Den registrerades rättigheter

En av de viktigaste principerna i GDPR är att de registrerade, alltså dina kunder och anställda, ska ha kontroll över sina uppgifter.

Genom att hantera de registrerades rättigheter på ett effektivt sätt bidrar du till att skapa transparens och förtroende mellan organisationer och enskilda personer.

Det är inte bara för att undvika straffavgifter som det är viktigt för företag att hantera personuppgifter på ett ansvarsfullt sätt. Genom att visa att ni tar kundens integritet på allvar kan ditt företag stärka sitt varumärke och öka kundlojaliteten. Dessutom kan ni dra nytta av att skilja er från mindre ansvarsfulla konkurrenter på marknaden.

GDPR ger de registrerade flera rättigheter som den personuppgiftsansvarige är skyldig att tillgodose. Vilka rättigheter har då den registrerade och vilka skyldigheter har företag och organisationer att uppfylla dessa?

Linnea Kjellberg

25e juli 2023

Vilka rättigheter har vi?

Denna artikel tar 5 min att läsa och innehåller även mallar och annat användbart material.

Vilka rättigheter har då den registrerade och vilka skyldigheter har företag och organisationer att uppfylla dessa?

RÄTT TILL INFORMATION

Den registrerade har rätt att få information om hur personuppgifterna kommer att användas och behandlas. Informationen ska vara klar och tydlig, presenteras i lätt tillgänglig form och på klart och tydligt språk. I många fall kan det göras genom att hänvisa till personuppgiftspolicyn. Målet är helt enkelt att de registrerade ska kunna förstå precis vad som händer med personuppgifterna.

RÄTT TILL TILLGÅNG

Den registrerade har rätt att veta om ni behandlar några av hens personuppgifter, och i så fall att få tillgång till dem. Det är det här som kallas för ett registerutdrag, och det ska innehålla information om hur personuppgifterna behandlas, vem de har lämnats ut till, hur länge de kommer lagras, mm. Den registrerade ska även få information om sin rätt att begära rättelse eller radering, och att klaga till Integritetsskyddsmyndigheten, IMY.

RÄTT TILL RÄTTELSE

En viktig princip enligt GDPR är att personuppgifterna som behandlas ska vara korrekta. Om den registrerade begär det måste ni rätta personuppgifter som är felaktiga eller ofullständiga. Det ska göras utan onödigt dröjsmål, och senast inom en månad. Om det behövs har den registrerade också rätt att komplettera uppgifterna.

RÄTT TILL RADERING

Rätten till radering kallas också ”rätten att bli bortglömd”. Det innebär att ni i vissa fall måste ta bort alla personuppgifter som rör en viss person. Det gäller bland annat när uppgifterna inte längre behövs för ändamålet de samlades in för och när personen drar tillbaka sitt samtycke. Personuppgifterna måste också raderas om personen invänder mot behandlingen och ni inte kan visa några tvingande berättigade skäl som väger tyngre än personens egna intressen. Men rätten till radering gäller inte alltid – om personuppgifterna är nödvändiga för att uppfylla en rättslig skyldighet eller relaterar till rättsliga anspråk kan ni få spara dem ändå.

RÄTT TILL BEGRÄNSNING AV BEHANDLING

Rätten till begränsning innebär att den registrerade i vissa situationer kan begära att personuppgifterna inte ska behandlas, eller att de bara ska behandlas för vissa ändamål. Om behandlingen av uppgifterna har begränsats får de fortfarande lagras, och den registrerade kan lämna nytt samtycke till att de behandlas för något ändamål. I undantagsfall får uppgifterna också användas vid rättsliga anspråk, för att skydda någon annan fysisk eller juridisk persons rättigheter eller för att skydda något viktigt allmänintresse.

RÄTT TILL DATAPORTABILITET

Om den registrerade vill föra över sina personuppgifter från en personuppgiftsansvarig till en annan, har hen rätt att få ut dem i ett strukturerat, allmänt använt, maskinläsbart format. Rätten gäller bara uppgifter som den registrerade själv har lämnat till den personuppgiftsansvarige, om behandlingen sker automatiserat, och om den rättsliga grunden till behandlingen är samtycke eller avtal. Rätten gäller inte uppgifter som behandlas som ett led i myndighetsutövning. Den får heller inte påverka andra registrerades rättigheter negativt, t.ex. om flera registrerade berörs av de aktuella uppgifterna.

RÄTT ATT GÖRA INVÄNDNINGAR

Om behandlingen av personuppgifter grundar sig på ett allmänt intresse eller den personuppgiftsansvariges berättigade intresse har den registrerade rätt att invända mot behandlingen och begära att den upphör. Då måste en ny bedömning göras av om skälen för behandlingen väger tyngre än den registrerades intressen. Då ska det också beaktas att den registrerade invänt mot behandlingen. Vid direktmarknadsföring är rätten att göra invändningar extra stark, eftersom sådan behandling aldrig kan motiveras om en invändning har gjorts.

RÄTT ATT INTE BLI FÖREMÅL FÖR AUTOMATISERADE BESLUT

Den registrerade har rätt att inte bli föremål för automatiserade beslut, det vill säga beslut som fattas enbart på grund av automatisk behandling av personuppgifter. Om sådana beslut fattas har den registrerade rätt att få beslutet granskat av en människa. Den registrerade har också rätt att få information, att framföra sina synpunkter, att få en förklaring till beslutet och att överklaga det.

Art 30
Registerförteckning
Ladda ner vårt exempel på behandlingsregister som uppfyller de nya kraven.

Nu kan du helt kostnadsfritt ta del av vår expertmall
för behandlingsregistret för att uppfylla art 30 i GDPR.

Hur ska företag hantera klagomål på sin verksamhet?

Om någon av era registrerade, till exempel en kund eller en anställd, tycker att ni har behandlat deras uppgifter på ett felaktigt sätt, behöver ni ta reda på om det ligger något i det. Ett klagomål kan vara ett värdefullt tillfälle att utveckla och förbättra er personuppgiftshantering.

KLAGOMÅL TILL DEN PERSONUPPGIFTSANSVARIGE

Den registrerade får alltid kontakta er, t.ex. genom dataskyddsombudet, för att få svar på frågor eller utöva sina rättigheter. Om en registrerad tycker att ni behandlar personuppgifter på fel sätt eller att hens rättigheter har kränkts på något sätt ska hen begära att ni rättar till felet. Det mest effektiva sättet att se till att den registrerades rättigheter uppfylls är att ni för en dialog. Ni är dock också skyldiga att informera de registrerade om sin rätt att lämna in klagomål till Integritetsskyddsmyndigheten, IMY.

KLAGOMÅL TILL INTEGRITETSSKYDDSMYNDIGHETEN

Om den registrerade inte tycker att ni har gjort tillräckligt för att bemöta klagomålet kan hen i stället lämna in ett klagomål till IMY. Vid en anmälan IMY ska ta emot och utreda klagomålet, och informera den registrerade om hur arbetet går och vad resultatet blir. Om det visar sig att ni har gjort något allvarligt fel kan det leda till sanktioner.

Användbara dokument

EDPB (European data protection board) har tagit fram några mycket användbara riktlinjer som  berör registrerades rättigheter. 

Riktlinjer om registrerades rättigheter

Denna riktlinje från EDPB (Europeiska dataskyddsstyrelsen) ger bra vägledning för hur frågeställningar till registrerades rättigheter ska tolkas och bedömas. Dokumentet går att ladda ner på engelska här: 

Riktlinjer om rätten att bli glömd

Denna riktlinje är ett bra dokument för att lära sig mer om vilka rättigheter individen har enligt dataskyddsförordningen och hur företag bör agera för att tillmötesgå dessa krav. Dokumentet går att läsa här: 

Riktlinjer om dataportabilitet

Artikel 29-gruppen tog för många år sedan fram en riktlinje om konceptet dataportabilitet som är en av rättigheterna som följer av GDPR. Även om artikel 29-gruppen numera ersatts av EDPB är riktlinjerna fortsatt en bra källa för information om denna rättighet och hur den kan hanteras av företag.