Den registrerades rättigheter
Den registrerades rättigheter har genom GDPR:s bestämmelser förstärkts och ökat enskildas rätt till information och tillgång till personuppgifter jämfört med motsvarande tidigare reglering. Den personuppgiftsansvarige (företaget) bör känna till att denna del av GDPR är knuten till de strängaste sanktionsavgifterna, där överträdelse kan innebära att den personuppgiftsansvarige påförs administrativa sanktionsavgifter på upp till 20 miljoner euro eller, om det gäller vissa företag, upp till 4% av den totala globala årsomsättningen under föregående budgetår.
Detta innebär att den personuppgiftsansvarige ska upprätta rutiner som på ett enkelt sätt göra att företaget kan kommunicera behandlingen av den registrerades personuppgifter inom de tidsramar som gäller i GDPR. Den registrerade har rätt till information, tillgång, rättelse, radering, begränsning av behandling, dataportabilitet, invändningar, skydd mot automatiserat belsutsfattande. Nedan går vi igenom den registrerades rättigheter i dessa delar.
Rätten till information
Den registrerade har rätt att få information om personuppgiftsbehandling när dennes persinuppgifter behandlas av den personuppgigtisasvarige. Detta ska ske när uppgifterna samlas in och när den registrerade begär det. Sammanfattningsvis ska nedanstående information lämnas:
- Vilken behandling som görs;
- kontaktuppgifter till personuppgiftsansvarig;
- Ändamålen för behandlingen;
- Rättslig grund för behandling;
- Rätten att invända mot behandlingen;
- Personuppgifternas ursprung.
Informationen som den personuppgiftsansvarige ska ge till den registrerade ska innehålla information om vilken behandling den personuppgiftsansvarige gjort. Denna information ska lämnas i en koncis, klar och tydlig, begriplig och lättillgänglig form. Informationen ska tillhandahållas skriftligt.
I GDPR görs skillnader på vilken information som den registrerade har rätt att få från den personuppgiftsansvarige utifrån huruvida uppgifterna är insamlade genom information från den registrerade eller om personuppgifterna inte har erhållits från den registrerade
Information ska lämnas om identiditer och kontaktuppgifter för den perosnuppgiftansvaige och i tillämpliga fall för dennes företrädare. Kontaktuppgifterna om vem som är dataskyddsombud Kontaktuppgifter om vem som är dataskyddsombud ska också lämnas.
Vidare ska den registrerade erhålla information om ändamålen med behandlingen, den rättsliga grunden för behandlingen, vilka kategorier av personuppgifter som behandlingen gäller, mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, eventuella tredje parter som tar del av personuppgifterna och liknande.
Vidare ska information om rätten att invända mot behandling samt rätten till dataportabilitet (se nedan) ges ut. Man ska även ge information om rätten att inge klagomål till Datainspektionen.
Slutligen ska information ges om varifrån personuppgifterna kommer ifrån och om de har sitt ursprung i allmänna källor samt förekomsten av automatiserat beslutsfattande, inbegriper profilering.
Den personuppgiftsansvarige ska lämna informationen inom en rimlig period efter det att personuppgifter har erhållits, dock senast inom en (1) månad. Regleringen rörande informationsgivning till den registrerade behöver inte tillämpas i den mån den registrerade redan förfogar över informationen eller om tillhandahållandet av informationen visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning. Detta gäller som vi tidigare beskrivit särskilt för behandling för arkivändamål eller statistiska ändamål. Information behöver inte heller ges om erhållande eller utlämnande av uppgifter uttryckligen föreskrivits genom unionsrätten eller en medlemsstats nationella rätt. Detta innebär exempelvis att organisationen inte behöver informera den registrerade om att de använder personuppgifter i bokföringen efter detta görs enligt bokföringslagen.
Rätten att få tillgång till information
Den registrerade har rätt att få bekräftelse på om denne behandlas av företaget. Dessutom har den registrerade rätt att få tillgång till personuppgifter och vissa ytterligare uppgifter som bland annat innefattar viss historisk kring behandlingarna (ett så kallat registerutdrag).
När den registrerade begär att då informationen som företaget har om denne, ska den lämnas utan onödigt dröjsmål och under alla omständigheter senast en (1) månad från mottagandet det att begäran. Om den personuppgiftsansvarige behöver mer tid ska företaget underrätta den registrerade om orsakerna till förseningen.
Rätten till radering – rätten att bli glömd
Varje person har rätt att vända sig till ett företag som behandlar personuppgifter och be att uppgifterna som avser denne raderas. Detta kallas ibland också “rätten att bli glömd”. Företag måste därför ha en beredskap för att löpande kunna radera och rensa bland sina kunduppgifter. Uppgifterna måste raderas i följande fall:
- Om uppgifterna inte längre behövs för de ändamål som de samlades inför;
- Om behandlingen grundar sig på den enskildes samtycke och denne återkallar sitt samtycke;
- om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig personuppgiftsbehandling och det inte finns ett berättigat intresse som väger tyngre än den enskildes intressen;
- Om personuppgifterna har behandlats olagligt;
- Om radering krävs för att uppfylla en rättslig skyldighet;
- Om behandling avser barn och behandlingen sker som ett led i erbjudande av informationssamhällets tjänster (till exempel om ett barn skapar en profil på ett socialt nätverk).
Rätten till begränsning av behandling
Den registrerade har i vissa fall rätt att kräva att behandlingen av personuppgifterna begränsas. Med begränsning med att uppgifterna markeras så att dessa i framtiden endast behandlas för vissa avgränsade syften. Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och den registrerade har begärt rättelse. I sådana fall kan den registrerade även begära att behandlingen av uppgifterna begränsas under tiden uppgifternas korrekthet utreds.
När begränsningen upphör ska den personuppgiftsansvarige meddela den registrerade om det. Företagen kan begränsa behandlingen av personuppgifter genom att tillfälligt flytta de valda personuppgifterna till ett annat databehandlingssystem eller gör uppgifterna tillgängliga för användare.
Omd det är fråga om automatiserade register bär begränsningen av behandlingen ske med tekniska medel så att personuppgifterna inte blir föremål ytterligare behandling och inte kan ändras.
Rätten till dataportabilitet
Den som har lämnat sina personuppgifter har i vissa fall när den lagliga grunden är avtal eller samtycke rätt att få ut och använda sina personuppgifter på annat håll, till exempel i en annan social medietjänst. GDPR tar i denna del sikte på om en registrerad exempelvis vill flytta sina personuppgifter från Facebook till Linkedin. Lagstiftningen är inte begränsad till denna typ av migration innebärande att den även kan tillämpas rörande anna typ av data och andra aktörer än sociala nätverk.
Dataportabilitet innebär att ett företag som har tagit emot personuppgifter från en registrerad är skyldig att försöka underlätta en överflyttning av personuppgifter från sin egen datamiljö till en tredje part. En förflyttning ska göras på begäran av en registrerad som lämnar samtycke att flytta personuppgifterna och avser endast personuppgifter som den registrerade själv har lämnat.
Därför är inte den personuppgiftsansvarige skyldig att utföra migrationen om behandlingen utgår från en annan laglig grund än samtycke eller avtal. Detta innebär även att en registrerad inte kan begära att en myndighet flyttar dennes personuppgifter från en myndighet till en annan eftersom detta avser behandling av personuppgifter som görs av den aktuella myndigheten som ett led i myndighetsutövning.
Rätten att invända
En enskild har rätt att göra invändningar kopplade till dennes speciella situation mot företagets behandling om företag använt någon av de lagliga grunderna allmänt eller enskilt intresse. GDPR lägger bevisbördan på företaget som ska visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.
När personuppgifter behandlas för direktmarknadsföring har den registrerade rätt att när som helst kostnadsfritt invända mot sådan behandling, inbegriper profilering kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från anna information.
Rättigheter vid automatiserade beslut
Automatiserat beslutsfattande kan till exempel vara ett automatiserat avslag på en kreditansökan på internet eller ett nekande besked från e-rekrytering via internet utan personlig kontakt.
Enligt huvudregeln har den registrerade rätt att inte bli föremål för denna typ av beslut om beslutet har rättsliga följder för den enskilde eller liknande sätt i betydande grad påverkar denne. Om det automatiserade beslutsfattande är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige kan det ändå vara tillåtet. Vid användande av automatikserat belsutsfattande ska den perosnuppgiftsansvarige tydligt informera om hur den registrerades personuppgifter kommer att användas samt införskaffa ett uttryckligt samtycke från de registrerade innan beslutsprocessen tar vid.
Liknande artiklar
- Arkivering och gallring
- Behandling av känsliga personuppgifter
- Behandling av personuppgifter
- Behandling på grund av allmänt intresse
- Behandling på grund av avtal
- Behandling på grund av berättigat intresse
- Behandling på grund av en rättslig förpliktelse
- Behandling vid myndighetsutövning
- Dataskyddsombud
- Den personuppgiftsansvarige
- Inhämtande av samtycke
- Personlig integritet
- Personuppgifter
- Personuppgiftsbiträde
- Personuppgiftsbiträdesavtal
- Sanktionsavgifter enligt GDPR