För dig som kund
Företag som samlar in personuppgifter om dig måste följa reglerna i dataskyddsförordningen för att få behandla dina uppgifter.
När du blir kund hos ett företag samlar företaget ofta in uppgifter om dig för att till exempel kunna leverera den vara eller tjänst du köpt eller skicka erbjudanden till dig. Företaget måste följa reglerna i dataskyddsförordningen, som att ha en rättslig grund för behandlingen av personuppgifter och ge tydlig information om hur dina uppgifter används.
Personuppgift – mer än namn och adress
Personuppgifter är uppgifter som enskilt eller i kombination med andra uppgifter kan knytas till en fysisk levande person, till exempel:
- namn, personnummer
- adress, e-postadress, telefonnummer
- foton och ljudupptagningar
- betalningsuppgifter som konto- eller betalkortsnummer
Vad menas med en personuppgiftsbehandling?
En personuppgiftsbehandling innebär att ett företag hanterar dina uppgifter på något sätt, till exempel samlar in, registrerar, lagrar, ändrar eller lämnar ut uppgifter om dig.
Företaget måste ha en rättslig grund för behandlingen
När ett företag behandlar uppgifter om dig som kund måste det kunna stödja sig på någon av de rättsliga grunderna i dataskyddsförordningen. Om företaget inte har en rättslig grund är personuppgiftsbehandlingen inte laglig.
Avtal som rättslig grund
Ett företag får behandla uppgifter som är nödvändiga för att fullgöra ett avtal med dig eller för att vidta åtgärder på begäran av dig innan ni ingår ett avtal.
Samtycke som rättslig grund
Ett företag får också behandla personuppgifter med stöd av ett samtycke från dig. För att ett samtycke ska vara giltigt krävs att det är frivilligt och att du är införstådd med hur dina personuppgifter behandlas eller ska behandlas. Samtycket ska dessutom gälla en specifik personuppgiftsbehandling. Samtycket ska uttryckas genom en aktiv handling från dig och du har rätt att när som helst dra tillbaka det utan att det ska behöva leda till negativa konsekvenser för dig.
Det finns en missuppfattning om att ett samtycke alltid krävs för att en personuppgiftsbehandling ska vara tillåten. Om ett företag behandlar dina uppgifter med stöd av någon av de andra rättsliga grunderna kan personuppgiftsbehandlingen vara tillåten utan ditt samtycke. Samtycke är alltså bara en av de olika rättsliga grunderna som ett företag kan stödja sig på.
Intresseavvägning som rättslig grund
Ett företag får i vissa fall behandla dina personuppgifter med stöd av en intresseavvägning. Det innebär att företaget inte måste ha ditt samtycke för att behandla uppgifterna. Däremot krävs det att företaget har ett berättigat intresse och att ditt intresse av skydd för dina personuppgifter inte väger tyngre.
Personuppgifter ska behandlas på rätt sätt
När företag behandlar personuppgifter om dig som kund ska de säkerställa att uppgifterna är korrekta och uppdaterade. Företag är också skyldiga att vidta säkerhetsåtgärder för att skydda dina personuppgifter från bland annat obehörig åtkomst och otillåten användning.
Personuppgifter får inte sparas längre än nödvändigt
Företag får inte spara uppgifter om dig längre än vad som är nödvändigt för ändamålet med personuppgiftsbehandlingen. Företaget ska därför radera eller avidentifiera dina personuppgifter när de inte längre behövs. Det ska göras fortlöpande eller efter en viss tid, till exempel när kundförhållandet med dig upphör.
Företag får i vissa fall spara dina personuppgifter även när det inte längre är nödvändigt för att till exempel fullgöra avtalet med dig som kund eller efter det att du återkallat ett samtycke. Det gäller till exempel vid bokföring, eftersom bokföringslagen ställer krav på att vissa handlingar ska sparas under en viss tid. Företaget får i så fall inte använda dina personuppgifter för annat än bokföring eller spara uppgifter som inte behövs för bokföringen.
Dina rättigheter som kund
Du har rätt till information
Om ett företag behandlar dina personuppgifter ska du få information om detta. De ska bland annat informera om
- varför dina personuppgifter behandlas och vilken rättslig grund företaget tillämpar
- vilka personuppgifter om dig som behandlas
- om uppgifterna lämnats eller kan komma att lämnas ut till tredje part
- hur länge uppgifterna kommer att lagras eller vad som avgör lagringstiden.
Du har rätt att få tillgång till dina personuppgifter
Du har rätt att vända dig till ett företag för att få veta vilka personuppgifter som företaget har om dig genom ett så kallat registerutdrag. Registerutdraget ska bland annat innehålla information om
- vilka personuppgifter om dig som behandlas
- varifrån uppgifterna kommer
- ändamålen med behandlingen
- vilka mottagare eller kategorier av mottagare som personuppgifterna har lämnats ut till eller ska lämnas ut till.
Du har rätt att i vissa fall få dina personuppgifter raderade
Du har rätt att vända dig till ett företag som behandlar dina personuppgifter och be att uppgifterna raderas. De ska radera dina uppgifter när
- personuppgifterna inte längre är nödvändiga
- personuppgifterna har behandlats olagligt
- företaget inte längre har någon rättslig grund för att behandla uppgifterna.
Företag kan ibland behöva ha kvar dina personuppgifter för att uppfylla sina skyldigheter enligt annan lagstiftning. Då ska företaget efter din begäran göra en bedömning av om informationen ska tas bort eller om det finns något stöd för att ha kvar uppgifterna.
Du har rätt att få dina personuppgifter överförda till annat företag
Du har under vissa förutsättningar rätt att få ut dina personuppgifter från ett företag där du är kund, så att du kan använda uppgifterna hos ett annat företag. Det gäller endast om företaget som du vill få ut personuppgifterna från har behandlat dina uppgifter med stöd av ditt samtycke eller för att uppgifterna varit nödvändiga för att fullgöra ett avtal. Det gäller också endast uppgifter som du själv lämnat till företaget. Uppgifterna ska om det är tekniskt möjligt överföras direkt från företaget till det andra företaget. I annat fall ska du få uppgifterna i ett format som gör att informationen kan vidareanvändas.
Uppgifter får inte överföras till något annat företag om det skulle innebära en ofördelaktig påverkan på andra personers rättigheter och friheter, till exempel om det i din lista av uppgifter finns personuppgifter om andra personer som det mottagande företaget kan använda för marknadsföring.