Registrerades rättigheter enligt GDPR

Publicerad

av

,
kvinna tar ett foto på en husvägg med sin mobil

Att äga sina egna personuppgifter och att få sin integritet skyddad är en grundläggande mänsklig rättighet inom EU. Om ni som organisation har för avsikt att behandla personuppgifter behöver ni vara medvetna om vilka rättigheter de registrerade har. Ni får endast behandla deras personuppgifter om ni respekterar deras fri- och rättigheter samt kan tillmötesgå de specifika rättigheter som har slagits fast i GDPR.

Enligt GDPR har de registrerade följande rättigheter: 

Rätten till information
Den enskildes rätt att alltid få veta när, hur och varför hens personuppgifter behandlas. Er organisation ska på ett tydligt sätt informera de registrerade om specifika saker i samband med behandling av personuppgifter samt kommunicera öppet kring hur organisationen behandlar personuppgifter. 

Rätten till tillgång
Innebär att de registrerade själva har rätt att ta del av den information som finns sparad hos er organisation. En person kan be om att få ut ett registerutdrag, som är en kopia på de uppgifter som behandlas av er. En sådan begäran kan lämnas både muntligt och skriftligt, oavsett vad ni som organisation har meddelat. Ni behöver därmed ha en tydlig process för hur ni tar fram information om en registrerad och lämnar ut den. 

Läs också: Håll er registerförteckning uppdaterad

Rätten till rättelse
De registrerade kan kräva att de uppgifter som finns om dem ska vara korrekta och aktuella. De har därmed rätt att få sina uppgifter korrigerade eller kompletterade vid behov. En sådan önskan ska uppfyllas av er som personuppgiftsansvarig så snart som möjligt. 

Rätten till radering
Detta innebär att en registrerad kan begära att hens personuppgifter tas bort. Dock är det inte en rättighet som gäller i alla situationer. Exempelvis kan du inte som anställd kräva att uppgifterna som behövs för löneadministration tas bort. Om det inte finns någon annan grund för behandlingen än samtycke eller om grunden var ett avtalsförhållande och det har avslutats, så har en person rätt att få sina uppgifter raderade.

Läs också: Samtycke som rättslig grund - ett undantag mer än en regel

Rätten till begränsning
Ni som personuppgiftsansvariga tvingas behålla personuppgifter men har inte längre rätt att använda dem. Det kan exempelvis bli aktuellt om 

  • ni måste kontrollera personuppgifternas korrekthet
  • behandlingen av personuppgifter varit olaglig, men den registrerade motsätter sig en radering.

Om ni en gång har begränsat användandet av någons personuppgifter, måste ni alltid meddela personen i förväg ifall begränsningen kommer att hävas.

Rätten till dataportabilitet
En registrerad har rätt att, på begäran, få ut de uppgifter som finns registrerade om honom eller henne i syfte att föra över dem och återanvända dem hos en annan part. Tanken är framförallt att underlätta för konsumenter att byta IT-leverantör. Det skulle kunna jämföras med att en person kan byta telefonbolag men behålla sitt telefonnummer. Som personuppgiftsansvarig måste ni tillhandahålla uppgifterna i ett "strukturerat, allmänt använt och maskinläsbart format" som gör det möjligt för den registrerade att skicka informationen vidare. 

Rätten att göra invändningar
I vissa sammanhang har de registrerade rätt att göra invändningar mot behandlingen av personuppgifter. De kan invända av personliga skäl och ifrågasätta den rättsliga grunden för behandlingen med hänvisning till sin egen specifika situation. Dessutom har den enskilde alltid rätt att invända mot att hens personuppgifter används för direktmarknadsföring. Syftet med denna rätt är att den enskilde ska ha en chans att ifrågasätta och få prövat om en organisations intressen verkligen kan sägas väga tyngre än den enskildes fri- och rättigheter. 

Läs också: Guide: Är berättigat intresse en lämplig rättslig grund?

Rättigheter som rör automatiserat individuellt beslutsfattande och profilering
Ibland kan de registrerades personuppgifter användas för att fatta helt automatiserade beslut som har rättsliga följder för den enskilde eller i liknande grad påverkar honom eller henne. Detta får endast göras under vissa förutsättningar. Automatiserat beslutsfattande är tillåtet om

  • det är nödvändigt för att ingå eller fullgöra ett avtal
  • det tillåts i lagstiftning
  • individen har samtyckt till det.

Strukturera upp era personuppgiftsbehandlingar med Privacy Records

Med Privacy Records kan ni få er registerförteckning på plats. Det ger en överblick som underlättar ert arbete, bland annat om ni behöver lämna ut ett registerutdrag. Ni får även praktiskt stöd längs vägen och påminnelser när det är dags att se över era behandlingar.

Relaterade inlägg