängd med ytterligare två månader. I sådana fall ska företaget meddela den registrerade om förlängningen inom den första månaden efter att företaget mottagit begäran.
Om företaget inte kan uppfylla begäran på grund av tillämplig lagstiftning eller andra undantag, ska företaget meddela den registrerade om detta samt informera om skälen till varför företaget inte kan uppfylla begäran med de begränsningar som följer av lag.
Lär dig mer
Gratis juridikskola
På både Linkedin och Instagram driver vi juridikskolor som riktar sig till företagare. Vi sammanfattar bland annat relevanta nyheter såsom nya lagar, beskriver vanliga juridiska begrepp och besvarar frågor m.m.
Mer information
Integritetsmeddelande
Företag som behandlar personuppgifter måste informera de registrerade innan eller i samband med att behandlingen påbörjas. Det brukar ske i ett integritetsmeddelande. Andra vanliga benämningar för ett integritetsmeddelande är dataskyddspolicy, integritetspolicy och sekretesspolicy. Det är ett dokument där man bland annat beskriver syftet med behandlingen, hur länge behandlingen ska ske och vilka rättigheter de registrerade har.
Vill du veta mer?
Vill ni ha vår hjälp?
Beställ uppdrag
Välkommen att kontakta oss via telefon, eller skicka ett meddelande via formuläret eller till vår mail så hör vi av oss så snart vi kan.
E-post
kontakt@digitalajuristerna.se
Telefon
08-81 66 33