Dina rättigheter

Dina rättigheter som privatperson

 

Rätt till information

Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.

Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk. I dataskyddsförordningen anges utförligt vilken information som ska ges. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen.

Rätt till radering

Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas. Uppgifterna måste raderas i följande fall:

  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
  • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
  • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas
  • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse
  • Om personuppgifterna har behandlats olagligt
  • Om radering krävs för att uppfylla en rättslig skyldighet
  • Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk

Om uppgifter raderas på den enskildes begäran måste företaget eller myndigheten också informera dem som de har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den enskilde har också rätt att begära att få information om till vem uppgifter har lämnats ut.

När personuppgifterna har publicerats eller på annat sätt gjorts offentliga (i ett socialt nätverk, ett internetforum eller på en webbsida) räcker det inte alltid att de raderas där. I dessa situationer ska den som offentliggjort uppgifterna också vidta rimliga åtgärder för att informera andra som behandlar uppgifterna om den enskildes begäran så att även kopior av eller länkar till uppgifterna tas bort.

Det finns undantag från rätten till radering och skyldigheten att informera andra om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Rätt till att avsäga direktreklam och återta samtycken

För enskilda personer kommer rättigheterna att stärkas, bland annat ställs strängare krav på att företag och andra organisationer ska informera om hur de hanterar enskildas personuppgifter. Enskilda ska i vissa situationer även kunna säga nej till att en myndighet eller ett bolag använder ens personuppgifter. I Sverige kan man till exempel motsätta sig att ens personuppgifter används för att skicka direktreklam, men i den nya EU-förordningen utökas den rätten.

Vad baseras vår tjänst på

Utgångspunkten för i PIC-tjänsten är att vi förmedlar den registrerades begäran om registerutdrag eller återtagande av till exempel samtycken.

Tjänsten kan sammanfattas i fyra steg som vi hjälper och säkerställer den registrerades rättighet.

1)      Den registrerade loggar in i PIC med hjälp av Bank-ID. På så vis säkerställs identifieringen av den registrerade personen, vilket är ett krav enligt GDPR.

2)      Den registrerade fyller själv i sin ansökan via PIC genom att ange sina preferenser beträffande vilka rättigheter den vill göra gällande, samt till vilken eller vilka typer av bolag detta ska ske gentemot.

3)      Den registrerade skriver under ansökan med hjälp av elektronisk signatur. Detta sker samtidigt som inloggning sker för att underlätta processen för den registrerade.

4)      Tjänsten PIC hanteras av bolaget Get Control vilka förmedlar ansökan till berörda bolag.

PIC är ett system som uppmuntras av GDPR, vilket inte minst framgår av ingresspunkt 59 där det anges att ”förfaranden som gör det lättare för registrerade att göra sina rättigheter gällande ska fastställas”.

Advokatfirma Vinge har bistått Get Control med rättslig rådgivning avseende GDPR-relaterade frågor i samband med Get Controls utvecklande av tjänsten PIC. Detta genom ett samarbete kallat Vinge Growth.     

Artikel 15 - Den registrerades rätt till tillgång

  1. Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:
  2. Ändamålen med behandlingen.
  3. De kategorier av personuppgifter som behandlingen gäller.
  4. De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.
  5. Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
  6. Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.
  7. Rätten att inge klagomål till en tillsynsmyndighet.
  8. Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.
  9. Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
  10. Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.
  11. Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.
  12. Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.

Vidare står det i art 15.3 i förordningen att den registrerade har rätt att få informationen i ett elektroniskt format som är allmänt använt när förfrågan görs i elektronisk form.

Det ställs inga formkrav på återkallelse av samtycke, vilket framgår av art 7.3, utan där anges att ska vara lika lätt att återkalla som att ge sitt samtycke.

När den registrerade begär information ska den personuppgiftsansvarige också lämna informationen utan onödigt dröjsmål och senast en månad efter begäran.

Mer information hittar ni hos Datainspektionen

https://www.datainspektionen.se/

 

 

Företagens rättigheter

 

Rättslig grund

Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften. 

Ett företag kan till exempel utrusta sina bilar med speciell gps-utrustning som används för elektroniska körjournaler för att förenkla redovisningen till Skatteverket. Men arbetsgivaren får inte använda uppgifterna som gps:en samlar in för att kontrollera hur långa raster de anställda tar.

Man måste ha stöd i dataskyddsförordningen för att få hantera personuppgifter. Det kallas för att ha en rättslig grund. Det finns olika rättsliga grunder som företag kan använda. De viktigaste är:

 

Rättslig förpliktelse

I vissa fall är företag skyldiga att registrera personuppgifter, som exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen.

 

Avtal

Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter. Företaget får dock bara registrera de uppgifter som behövs för att uppfylla avtalet.

 

Samtycke

En annan rättslig grund är samtycke, som innebär att du ber personen ifråga att få registrera uppgifter om hen. Ett samtycke är enligt dataskyddsförordningen ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.

Ska ditt företag samla in uppgifter så måste personen först få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att sedan kunna ge sitt godkännande. 

 

Intresseavvägning

Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om företaget kan visa att man har ett berättigat behov av att hantera uppgifterna och att detta behov väger tyngre än den enskildas rätt till skydd för uppgifterna.

 

Exempel på rättsliga grunder

Här är några exempel på rättsliga grunder som kan användas då personuppgifter hanteras i olika it-system: 

  • lönesystem, rättslig grund = avtal och rättslig förpliktelse
  • kundregister, rättslig grund = avtal (för vissa uppgifter krävs samtycke)
  • webbplats, rättslig grund = samtycke eller intresseavvägning.

Information för att slutföra/leverera tjänsten eller produkten

Möjlighet att begära ersättning om registerförfrågan skickas med omotiverad hög frekvens. I dagen PUL anges ett intervall på 1 år som lämplig periodicitet.

  

Ytterligare information

www.verksamt.se/gdpr-guiden

https://www.datainspektionen.se/