Vilka rättigheter har enskilda personer enligt GDPR?
GDPR ger de registrerade, dvs. personer vars uppgifter behandlas, följande rättigheter:
- Rätt att bli informerad
- Rätt till tillgång
- Rätt till rättelse
- Rätt till radering (rätt att bli bortglömd)
- Rätt till begränsning av behandling
- Rätt till dataportabilitet
- Rätt att invända
- Rätt att inte bli föremål för ett beslut som enbart grundar sig på automatiserad behandling
Observera att vissa av dessa rättigheter inte gäller i alla situationer, du kan se de registrerades rättigheter för varje rättslig grund i denna tabell för mer information.
Den personuppgiftsansvarige är skyldig att svara på förfrågningar från registrerade som utövar sina rättigheter och måste underlätta utövandet av dessa rättigheter. Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige i denna uppgift.
Checklista för vad ni ska göra när det gäller registrerades rättigheter:
- Var förberedda: Utveckla system och förfaranden för att svara på förfrågningar om registrerades rättigheter och utbilda er personal att integrera förfrågningar om registrerades rättigheter i era interna arbetsflöden.
- Underlätta utövandet av rättigheter: Gör det enkelt för registrerade att veta vad deras rättigheter är och hur de kontaktar er för att utöva dem.
- Känna till era dataflöden: Håll er förteckning uppdaterad för att snabbt identifiera de uppgifter ni behandlar och för att hitta och hämta information effektivt.
- Vara transparent: Informera alltid de registrerade på ett tydligt och begripligt sätt om de personuppgifter ni behandlar innan behandlingen (till exempel i er integritetspolicy) och under behandlingen (till exempel när ni uppfyller en begäran om tillgång från den registrerade).
- Svara inom 1 månad: Svara alltid på en registrerads förfrågan inom en månad. Om ni behöver ytterligare tid för att svara eller om ni inte kan uppfylla begäran: informera den registrerade om detta inom en månad.
- Skicka det vidare: När ni får en begäran som rör personuppgifter som ni har överfört till andra mottagare, glöm inte att vid behov informera mottagarna om resultatet av begäran.
- Dokumentera: Håll koll på förfrågningar från registrerade och registrera era svar, håll också koll på ert resonemang när ni inte svarar på en förfrågan.
Hur ni hanterar begäran om registrerades rättigheter
Öppenhet är avgörande för dataskyddet i allmänhet och naturligtvis i samband med den registrerades rättigheter.
Den personuppgiftsansvarige ska
- kommunicera med registrerade på ett tydligt och begripligt språk (detta är särskilt viktigt i de fall då en organisation riktar sig till barn
- underlätta utövandet av dessa rättigheter, särskilt på elektronisk väg. Ni kan till exempel tillhandahålla ett onlineformulär på er webbplats som registrerade kan använda för att enkelt utöva sina dataskyddsrättigheter.
Svara skriftligen
Den allmänna regeln är att en organisation ska svara på en enskild persons begäran om tillgång på samma sätt som begäran gjordes, eller på det sätt på vilket den registrerade specifikt bad om ett svar. Ni bör helst svara skriftligen, även i förekommande fall på elektronisk väg. Ett svar på en begäran om registrerades rättigheter kan ges muntligen, men det rekommenderas inte eftersom ni måste kunna bevisa att ni har svarat på begäran.
Svara inom en månad
GDPR anger hur lång tid en personuppgiftsansvarig har på sig för att svara på en begäran och i vilka fall det är tillåtet att ta ut avgifter.
När de registrerade utövar en av sina rättigheter måste den personuppgiftsansvarige svara inom en månad. Om begäran är för komplicerad och mer tid behövs för att svara, kan ni förlänga tidsfristen med ytterligare två månader, förutsatt att den registrerade informeras inom en månad efter mottagandet av begäran. Om er organisation kan bevisa att begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, kan ni antingen ta ut en rimlig avgift eller vägra att bevilja begäran.
Om er organisation har rimliga tvivel om identiteten på den person som gör begäran (till exempel begäran görs med en annan e-postadress än den som vanligtvis används av er kund, eller den görs utanför ett autentiserat kundkonto), kan ni begära ytterligare information för att bekräfta den registrerades identitet innan ni svarar.
Om ni inte har för avsikt att följa den registrerades specifika begäran måste ni inom en månad från mottagandet av begäran informera den registrerade om skälen till varför ni inte kommer att bevilja begäran (t.ex. varför ni inte raderar de begärda uppgifterna). Dessutom måste ni informera de registrerade om möjligheten att lämna in ett klagomål till sin nationella dataskyddsmyndighet och rätten till ett effektivt rättsmedel.
Ta inte ut någon avgift
Er organisation kan inte kräva någon betalning från en registrerad person som begär att få utöva en av sina rättigheter. Ni kan dock ta ut en avgift om den registrerades begäran är uppenbart ogrundad eller orimlig, särskilt på grund av deras repetitiva karaktär. Beräkningen av avgiften måste ta hänsyn till de administrativa kostnaderna för att svara på begäran för er organisation. Såsom förklarats ovan är det också möjligt att vägra att tillmötesgå en begäran som är uppenbart ogrundad eller orimlig. I en sådan situation måste ni kunna visa att så är fallet.
I praktiken
- En registrerad lämnar in en begäran varannan månad hos snickaren som tillverkade deras bord. Snickaren besvarade den första förfrågan helt. Eftersom snickaren inte behandlar personuppgifter som en del av sin kärnverksamhet och inte tillhandahåller mer än en tjänst till den registrerade, är det osannolikt att ändringar har skett i personuppgifterna om den registrerade. Den registrerade har klargjort att den nya begäran avser samma information som den senaste begäran. Följaktligen kan denna begäran anses vara orimlig på grund av sin repetitiva karaktär.
- Om snickaren beslutar att lämna personuppgifterna till den registrerade men mot en avgift, är det lämpligt att informera personen i förväg om detta, vilket ger personen en chans att dra tillbaka begäran för att undvika att debiteras. Alternativt kan snickaren informera den registrerade om skälen till varför begäran inte kommer att besvaras samt om möjligheten att lämna in ett klagomål till en dataskyddsmyndighet och att vända sig till domstol.
Rätt att bli informerad
Rätten att bli informerad gör det möjligt för människor att förstå hur deras uppgifter kommer att behandlas, och följaktligen att fatta välgrundade beslut och ha mer kontroll över sina personuppgifter. Alla registrerade har rätt att få information när ni behandlar deras uppgifter.
Som personuppgiftsansvarig är ni skyldiga att informera de registrerade.
Vilken information?
Den information som ska lämnas varierar beroende på om ni har samlat in personuppgifterna direkt från den registrerade (direkt insamling, som regleras i artikel 13 i GDPR) eller om ni har erhållit dem från en annan källa (indirekt insamling, som regleras i artikel 14 i GDPR). Följande tabeller ger en översikt över den information som ni måste lämna till den registrerade:
Dessutom kräver GDPR att er organisation tillhandahåller följande information för att säkerställa rättvis och transparent behandling:
Er organisation måste återigen lämna informationen i denna andra tabell vid ytterligare behandling för ett nytt förenligt ändamål som skiljer sig från det ursprungliga syftet. Denna information måste lämnas innan ytterligare behandling sker. I så fall måste ni också ge den registrerade en förklaring till hur de nya och tidigare ändamålen är förenliga med varandra.
När ska informationen lämnas?
Om er organisation samlar in personuppgifterna direkt från den registrerade måste ni tillhandahålla nödvändig information vid tidpunkten för insamlingen.
Vid indirekt insamling av personuppgifter måste er organisation lämna informationen senast en månad efter det att personuppgifterna ursprungligen har erhållits. Denna period på högst en månad förkortas:
- om personuppgifterna används för kommunikation med den registrerade. I så fall måste ni informera den registrerade senast vid tidpunkten för den första kommunikationen till den registrerade.
- om uppgifterna överförs till en annan mottagare informerar organisationen de registrerade om detta senast när personuppgifterna överförs.
Under inga omständigheter kan den maximala perioden på en månad förlängas.
Vid senare ändringar av behandlingen (t.ex. nya mottagare, kompatibla ändamål, överföring utanför EES, etc.) måste er organisation informera den registrerade under alla omständigheter innan ändringen träder i kraft och ni bör göra det i god tid. Ju större ändringen är, desto tidigare bör er organisation informera den registrerade så att denne har rimlig tid att uppskatta effekterna av detta och utöva sina rättigheter.
När är er organisation inte skyldig att lämna information?
Er organisation är inte skyldig att informera den registrerade om denna person redan har fått nödvändig information.
Vid indirekt insamling av personuppgifter gäller ytterligare undantag. I detta fall är det inte nödvändigt att lämna information om
- tillhandahållandet av sådan information visar sig vara omöjligt eller skulle kräva oproportionerliga ansträngningar. Ribban för detta undantag är dock mycket hög, vilket innebär att en personuppgiftsansvarig endast kan åberopa detta kriterium undantagsvis.
- inhämtande eller utlämnande av uppgifter är uttryckligen föreskrivet i lag.
- personuppgifterna måste hållas konfidentiella på grundval av en lagstadgad tystnadsplikt.
I praktiken
- I vissa EU-länder kan den nationella lagstiftningen ålägga skattemyndigheterna att begära viss information om arbetstagare från arbetsgivarna. Skattemyndigheten behöver inte informera arbetstagaren i ett sådant fall. Som en del av sin informationsskyldighet informerar arbetsgivaren arbetstagaren om att skattemyndigheten är en av mottagarna av personuppgifterna.
Hur ska informationen lämnas till den registrerade?
Ett bra sätt att ge information är att arbeta med olika lager av information. På så sätt undviks att en alltför stor mängd information tillhandahålls samtidigt, vilket kan skada insynen och överhopa den registrerade med information. Användningen av ett skiktat tillvägagångssätt följer både kravet på koncis information och kravet på att tillhandahålla all nödvändig information. Detta förenklar inte bara den registeransvariges uppgift utan gör det också möjligt för den registrerade att snabbt och effektivt förstå den väsentliga informationen. Informationen kan presenteras på följande sätt:
- Ett första lager av grundläggande information
- VAD DÅ? Organisationen ger en sammanfattning av den grundläggande information som den registrerade behöver för att bedöma behandlingens inverkan och omfattning (dvs. den personuppgiftsansvariges identitet, ändamålen med behandlingen, kategorier av mottagare, uppgiftskälla, registrerades rättigheter osv.).
- HUR DÅ? Till exempel i ett tabellformat, på en tydligt synlig plats med titeln ”Grundläggande dataskyddsinformation” eller via popup-fönster som ger förklaringar när personuppgifter samlas in. Om behandlingen grundar sig på samtycke är det att föredra att nämna denna information på den plats där den registrerade måste ge samtycke (nära ”samtycke”-knappen).
- Ett andra lager med ytterligare och mer detaljerad information
- VAD DÅ? I denna del presenteras på ett begripligt och heltäckande sätt den återstående information som organisationen är skyldig att tillhandahålla enligt artiklarna 13 och 14 i GDPR.
- HUR DÅ? Ytterligare information kan tillhandahållas på flera sätt, t.ex. genom hyperlänkar som ingår i grundinformationen eller genom nedladdning av ett dokument. Tillhandahållandet av denna ytterligare information bör ge en balans mellan överskådlighet å ena sidan och fullständighet och noggrannhet å andra sidan. Informationen bör struktureras på ett sådant sätt att den är lättläst. Glöm inte att anpassa informationen till målgruppen (t.ex. om er tjänst riktar sig till barn, skriv informationen på ett sätt som de kan förstå).
Rätt till tillgång
Genom att utöva sin rätt till tillgång kan de registrerade kontrollera lagligheten i varje behandling som berör dem.
När de utövar sin rätt till tillgång bör de registrerade få en bekräftelse från den personuppgiftsansvarige om huruvida deras personuppgifter behandlas eller inte. Om så är fallet har registrerade tillgång till sina personuppgifter och följande information:
- ändamålen med behandlingen;
- de kategorier av personuppgifter som berörs;
- mottagarna (eller kategorier av mottagare) av personuppgifterna;
- lagringstiden för personuppgifterna eller de kriterier som används för att fastställa denna period;
- förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifter eller begränsning av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling;
- förekomsten av rätten att lämna in ett klagomål till en dataskyddsmyndighet;
- uppgiftskällan (när personuppgifterna inte samlas in direkt från den registrerade);
- förekomsten av automatiserat beslutsfattande, inbegripet profilering, meningsfull information om logiken i fråga samt betydelsen och de förutsedda konsekvenserna av sådan behandling för den registrerade;
- när personuppgifter överförs från Europeiska unionen införs alla lämpliga skyddsåtgärder (i enlighet med artikel 46 i dataskyddsförordningen avseende dataöverföringar).
Dessutom har personen rätt att kostnadsfritt få en kopia av de personuppgifter som är relaterade till personen ifråga som er organisation behandlar. Om personen begär ytterligare kopior kan er organisation besluta att ta ut en rimlig avgift som beräknas på grundval av de administrativa kostnaderna för att göra kopior. Observera att i de flesta fall kan individer inte vara skyldiga att betala en avgift för att få tillgång till sina personuppgifter.
Om en begäran görs elektroniskt bör er organisation tillhandahålla den information som krävs i ett allmänt använt elektroniskt format, såvida inte den enskilda begär något annat.
Viktigt att notera
Innan ni tillhandahåller en kopia av personuppgifterna måste ni kontrollera att detta inte kommer att påverka andras rättigheter och friheter (t.ex. om information om fler än en person behandlas i samma akt eller information som rör företagshemligheter och immateriella rättigheter).
Rätt till rättelse
Den registrerade har rätt att av den personuppgiftsansvarige begära och erhålla rättelse av felaktiga uppgifter och komplettering av ofullständiga uppgifter. Om er organisation har vidarebefordrat personuppgifterna till tredje part måste ni informera dem om rättelsen, såvida detta inte visar sig vara omöjligt eller kräver oproportionerliga ansträngningar.
I praktiken
- En kund informerar er organisation om att han eller hon har flyttat till en annan stad. Ni måste ändra adressen i er kunddatabas.
Rätt till radering (rätt att bli bortglömd)
En registrerad kan begära att en organisation raderar personuppgifter som rör dem i följande situationer:
- personuppgifterna är inte längre nödvändiga för det ändamål för vilket de samlades in;
- organisationen behandlar personuppgifterna på ett olagligt sätt;
- organisationen måste radera personuppgifterna på grund av en rättslig förpliktelse;
- den registrerade återkallar samtycket och behandlingen har ingen annan rättslig grund;
- den registrerade har framgångsrikt utövat sin rätt att göra invändningar;
- minderåriga som har gett sitt samtycke till att använda en onlinetjänst kan alltid begära radering av sådana personuppgifter (oavsett deras nuvarande ålder).
När de personuppgifter som ska raderas tidigare har överförts till andra organisationer måste ni informera dessa mottagare om att den registrerade har begärt radering, såvida detta inte visar sig vara omöjligt eller skulle kräva oproportionerliga ansträngningar.
När er organisation är skyldig att radera personuppgifter som den har offentliggjort, måste ni vidta alla rimliga åtgärder för att informera andra personuppgiftsansvariga som behandlar dessa uppgifter om att den registrerade har begärt radering av eventuella länkar till, eller kopior av, dessa personuppgifter.
Er organisation kan endast vägra att radera personuppgifter i ett begränsat antal fall, till exempel:
- utövandet av rätten till yttrande- och informationsfrihet;
- fastställande, utövande eller försvar av rättsliga anspråk;
- fullgörande av en rättslig förpliktelse som organisationen omfattas av eller utförandet av en uppgift av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts organisationen;
- skäl till allmänintresset på folkhälsoområdet;
- arkiveringsändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (under särskilda förhållanden).
I praktiken
- En anställd från er organisation har sagts upp. Den anställde begär att hans personuppgifter raderas från hans personalfil. Arbetsrätten kräver dock att ni måste behålla flera HR-handlingar (register över anställda, kopior av lönebesked etc.) under en viss tidsperiod. För dessa dokument måste ni avslå begäran om att radera uppgifterna.
- En tidigare kund vill inte längre ta emot marknadsföringsmail från er organisation och begär att ni raderar kundens kontaktuppgifter. Eftersom det inte finns några tvingande skäl för er att fortsätta att behandla kontaktuppgifter, måste ni radera dem.
Rätt till begränsning av behandlingen
Under vissa omständigheter kan de registrerade begära en begränsning av behandlingen av sina uppgifter. Som ett resultat kan er organisation fortfarande behålla personuppgifterna, men måste upphöra med all annan behandling.
Den registrerade har rätt att erhålla begränsning av databehandlingen när:
- den registrerade bestrider att personuppgifterna är korrekta;
- behandlingen är olaglig: i stället för att radera uppgifterna kan den registrerade i stället begära begränsning av användningen av personuppgifterna;
- organisationen behöver inte längre personuppgifterna, men uppgifterna är fortfarande nödvändiga för att den registrerade ska kunna göra gällande ett rättsligt anspråk;
- den registrerade har utövat sin rätt att invända. Begränsningen gäller under den tid som krävs för att kontrollera om organisationens berättigade skäl har företräde framför den registrerades.
Om den registrerade utövar sin rätt till begränsning av behandlingen kan er organisation endast använda uppgifterna under vissa specifika omständigheter, till exempel med den registrerades samtycke eller för att försvara rättsliga anspråk. Har ni tidigare vidarebefordrat de ”begränsade” uppgifterna till andra mottagare? Ni måste då informera dessa mottagare om begränsningen av behandlingen, såvida detta inte visar sig vara omöjligt eller kräver oproportionerliga ansträngningar.
Innan ni häver begränsningen, se till att informera den registrerade om er avsikt att göra det.
Rätt till dataportabilitet
Rätten till dataportabilitet gör det möjligt för registrerade att få sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. På så sätt kan de enkelt återanvända uppgifterna och, om de så önskar, överföra sina uppgifter till en annan personuppgiftsansvarig. Rätten till dataportabilitet kan endast utövas om dessa tre villkor är uppfyllda samtidigt:
- behandlingen grundar sig på samtycke eller avtal;
- behandlingen är automatiserad (dvs. inga pappersdokument);
- och de registrerade har själva lämnat uppgifterna. Detta inkluderar även data som er organisation har observerat baserat på den registrerades beteende (t.ex. med anslutna tillbehör).
Denna rätt avser därför inte uppgifter som organisationen själv skapar på grundval av ovannämnda uppgifter.
Mer konkret har de registrerade rätt:
- att få sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Formatet ska göra det möjligt för den registrerade att återanvända personuppgifterna för en annan tjänst.
Exempel: XML, JSON och CSV är vanliga format som uppfyller detta kriterium. Metadata måste också tillhandahållas så att data kan användas på en annan plattform. PDF-format är inte tillräckligt. - att få sina personuppgifter direkt överförda till en annan personuppgiftsansvarig. Er organisation bör endast göra det om en sådan direkt överföring är tekniskt möjlig.
I praktiken
- Er organisation tillhandahåller onlinetjänster för musikstreaming. Era kunder kan begära överföring av sina låtlistor till en annan musikströmningstjänst.
- Ni är ett litet eller medelstort företag som erbjuder en webbmailtjänst. Om en kund som har ett e-postkonto för rent personliga eller hushålls behov begär det, måste ni överföra hans eller hennes adresslista och e-post till en annan webbposttjänst förutsatt att detta är tekniskt möjligt. Om detta inte är möjligt måste ni tillhandahålla adresslistan och e-posten till kunden i ett återanvändbart digitalt format.
Rätt att invända
Registrerade får invända mot behandling av personuppgifter som rör dem ”av skäl som hänför sig till deras särskilda situation”. Rätten att göra invändningar kan endast utövas om behandlingen grundar sig på någon av följande rättsliga grunder:
- organisationens eller en tredje parts berättigade intresse, eller
- utförande av en uppgift som utförs i allmänhetens intresse eller som ett led i myndighetsutövning.
I andra situationer kan den registrerade inte utnyttja rätten att göra invändningar eftersom det för de andra rättsliga grunderna finns alternativ för att uppnå samma syfte: vid samtycke kan den registrerade helt enkelt återkalla sitt samtycke. Den registrerade kan inte invända mot en behandling som föreskrivs i lag.
När de registrerade utövar sin rätt att invända måste er organisation ta hänsyn till båda parters intressen. Ni ska upphöra med all behandling av dessa personuppgifter såvida ni inte kan visa tvingande berättigade skäl som väger tyngre än den registrerades rättigheter och friheter (t.ex. vidtar rättsliga åtgärder). Er organisation måste dokumentera och informera den registrerade om dessa skäl.
Viktigt att notera
När uppgifterna behandlas för marknadsföringsändamål har den registrerade rätt att invända mot denna behandling utan att ange några skäl. I det här fallet är anledningen till att er organisation behandlar dessa uppgifter inte relevant, istället måste invändningen leda till att behandlingen omedelbart upphör för detta ändamål.
I praktiken
- Ni är ett mindre eventmarketing-företag. När en person köper en biljett till ett bands konsert på nätet får han eller hon reklam för andra liknande konserter. Om personen vill sluta ta emot dessa annonser och föremål måste organisationen stoppa direktmarknadsföringen.
- Ni är ett litet eller medelstort företag som är verksamt inom försäkringsbranschen. I denna bransch krävs personuppgifter i vissa situationer för att bekämpa penningtvätt. Ni kan, som försäkringsmäklare, vägra att följa upp en rätt att invända eftersom era nationella lagar mot penningtvätt gör er skyldiga att behandla uppgifterna.
Läs mer
Rätt att inte bli föremål för ett beslut som enbart grundar sig på automatiserad behandling
En person har rätt att inte bli föremål för ett helt automatiserat beslut (dvs. utan mänsklig inblandning i beslutsprocessen) som har rättslig verkan eller väsentligt påverkar personen i fråga.
Automatiserat beslutsfattande går ofta hand i hand med profilering, som definieras i dataskyddsförordningen som ”varje form av automatisk behandling av personuppgifter som består i användning av personuppgifter för att utvärdera vissa personliga aspekter som rör en fysisk person, särskilt för att analysera eller förutsäga aspekter som rör den fysiska personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, tillförlitlighet, beteende, plats eller rörelser” (artikel 4.4 i dataskyddsförordningen).
För att denna rätt ska kunna tillämpas måste den automatiserade behandlingen omfatta följande:
- ett beslut som uteslutande grundar sig på automatiserad behandling, utan mänsklig inblandning. Detta innebär att ingen fysisk person har någon betydande kontroll över beslutet och t.ex. inte kan ändra eller upphäva beslutet;
- ett beslut som har rättslig verkan för de registrerade eller som i betydande grad påverkar dem.
I praktiken
- Ett exempel på rättsverkan kan vara automatisk uppsägning av ett telefoniavtal eftersom kunden inte har betalat månadsräkningen.
- Ett beslut som i betydande grad påverkar personen kan hittas i följande exempel (även om sammanhanget naturligtvis alltid måste beaktas vid bedömningen av om inverkan på den registrerade är betydande):
- beslut som påverkar människors ekonomiska förhållanden, t.ex. deras möjlighet att erhålla kredit;
- automatiskt avslag för sökande som ansöker via en onlineplattform;
- prisdifferentiering baserad på konsumentens surfhistorik och inköpsvanor;
- beslut som påverkar någons tillgång till utbildning, till exempel universitetsantagning .
Det finns tre situationer där ett automatiserat individuellt beslut fortfarande kan fattas:
- om det är tillåtet enligt lag (t.ex. förebyggande av bedrägeri eller skatteflykt),
- om beslutet grundar sig på uttryckligt samtycke från den registrerade, eller
- om det är nödvändigt för att ingå eller fullgöra ett avtal. Var dock medveten om att det i denna sista situation alltid beror på en bedömning från fall till fall. Så snart det finns mindre integritetsingripande metoder för att ingå eller genomföra avtalet anses det automatiska beslutet inte längre vara ”nödvändigt”.
Om känsliga uppgifter är inblandade är det automatiska beslutsfattandet endast möjligt på grundval av uttryckligt samtycke eller ett väsentligt allmänintresse enligt unionsrätten eller nationell rätt.
Registrerades rättigheter för varje rättslig grund
