Verksamhet
Dataskydd Det här gäller enligt dataskyddsförordningen De registrerades rättigheterDe registrerades rättigheter
Den registrerade har rätt att få information när hens personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av er som personuppgiftsansvariga både när uppgifterna samlas in och när den registrerade annars begär det.
Dessutom finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos er som personuppgiftsansvariga och det finns risk för till exempel identitetsstöld eller bedrägeri.
Informationen ska ges till den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett klart och tydligt språk.
Den registrerade har bland annat rätt att få veta
- för vilka ändamål personuppgifter kommer att behandlas
- den rättsliga grunden för behandlingen
- hur länge personuppgifter kommer att lagras
- vem som kommer att ta del av personuppgifter
- registrerades rättigheter enligt dataskyddsförordningen
- om personuppgifter kommer att överföras till ett så kallat tredjeland (land utanför EU/EES)
- att hen kan lämna in klagomål till IMY
- att den registrerade kan återkalla sitt samtycke, om hen har lämnat det
- kontaktuppgifterna till den personuppgiftsansvariga och till dess eventuella dataskyddsombud.
Europeiska dataskyddsstyrelsen (EDPB) har tagit fram en riktlinje som handlar om information till den registrerade.
Den registrerade har rätt att vända sig till er som personuppgiftsansvariga för att få veta om hens personuppgifter behandlas eller inte. Om den registrerades personuppgifter behandlas måste ni tillhandahålla en kopia på uppgifterna och lämna information om bland annat
- vilka kategorier av personuppgifter som behandlas
- vad personuppgifterna används till
- hur länge uppgifterna kommer att sparas
- vilka personuppgifterna har delats med
- varifrån uppgifterna kommer.
Rätten att få en kopia på sina personuppgifter innebär inte att ni alltid måste lämna ut själva handlingen där personuppgifterna förekommer. Ofta kan det vara tillräckligt att ge den registrerade en begriplig sammanställning av alla de personuppgifter som förekommer i handlingen eller i övrigt är under behandling. Sammanställningen ska vara utformad så att den registrerade ges möjlighet att kontrollera uppgifternas riktighet och laglighet.
Det kan finnas omständigheter som medför att information inte ska lämnas ut, till exempel på grund av bestämmelser i annan lagstiftning eller att ett utlämnande av informationen medför nackdelar för andra.
I vissa fall kan den personuppgiftsansvariga också vägra att tillhandahålla en kopia på uppgifterna, till exempel om den registrerade gör så kallade ogrundade eller orimliga begäranden, till exempel begär att få tillgång ett flertal gånger under kort tid.
Den registrerade har rätt att vända sig till er som personuppgiftsansvariga och be att få felaktiga uppgifter rättade. Det innebär också att den registrerade har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. Att ni som personuppgiftsansvariga också själva måste se till att uppgifterna är korrekta och uppdaterade framgår redan av de grundläggande principerna i dataskyddsförordningen.
Om uppgifter rättas på den registrerades begäran måste ni som personuppgiftsansvariga informera dem som de har lämnat ut uppgifter till om att uppgifter rättats. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den registrerade har också rätt att begära att få information om till vem uppgifter har lämnats ut.
Den registrerade har rätt att vända sig till er som personuppgiftsansvariga och be att uppgifterna om honom eller henne raderas.
Uppgifterna måste raderas i följande fall
- om uppgifterna inte längre behövs för de ändamål som de samlades in för
- om behandlingen grundar sig på den registrerades samtycke och hen återkallar samtycket
- om behandlingen sker för direktmarknadsföring och den registrerade motsätter sig att uppgifterna behandlas
- om den registrerade motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den registrerades intresse
- om personuppgifterna har behandlats olagligt
- om radering krävs för att uppfylla en rättslig skyldighet
- om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk.
Om uppgifter raderas på den registrerades begäran måste den personuppgiftsansvariga också informera dem som de har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats.
När personuppgifterna har publicerats eller på annat sätt gjorts offentliga (i ett socialt nätverk, ett internetforum eller på en webbsida) räcker det inte alltid att de raderas där. I dessa situationer ska den som offentliggjort uppgifterna också vidta rimliga åtgärder för att informera andra som behandlar uppgifterna om den registrerades begäran så att även kopior av eller länkar till uppgifterna tas bort.
Det finns undantag från rätten till radering och skyldigheten att informera andra om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
De registrerade har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att de i framtiden endast får behandlas för vissa avgränsade syften.
Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och har begärt rättelse. I sådana fall kan den registrerade även begära att behandlingen av uppgifterna begränsas under tiden uppgifternas korrekthet utreds.
När begränsningen upphör ska ni som personuppgiftsansvariga informera den registrerade om detta.
Den registrerade har rätt att invända mot den personuppgiftsansvarigas behandling av hans eller hennes personuppgifter.
Rätten att invända gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning.
Om den registrerade invänder mot behandlingen i sådana fall får den personuppgiftsansvariga endast fortsätta att behandla uppgifterna om det går att visa att det finns avgörande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den registrerades intressen, rättigheter och friheter eller om behandlingen sker för att fastställa, utöva eller försvara rättsliga anspråk.
Den registrerade har alltid rätt att invända mot att hens personuppgifter används för direkt marknadsföring. En sådan invändning kan göras när som helst. Görs en invändning mot direkt marknadsföring, får personuppgifterna inte längre behandlas för sådana ändamål.
Särskilda regler gäller för personuppgifter som behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål.
Den registrerade har i rätt att få ut och använda sina personuppgifter på annat håll, till exempel i en annan social medietjänst.
Ni som personuppgiftsansvariga är skyldiga att underlätta en sådan överflyttning av personuppgifter. En förutsättning är att den personuppgiftsansvariga behandlar personuppgifterna med stöd av ett samtycke från den registrerade eller för att uppfylla ett avtal.
Det gäller bara sådana personuppgifter som den registrerade själv har lämnat.
Den registrerade har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inklusive profilering, om beslutet kan ha rättsliga följder eller på liknande sätt i betydande grad påverkar honom eller henne.
Automatiserat beslutsfattande kan till exempel vara ett automatiserat avslag på en kreditansökan på internet eller vid ett nekande besked från e-rekrytering via internet utan personlig kontakt.
Automatiserat beslutsfattande kan vara tillåtet om det är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvariga eller om den registrerade har gett sitt uttryckliga samtycke. Det kan även vara tillåtet enligt särskild lagstiftning.
Den personuppgiftsansvariga måste informera de registrerade om att automatiserat beslutsfattande används enligt den generella informationsskyldigheten i förordningen.
Automatiserade beslut kan fattas med eller utan profilering. Omvänt kan profilering användas utan att det leder till ett automatiserat beslut. Profilering innebär varje form av automatisk behandling av personuppgifter då uppgifterna används för att bedöma vissa personliga egenskaper, i synnerhet för att analysera eller förutsäga personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
Profilering är en behandling av personuppgifter som måste följa samtliga bestämmelser i dataskyddsförordningen.
Riktlinjer om automatiserat beslutsfattande och profilering (pdf 458 kB)
Det här gäller alla rättigheter
Som personuppgiftsansvarig har ni en skyldighet att underlätta för den registrerade när hen utövar sina rättigheter i enlighet med dataskyddsförordningen. Det kan exempelvis göras genom tydlig information på den personuppgiftsansvariges webbplats och annars genom att tillhandahålla användarvänliga kommunikationskanaler där en registrerade kan göra en begäran på ett effektivt sätt.
Ni behöver kunna identifiera den som gör en begäran för att säkerställa att kraven på säkerhetsåtgärder följs samt för att minimera risken för ett obehörigt utlämnande av personuppgifter.
Om det finns rimliga skäl att betvivla identiteten hos den som lämnar in en begäran om att utöva en rättighet får ni begära ytterligare nödvändig information för att möjliggöra identifieringen. Däremot får ni inte samla in fler uppgifter än vad som är nödvändigt.
- Som personuppgiftsansvariga ska ni hantera en begäran så snabbt som möjligt, men ni måste agera på begäran senast en månad efter att den inkom.
- Tidsfristen får vid behov förlängas med två månader. I så fall ska ni som personuppgiftsansvariga informera den registrerade om förlängningen och orsaken till förseningen senast en månad efter att begäran inkom. Det innebär att den information som den registrerade begärt ska lämnas senast tre månader från mottagandet av begäran.
- Händelser som kan motivera en förlängning är till exempel om det är en komplicerad begäran eller om ni som personuppgiftsansvariga har fått in många begäranden samtidigt.
Vad innebär en månad?
- Tidsfristen startar den dagen ni som personuppgiftsansvariga tar emot begäran. Tidsfristen löper ut samma datum månaden därpå.
- Om slutdatumet är en lördag, söndag eller helgdag så förlängs tidsfristen till nästa arbetsdag.
- Om slutdatumet inte existerar för att den nästkommande månaden har färre dagar, blir slutdatumet den sista dagen i nästa månad.
En person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen.
Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om biträdet har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den personuppgiftsansvarigas instruktioner.
Den registrerade kan begära skadestånd från den personuppgiftsansvariga eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.
Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvariga eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.
För att underlätta för den registrerade när den vill göra en rättighetsbegäran är det också viktigt att tänka på hur ni kan samla in ytterligare uppgifter. Om ni exempelvis redan använder er av digitala kontaktvägar där de registrerades identitet kan verifieras bör de registrerade kunna använda samma kontaktväg för att göra en rättighetsbegäran. Om den registrerade i en sådan situation istället hänvisas till mer otympliga tillvägagångssätt för att göra en begäran genom till exempel vanlig postgång för rättighetsbegäran men inte för andra kundärenden är det tveksamt om ni har uppfyllt kravet på att underlätta utövandet av den registrerades rättigheter. Ett sådant undantag kan exempelvis vara att det är nödvändigt med hänsyn till säkerhetsskäl. Utgångspunkten bör dock vara att ni ska erbjuda alternativa sätt att skicka in uppgifterna.