Rättigheter för registrerade enligt GDPR

Här kan du läsa information om rättigheter för registrerade enligt GDPR. När GDPR började gälla den 25 maj 2018, fick registrerade fler rättigheter avseende behandlingen av deras personuppgifter som företag utför. Dessutom är kraven högre på företagen än tidigare. Företag behöver bland annat ha interna rutiner som handlar om hur de registrerades rättigheter ska bli tillgodosedda.

Om ett företag behandlar en persons personuppgifter, har personen ifråga (nedan kallad ”registrerad”) nedan angivna grundläggande rättigheter enligt GDPR avseende de behandlade personuppgifterna.

Rätt till information

Innan ett företag behandlar personuppgifter, ska företaget informera den registrerade om behandlingen. Dessutom har den registrerade rätt att få information om behandlingen vid begäran.

Informationen ska vara lättillgänglig, vilket innebär att den registrerade inte ska behöva leta för att hitta den. Med andra ord bör det vara uppenbart för den registrerade avseende hur personuppgifterna blir behandlade och varför.

Informationen kan bli tillhandahållen i en integritetspolicy som blir publicerad på företagets webbplats. Den ska bli presenterad för den registrerade innan personuppgifterna blir insamlade.

Exempel på information som registrerade har rätt till är:

– Ändamålet med behandlingen.

– Vilken rättslig grund företaget stödjer behandlingen på.

– Tidsfristen för lagringstiden av personuppgifterna.

– Vem eller vilka som kommer att få ta del av personuppgifterna.

– Om det kommer att ske en överföring av personuppgifterna till ett tredjeland.

– Vilka rättigheter den registrerade har enligt GDPR.

– Information om möjligheten att återkalla ett lämnat samtycke efter att det har blivit överlämnat.

– Kontaktuppgifter till den personuppgiftsansvarige och även till dataskyddsombudet om företaget har ett sådant.

Vid vissa fall ska företag också informera den registrerade om det inträffar en personuppgiftsincident, såsom ett dataintrång, som berör personuppgifter som tillhör den registrerade.

Gratis och lättförståelig information

Informationen om behandlingen av personuppgifterna ska vara gratis och skriftlig. Det är också viktigt att språket är klart och tydligt.

Observera att kravet på tydlighet är särskilt viktigt när exempelvis en tjänst riktar sig till barn och behandlingen avser personuppgifter tillhörande barnen. Vid sådana fall ska informationen om behandlingen vara så pass lättförståelig att ett barn förstår informationen. Dessutom ska det vara formulerat på samma språk som det nationella språket där tjänsten blir tillhandahållen. Det vill säga, på svenska i Sverige eller holländska i Nederländerna.

Information ska bli utformad på ett sätt för att undvika informationsutmattning och ska vara anpassad efter målgruppen. Om målgruppen har stora tekniska kunskaper, kan det vara tillåtet att använda tekniska begrepp som den genomsnittsmedlemmen med förmodan förstår.

Skillnad beroende på hur personuppgifterna blir insamlade

Det är skillnad på om personuppgifterna blir insamlade direkt från den registrerade eller om företaget erhållit dem på ett annat sätt. Om personuppgifterna har blivit insamlade direkt från den registrerade personen ifråga, är det artikel 13 i GDPR som gäller avseende informationen som ska bli tillhandahållen. Men om ett företag istället har erhållit personuppgifter på annat sätt, är det artikel 14 i GDPR som reglerar utformningen av informationen som ska bli tillhandahållen till den registrerade ifråga.

Tidsfrist för informationsavlämnandet

Företag ska lämna information om behandlingen av personuppgifter inom en månad från och med att företaget har fått in begäran om att utlämna information till en registrerad. Om begäran är komplex eller om företaget exempelvis har fått in ett stort antal förfrågningar, kan denna tidsperiod bli förlängd med ytterligare två månader. I sådana fall ska företaget meddela den registrerade om förlängningen inom den första månaden efter att begäran blev mottagen.

Information behöver inte alltid bli överlämnad

Om den registrerade redan har tillgång till informationen, behöver företaget inte överlämna den. Detsamma gäller om det skulle visa sig medföra en oproportionerlig ansträngning för företaget eller om det visar sig vara omöjligt. Framförallt när det gäller behandling av personuppgifter för statistiska ändamål av allmänt intresse eller forskningsändamål.

Om företaget inte kan uppfylla den registrerades begäran på grund av tillämplig lagstiftning eller andra undantag, ska företaget meddela den registrerade om detta. Företaget ska i sådana fall även informera om skälen till varför företaget inte kan uppfylla begäran, med de begränsningar som följer av tillämplig lag.

Rätt till tillgång

Ett företag måste besvara förfrågan, om en person frågar om företaget behandlar personuppgifter om denne eller inte. En registrerad har rätt till information om ifall företaget behandlar dennes personuppgifter eller inte, samt rätt att ta del av dennes personuppgifter som företaget behandlar. Information om hur personuppgifterna blir använda ska också bli delgiven till den registrerade.

I det fall företaget behandlar personuppgifter tillhörande den registrerade, har den registrerade rätt att få en kopia av de behandlade personuppgifterna i form av ett registerutdrag. Ett registerutdrag är en form av sammanställning av personuppgifterna som blir behandlade. En sådan kopia är enligt huvudregeln gratis att begära. Men om den registrerade begär kopior regelbundet, har företaget rätt att debitera en administrativ avgift som är rimlig.

Informationen i registerutdraget ska bland annat innehålla information om:

– Vilka kategorier av personuppgifter som företaget behandlar.

– Syftet med behandlingen.

– Tidsfristen för behandlingen.

– Hur företaget har samlat in personuppgifterna.

– Vilka som fått ta del av personuppgifterna.

Syftet med registerutdraget är att den registrerade ska kunna kontrollera uppgifternas laglighet och riktighet. Detta innebär dock inte att den registrerade har rätt att få ut dokumenten som innehåller de behandlade personuppgifterna.

Företaget ska ge den registrerade tillgång till informationen senast inom en månad från och med begäran. Däremot kan det vid vissa fall blir förlängt ytterligare två månader, exempelvis om det är ett komplicerat ärende. Observera att företaget måste meddela den registrerade om tidsfristen förlängs inom den första månaden.

Det kan dock förekomma situationer då utlämnandet av vissa uppgifter skulle medföra nackdelar för andra personer. Det kan även vara så att annan lagstiftning eller andra undantag hindrar utlämnandet av vissa uppgifter eller registerutdrag. Vid sådana situationer får företaget inte lämna ut uppgifterna ifråga. Det kan därmed finnas information om den registrerade som den registrerade inte har rätt att få tillgång till.

Kostnad att begära ut registerutdrag

Enligt huvudregeln, ska företag överlämna registerdrag utan någon avgift. Däremot finns det undantag. Till exempel om en registrerad begär det ofta. Konsekvensen om ett företag vägrar att tillgodose den registrerade med sina rättigheter genom att ge tillgång till information angående behandlingen, kan vara att företaget blir skadeståndsskyldigt.

Rätt till rättelse

Det är företaget som ska se till att personuppgifterna är korrekta. Dessutom ska de vara uppdaterade och aktuella över tid. Däremot händer det att personuppgifter är felaktiga eller ofullständiga och vid sådana fall har registrerade rätt att vända sig till företaget för att få dem rättade.

Efter att företaget rättat uppgifterna, ska den registrerade blir meddelad om detta. I vissa fall kan det dock vara för betungande för företaget, och vid sådana fall behöver företaget inte meddela den registrerade om de vidtagna åtgärderna.

Rätt till radering

Företag ska radera personuppgifter på begäran från den registrerade, om uppgifterna inte längre behöver bli behandlade för de ändamål som de blev insamlade in för. Detta är även kallat för ”rätten att bli bortglömd”. Dessutom finns det fler tillfällen då företag ska radera personuppgifter.

Till exempel när:

– Personuppgifterna inte längre är nödvändiga för ändamålet de blev inhämtade för.

– När den rättsliga grunden är samtycke och den registrerade återkallar samtycket. Den registrerade har nämligen rätt att när som helt återkalla ett lämnat samtycke, men det påverkar behandling som tidigare har blivit utförd med stöd i det lämnade samtycket.

– Vid direktmarknadsföring, där den registrerade begär att företaget upphör med marknadsföringen mot denne genom personuppgifterna och begär att uppgifterna ska bli raderade.

– I fall att behandlingen inte är laglig.

När företaget raderar personuppgifterna på begäran av den registrerade, ska företaget informera den registrerade efter att raderingen har blivit utförd. Detta gäller under förutsättning att det är möjligt och inte för betungande för företaget.

I vissa fall kan personuppgifterna bli publicerade offentligt, som kan göra det svårare att radera personuppgifterna. Vid sådana fall ska företag vidta rimliga åtgärder för att informera de andra parterna som behandlar personuppgifterna, så att de också raderar uppgifterna.

Informerade att de raderat personuppgifter när de inte hade gjort det

Ett företag fick en reprimand efter att de bland annat inte raderade personuppgifter på begäran i tid. Dessutom meddelade de den registrerade att de hade raderat personuppgifterna, när de i själva verket inte hade gjort det. Därefter fortsatte de med att skicka e-postmeddelanden även fast den registrerade bad företaget att upphöra med sådana utskick till den registrerade. Efter tillsynen förbättrade företaget sin process och de vidtog även olika lämpliga tekniska och organisatoriska åtgärder för att det inte ska ske igen.

Undantag från rätten till radering

I vissa fall behöver företag inte radera personuppgifter på begäran, eftersom det finns undantag från sådan skyldighet.

Till exempel om behandlingen:

– är nödvändigt för att tillgodose exempelvis yttrande- och informationsfrihet,

– behövs för att uppfylla en rättslig förpliktelse eller försvara, göra gällande eller fastställa rättsliga anspråk,

– krävs som ett led i myndighetsutövning,

– är nödvändig för att utföra en uppgift av allmänt intresse.

Rätt till begränsning vid behandling av personuppgifter

I vissa fall har registrerade rätt att begära att behandlingen av personuppgifterna blir begränsad av företaget. Det innebär att personuppgifterna enbart får bli behandlade i framtiden för det avgränsade syftet.

Exempel på tillfällen där rättigheten är tillämplig för registrerade, är om personuppgifter som företaget behandlar är felaktiga och personen ber företaget rätta dem. Dessutom ska företaget informera den registrerade när begränsningen upphör.

Rätten till begränsning gäller även särskilt i nedan angivna situationer:

– Om företaget inte längre behöver behandla vissa personuppgifter, ska företaget enligt huvudregeln radera personuppgifterna. Men om den registrerade inte vill att företaget ska radera dem, kan den registrerade begära begränsning av behandlingen av personuppgifterna. Exempelvis för att den registrerade vill ha möjligheten att begära data i framtiden, eller om den registrerade anger att denne behöver dem för ett rättsligt anspråk såsom vid en tvist.

– Om den registrerade har invänt mot företagets behandling av personuppgifterna och företaget utreder ärendet, har den registrerade rätt att, i avvaktan på verifiering av överklagandet, begära att företaget inte behandlar personuppgifterna ifråga.

– Om den registrerade har påkallat sin rätt till rättelse och bestrider riktigheten av vissa personuppgifter som företaget behandlar, har den registrerade rätt att, under perioden företaget bedömer ärendet och bestridandet, begära att företaget inte behandlar personuppgifterna ifråga.

Rätt att göra invändningar

När företag behandlar personuppgifter har den registrerade i vissa fall att lämna invändningar till behandlingen.

Rätten att göra invändningar när den rättsliga grunden är uppgift av allmänt intresse

Registrerade har rätt att göra invändningar när deras personuppgifter blir behandlade för uppgift av allmänt intresse som sker i ett led i myndighetsutövning.

Detsamma gäller efter en intresseavvägning. Vid sådana fall ska företaget upphöra med behandlingen såvida inte företagets intresse väger tyngre än de registrerades intressen.

Rätten att göra invändningar vid direktmarknadsföring

När ett företag behandlar personuppgifter för att utföra direktmarknadsföring, har registrerade rätt att begära att företaget upphör med sådan marknadsföring riktad mot den registrerade. Vid sådana fall ska företaget upphöra med behandlingen för det ändamålet och informera när företaget har raderat personuppgifterna, om den registrerade begär det.

Rätt till dataportabilitet

Registrerade har rätt att begära att företaget överför dennes personuppgifter till den registrerade eller någon annan tredje part. Denna rättighet är även kallad för rätt till dataportabilitet. För att denna rättighet ska vara tillämpligt, behöver vissa krav vara uppfyllda.

Om denna rättighet är tillämplig, ska företaget på den registrerades begäran om att flytta dennes personuppgifter, att tillhandahålla personuppgifterna ifråga i ett strukturerat, vanligt använt, maskinläsbart format.

Kort sagt, innebär denna rättighet att företag ska underlätta överföring av personuppgifter till andra plattformar. Med andra ord kan registrerade begära att ett företag överför dennes personuppgifter till den registrerade eller någon annan tredje part, för att personuppgifterna ska bli använda på annan plats.

Om ett företag exempelvis driver en bokföringstjänst, ska den registrerade ha rätt att begära att dennes personuppgifter överförs till en annan bokföringstjänst.

Krav för dataportabilitet ska ske

Rätten till dataportabilitet är enbart tillämplig i följande fall:

– När personuppgifterna blir behandlade automatiskt.

– Om den rättsliga grunden är samtycke eller avtal vid behandling.

– Det får inte påverka tredje parts fri- och rättigheter negativt.

– Uppgifterna som blir begärda ska tillhöra den registrerade.

Observera att dataportabilitet enbart kan bli begärd om behandlingen av personuppgifterna blir utförd automatiskt, och enbart om behandlingen sker för att genomföra ett avtal som den registrerade är en avtalspart i eller grundas på den registrerades samtycke. Det innebär till exempel att det inte är aktuellt för myndigheter i sin myndighetsutövning och därmed är rättigheten inte absolut. Det måste uppfylla kraven.

Dessutom kan det vara tekniskt omöjligt för företaget att genomföra en överföring av personuppgifterna. Vid sådana fall kan företaget inte genomföra begäran. Företag behöver inte heller införa ett tekniskt system som gör det möjligt att överföra personuppgifterna. Det framgår i skälen till GDPR att företaget enbart ska utföra en överföring om det är tekniskt möjligt.

Automatiserade Beslut

Kort sagt handlar automatiserade beslut om behandling som är automatiskt, exempelvis genom algoritmer, där personuppgifterna blir behandlade för att bedöma och analysera personliga egenskaper hos den registrerade. Ett praktiskt exempel är vid en automatisk bedömning av kreditvärdighet.

Profilering

Ett praktiskt exempel på profilering som är vanligt förekommande är användning av cookies när företag vill analysera köpbeteendet hos sina kunder. Observera att det är mer integritetskränkande när det avser svagheter hos registrerade. Exempelvis om ett spelbolag använder profilering med syfte att få kunderna att spendera mer.

Automatiserade beslut och profilering samtidigt

Det är vanligt att det förekommer automatiserade beslut och profilering samtidigt. Däremot behöver det inte alltid vara så.

Automatiserade beslut kan ha rättsliga följder för den registrerade eller påverka den registrerade på andra betydande sätt, och om så sker har den registrerade rätt att inte bli föremål för det automatiserade beslutet.

Om ett automatiserat beslut har fattats, med eller utan profilering, har den registrerade rätt att återkomma till företaget som utfört det automatiserade beslutet för att få beslutet granskat eller för att bestrida det.

Hur den registrerade utövar rättigheterna enligt GDPR

Den registrerade ska kontakta företaget ifråga som behandlar personuppgifter tillhörande den registrerade, om denne vill åberopa någon av rättigheterna enligt GDPR.

Det är normalt kostnadsfritt att utöva rättigheterna, under förutsättning att den registrerades förfrågningar inte är överdrivna, upprepade eller uppenbart ogrundade. Vid sådana fall har företaget rätt att debitera en rimlig avgift för att hantera begäran eller rätt att neka utförandet av begäran.

Innan företaget hanterar eller svarar på en begäran, kan företaget komma att begära kompletterande information från den registrerade om det är nödvändigt för att företaget ska kunna bekräfta den registrerades identitet.

Företaget ska informera den registrerade om hanteringen av begäran utan dröjsmål och senast inom en månad efter att företaget mottagit begäran. Om begäran är komplex eller om företaget exempelvis har fått in ett stort antal förfrågningar, kan denna tidsperiod bli förlängd med ytterligare två månader. I sådana fall ska företaget meddela den registrerade om förlängningen inom den första månaden efter att företaget mottagit begäran.

Om företaget inte kan uppfylla begäran på grund av tillämplig lagstiftning eller andra undantag, ska företaget meddela den registrerade om detta samt informera om skälen till varför företaget inte kan uppfylla begäran med de begränsningar som följer av lag.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.