Den registrerade har rättigheter enligt GDPR för att säkerställa att dess integritet respekteras. Enligt europeiska dataskyddslagar har de registrerade länge haft rätt till information om hur deras uppgifter används. GDPR utvidgade dessa rättigheter och lade till flera nya sätt för individen att ta emot information och få kontroll över hur uppgifterna används.
De 8 individuella rättigheterna att känna till
GDPR ger individer åtta rättigheter att skydda sin integritet. Information om rättigheterna ska lämnas av den personuppgiftsansvarig innan uppgifterna samlas in och när den enskilde på annat sätt begär det. Ibland presenteras individens rätt att återkalla sitt samtycke till specifik användning enligt artikel 7 GDPR som en specifik registrerad rättighet.
De 8 individuella rättigheterna är:
- Rätten att bli informerad
- Rätten till tillgång
- Rätten till rättelse
- Rätten till radering
- Rätten att begränsa behandlingen
- Rätten till dataportabilitet
- Rätten att göra invändningar
- Rättigheter om automatiserat beslutsfattande och profilering.
1. Rätt att bli informerad
Vad innebär rätten att bli informerad?
Enskilda personer har rätt att bli informerade om hur deras uppgifter samlas in och används. Personuppgiftsansvarig måste ge tydlig och koncis information till individer, inklusive vilken information som samlas in och används, dess ändamål, lagringsperioder och med vem informationen kommer att delas. Denna information måste vara mycket lätt att förstå och lättillgänglig för individen.
GDPR definierar rätten att bli informerad i artiklarna 12-14.
Behöver du affärsjuridiskt stöd?
Läs mer om den affärsjuridiska byrån Sharp Cookie Advisors
Vad behöver vi göra nu?
Du måste tillhandahålla informationen vid den tidpunkt då du samlar in individers information. Om du skulle få personuppgifter från andra källor har du en rimlig tidsgräns för att betjäna dessa personer med din integritetsinformation och senast inom en månad.
Den information som du tillhandahåller dina registrerade måste alltid hållas uppdaterad. Granska informationen regelbundet och informera alltid de registrerade om eventuella förändringar i din användning av data eller dina processer innan du faktiskt börjar samla in uppgifterna.
Rätten att bli informerad är en viktig del av den allmänna dataskyddsförordningen. När du behärskar denna rättighet har du vanligtvis en hög nivå av förtroende för dina kunder och anställda och är mindre utsatta för klagomål och skador på anseende.
2. Rätten till tillgång
Vad innebär rätten till tillgång?
Individer har rätt att få tillgång till och få en kopia av sina personuppgifter, inklusive metadata. Denna process kallas begäran om ämnesåtkomst eller “SAR”. personuppgiftsansvarig måste tillhandahålla denna tillgång kostnadsfritt och i ett tillgängligt format.
GDPR definierar rätten till tillgång i artikel 15.
Hur kan vi känna igen en begäran?
Individer kan lägga fram sin begäran antingen muntligt eller skriftligt, inklusive att engagera sig med personuppgiftsansvarig på sociala mediekanaler.
Observera att en begäran inte behöver innehålla orden “begäran om åtkomst” eller liknande för att vara en giltig begäran. Därför kan du behöva utbilda din personal som interagerar med kunder eller anställda i hur man identifierar en begäran.
Det är möjligt att göra en begäran på uppdrag av någon annan. Se till att tredje man har rätt att agera för den enskilde. Det är deras ansvar att bevisa sin auktoritet.
Vad behöver vi göra nu?
Personuppgiftsansvarig som tar emot en begäran måste:
- Svara utan dröjsmål för att bekräfta begäran inom en månad.
- Det första steget måste vara att säkra identifieringen av individen. Observera att tidsfristen inte börjar förrän du har fått den begärda informationen.
- Du kan förlänga tidsgränsen med ytterligare två månader om begäran är komplex eller om du får flera förfrågningar från samma person.
- Utför en rimlig sökning efter den begärda informationen.
- Granska och om möjligt begränsa och redigera informationen innan du lämnar en kopia till individen – rätten till tillgång är inte absolut – du måste också respektera andras och företagshemligheters integritet.
- Ge informationen i ett tillgängligt, koncist och begripligt format.
- Lämna ut informationen på ett säkert sätt och vidta försiktighetsåtgärder när det gäller känslighetsnivån för de faktiska uppgifterna.
Kan vi be om ID?
Du måste vara övertygad om att du känner till identiteten på den person som utövar sina rättigheter. Identifieringsnivån står i förhållande till den registrerades känslighet för begäran. Det är inte alltid som stark autentisering krävs, men i vissa fall, till exempel inom vården, är stark autentisering ett måste.
Kan vi ta ut en avgift?
Nej, inte vanligtvis. Vanligtvis är det gratis att göra en begäran. Men om samma person gör upprepade förfrågningar eller förfrågningar som är uppenbart ogrundade eller överdrivna kan du ta ut en rimlig avgift.
Kan vi vägra att följa en begäran?
En personuppgiftsansvarig tar emot en SAR kan vanligtvis inte vägra att tillhandahålla informationen. Om ett undantag eller en begränsning gäller, eller om en begäran är uppenbart ogrundad, kan du vägra en begränsning.
Kontrollera med ditt dataskyddsombud eller juridiska avdelning om hur du svarar på en begäran.
Undantag för att följa den registrerades begäran
I vissa undantag behöver du inte följa en begäran; de är till exempel (inte en uttömmande lista):
- klientsekretess
- information om företagsledningen
- förhandlingar med den person som begär en begäran
- konfidentiella referenser
Observera att det finns särskilda regler för begäran och vissa kategorier av data, till exempel:
- ostrukturerade manuella register,
- kreditfiler,
- hälsouppgifter
- pedagogiska data
- uppgifter om socialt arbete
Vad händer om vi inte följer begäran?
Om du inte följer en begäran kan individen ansöka om ett domstolsbeslut som kräver att du helt enkelt eller söker ersättning.
Din tillsynsmyndighet kan också vidta åtgärder mot dig om din organisation bryter mot GDPR.
3. Rätten till rättelse
Vad innebär rätten till rättelse?
Enskilda personer har rätt att få felaktiga personuppgifter rättade eller kompletterade om uppgifterna är ofullständiga. En begäran kan göras muntligen eller skriftligen. Rätten till rättelse ligger till grund för principen om korrekthet (artikel 5.1 d) i dataskyddsförordningen och är ett skydd mot diskriminerande behandling.
GDPR definierar rätten till rättelse i artikel 16.
När är uppgifterna felaktiga?
GDPR har ingen formell definition, men i rättspraxis definieras den som om den är felaktig eller vilseledande i någon fråga om fakta.
Vad behöver vi göra nu?
Den personuppgiftsansvarig har en månad på sig att agera på en begäran. Du måste vidta rimliga åtgärder för att säkerställa att den information du har om en individ är korrekt. Om personuppgifter används för att fatta viktiga beslut måste du göra en större ansträngning för att kontrollera dess noggrannhet.
Vad ska vi göra om vi är säkra på att uppgifterna är korrekta?
Om du tror att de uppgifter du har verkligen är korrekta, låt individen veta. Förklara att du inte kommer att ändra informationen och informera den enskilde om deras rätt att lämna in ett klagomål till den behöriga tillsynsmyndigheten. Du bör också informera om den enskildes möjlighet att ansöka om verkställighet genom ett rättsmedel.
Kan vi vägra att tillmötesgå begäran om rättelse?
Normalt måste du följa begäran. Du kan vägra en begäran om rättelse endast när vissa omständigheter föreligger, till exempel ogrundade påståenden om felaktigheter, uppenbart ogrundade påståenden eller överdrivna anspråk.
4. Rätten till radering (rätten att bli bortglömd)
Vad innebär rätten till radering?
GDPR införde en rätt för individer att få sina uppgifter raderade. Denna rättighet kallas ibland för “rätten att bli bortglömd”. Denna rättighet är inte en absolut rättighet och kan begränsas i vissa situationer.
Rätten gäller endast uppgifter som innehas vid den tidpunkt då begäran tas emot. Du kan fortfarande ha rätt att använda data som kan skapas i framtiden.
GDPR definierar rätten till radering i artikel 17.
När gäller rätten till radering?
Du måste följa en begäran och radera data om:
- personuppgiftsinnehavet inte längre är nödvändigt för det ändamål som du ursprungligen samlade in eller använde det för
- du förlitar dig på samtycke som rättslig grund och individen har återkallat sitt samtycke
- du förlitar dig på berättigat intresse som rättslig grund för behandling, och individen lyckas med sin invändning mot behandlingen av deras uppgifter
- du behandlar uppgifterna för direktmarknadsföringsändamål och de enskilda invänder mot den behandlingen
- du bedöms av myndighet eller domstol att behandla data olagligt
- du måste radera data för att uppfylla en rättslig skyldighet eller
- du har behandlat uppgifterna för att erbjuda ett barn informationssamhällets tjänster.
När gäller inte rätten till radering?
Du har rätt att behålla uppgifter om det är nödvändigt för att uppfylla en rättslig skyldighet.
Hur identifierar jag en begäran om att radera?
GDPR kräver inte en viss form. Individen kan ange begäran muntligt eller skriftligt till vilken kontaktpunkt som helst i din organisation (även på sociala mediekanaler). Din organisation bör ha processer för att identifiera och korrekt hantera en begäran om borttagning.
Vilken tidsgräns gäller för att hantera en begäran om borttagning?
Du har en månad på dig från dagen för mottagandet av begäran att svara den enskilde.
Kan vi förlänga tiden för ett svar?
Ja, om du kan visa att begäran är komplex och att du gör en rimlig insats.
Måste vi säga till andra organisationer att radera data?
Ja, du måste be andra organisationer att radera uppgifterna om du har delat uppgifterna med andra eller om uppgifterna har offentliggjorts i en onlinemiljö. Du måste vidta rimliga åtgärder för att säkerställa att relevanta data raderas. Du måste dela information om eventuella mottagare med individen om du blir ombedd.
Om det skulle innebära en oproportionerlig ansträngning finns det undantag från denna rättighet som kan vara tillämpliga. Sök juridiskt ombud för vad du ska göra i din situation.
Behöver vi ta bort data från våra backup system?
Ja, om en giltig begäran tas emot och det inte finns något undantag för att behålla data måste du ta bort data från säkerhetskopieringssystem och produktionsmiljön.
Du måste ordna så att backup data blir “bortom användning”. Du får inte kunna använda sådana uppgifter för andra ändamål förrän de har ersatts i enlighet med ditt fastställda schema.
Kan vi vägra att följa en begäran om radering?
Du kan förlita dig på ett undantag från rätten till radering om omständigheterna tillåter det. Du kan också vägra att följa en begäran om den är:
- uppenbart ogrundad eller
- överdriven.
Anmärkningsvärd rättspraxis
Vilket krav kan en personuppgiftsansvarig kräva av en begäran om radering – se fall IMY vs Google (2022).
5. Rätten att begränsa behandlingen
Vad innebär rätten att begränsa behandlingen?
Under vissa omständigheter kan enskilda begära att användningen av deras uppgifter begränsas. Begränsning innebär att den personuppgiftsansvarig måste sluta behandla uppgifter för vissa saker. Det är ett alternativt sätt att begära radering av deras data.
GDPR definierar rätten att begränsa personuppgiftsbehandling i artikel 18.
När gäller rätten att begränsa behandlingen?
Vanligtvis är du skyldig att begränsa behandlingen av vissa uppgifter:
- medan du verifierar uppgifternas noggrannhet;
- uppgifterna har använts olagligt och den enskilde motsätter sig radering och begär begränsning som ett alternativ;
- du inte längre behöver uppgifterna, men individen behöver att du behåller dem för att upprätta, utöva eller försvara ett rättsligt anspråk; eller
- individen har invänt mot din användning av legitimt intresse, och du är på väg att avgöra om dina berättigade intressen åsidosätter individens.
Hur begränsar vi behandlingen av personuppgifter?
Det finns flera metoder du kan använda för att begränsa vidare användning av personuppgifter; vilken metod som är lämplig beror på omständigheterna. Du kan t.ex.:
- Tillfälligt flytta personuppgifterna till ett annat system.
- Begränsa åtkomsten till användare.
- Tillfälligt ta bort publicerade data från en webbplats.
Vad kan vi göra med begränsade data?
Du kan fortsätta att lagra data; du får dock inte göra något annat. Begränsningen är oftast en tillfällig lösning medan du avgör om något fel eller misstag har inträffat eller svarar på de registrerades oro.
Om du ska vidta åtgärder för data som är begränsade krävs följande:
- den enskildes samtycke
- att den åtgärd du ska göra syftar till att försvara rättsliga anspråk eller skydda en annan persons eller företags rättigheter, eller
- det är av hänsyn till ett viktigt allmänt intresse.
Måste vi berätta för andra organisationer om begränsningen av data?
Ja, du måste be andra organisationer att begränsa uppgifterna om du har delat uppgifterna med andra eller om uppgifterna har offentliggjorts i en onlinemiljö. Du måste vidta rimliga åtgärder för att säkerställa att relevanta data begränsas. Du måste dela information om eventuella mottagare med individen om du blir ombedd.
Om det skulle innebära en oproportionerlig ansträngning finns det undantag från denna rättighet som kan vara tillämpliga. Sök juridiskt ombud för vad du ska göra i din situation.
När kan begränsningen hävas?
Normalt är begränsningen av vidare behandling av vissa personuppgifter tillfällig. Oftast görs en begäran om begränsning på grundval av att:
- Individen har ifrågasatt uppgifternas riktighet, och du undersöker detta påstående; eller
- Individen har invänt mot din behandling av specifika personuppgifter eftersom det skulle vara nödvändigt för ditt legitima intresse, och du överväger om dina intressen åsidosätter individerna (granska din analys av legitimt intresse).
När du har kommit till ett beslut kan du besluta att upphäva begränsningarna för personuppgifter. Observera att du måste informera individen innan du lyfter restriktionerna.
6. Rätten till dataportabilitet
Vad innebär rätten till dataportabilitet?
Den registrerade har rätt till dataportabilitet. Portabilitet innebär att den personuppgiftsansvarig måste överföra personuppgifter när han eller hon blir ombedd. Den registrerade kan begära att uppgifterna överförs antingen till dem själva eller till en annan personuppgiftsansvarig. Den andra personuppgiftsansvarig kan vara ett företag som tillhandahåller en tjänst som den registrerade vill använda. Den personuppgiftsansvarig behöver bara uppfylla denna begäran om det är tekniskt möjligt.
GDPR definierar rätten till dataportabilitet i artikel 20.
7. Rätten att göra invändningar
Vad innebär rätten att invända?
Individer har rätt att invända mot behandlingen av deras uppgifter under vissa omständigheter. En invändning kan göras skriftligen eller muntligen.
En invändning kan gälla alla uppgifter eller viss information eller avse ett specifikt ändamål. Individen har en absolut rätt att stoppa direktmarknadsföring baserad på personuppgifter.
GDPR definierar rätten att invända i artikel 21.
Vad behöver vi göra nu?
I allmänhet måste personuppgiftsansvarig sluta behandla personuppgifter om detta händer. Vanligtvis finns det inget behov av att radera all data; i de flesta fall skulle det vara att föredra att undertrycka deras detaljer. Dataundertryckning innebär att behålla nödvändig information för att säkerställa att deras preferens att inte ta emot direktmarknadsföring respekteras.
Som ett undantag kan behandlingen fortsätta på grund av allmänt intresse, såsom vetenskaplig forskning.
Måste vi radera personuppgifter för att rätta oss efter en invändning?
Nej, du får inte automatiskt radera alla uppgifter för att uppfylla ett objekt för vidare behandling. När du har fått en invändning mot viss behandling, till exempel direktmarknadsföring, och du inte har någon grund för att vägra, måste du sluta eller inte börja behandla uppgifter för sådant ändamål.
Det kan innebära att du måste ta bort viss information. Du måste dock behålla den information som är nödvändig för att respektera individens preferenser i framtiden. Vid direktmarknadsföring löses detta ofta genom att undertrycka informationen i den så kallade “spärrlistan” för att säkerställa att ett e-postmeddelande används för massmarknadsföring via e-post.
8. Rättigheter avseende automatiserat beslutsfattande och profilering
Vad innebär automatiserat individuellt beslutsfattande och profilering?
Automatiserat individuellt beslutsfattande innebär beslut utan mänsklig inblandning. Exempel kan vara:
- En banks beslut att bevilja ett lån eller inte baserat på en onlineprocess; och
- Ett lämplighetstest med förprogrammerade algoritmer och kriterier för att sortera igenom arbetssökande och bestämma vem som ska få en anställningsintervju.
GDPR definierar rättigheter avseende automatiserat beslutsfattande och profilering i artikel 22.
Automatiserat beslutsfattande får inte omfatta profilering, men det gör det ofta.
GDPR definierar profilering som:
“varje form av automatiserad behandling av personuppgifter som består i användning av personuppgifter för att bedöma vissa personliga aspekter som rör en fysisk person, särskilt för att analysera eller förutsäga aspekter som rör den fysiska personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, tillförlitlighet, beteende, plats eller rörelser.”
Artikel 4.4 i den allmänna dataskyddsförordningen
Vad reglerar GDPR
Den enskilde har rätt att få kännedom om och invända mot ett helt automatiserat beslutsfattande. Individen kan också invända mot var information om individen används för att skapa en heltäckande profil om individen (“profilering”).
GDPR begränsar automatiserat beslutsfattande för att skydda individer (artikel 22 GDPR). Automatiserat beslutsfattande är endast tillåtet om det är nödvändigt för ett avtal, godkänt enligt nationell lagstiftning eller baserat på individens uttryckliga samtycke.
När kan vi använda automatiserat beslutsfattande?
Användningen av automatiserat beslutsfattande är begränsad. Det är endast tillåtet att använda denna teknik om beslutet är:
- nödvändigt för ett kontrakt med den aktuella personen
- tillåtet enligt lag, såsom skatteflykt eller upptäckt av bedrägeri
- baserat på individens uttryckliga samtycke.
Om data för särskilda kategorier används kan du bara använda uppgifterna om:
- du har individens uttryckliga samtycke, eller
- användningen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Vad behöver vi tänka på för att kunna använda automatiserat beslutsfattande?
GDPR definierar automatiserat beslutsfattande, inklusive profilering, som en högriskaktivitet, vilket innebär att du måste utföra en riskbedömning. En konsekvensbedömning avseende dataskydd (DPIA) krävs för att visa att du följer GDPR, visa vilka risker du har identifierat och hur du kommer att minska sådana risker.
Utöver konsekvensbedömningen måste du enligt artikel 22.1 i den allmänna dataskyddsförordningen även
- Informera individerna om logiken i beslutsprocessen, liksom konsekvenserna för individen;
- Använda lämpliga statistiska eller matematiska förfaranden;
- Se till att individer kan: a) få mänsklig inblandning, b) uttrycka sin ståndpunkt, c) få en förklaring till beslutet och överklaga det,
- Skydda resultatet genom att vidta lämpliga tekniska och organisatoriska åtgärder för att korrigera felaktigheter och minimera risken för fel. och
- Säkra personuppgifter som står i proportion till individens risk och intressen för att förhindra diskriminerande effekter.
Du måste alltid identifiera och registrera behandlingen i behandlingsregistren (t.ex. laglig grund, kategorier av uppgifter, interna och externa mottagare av uppgifterna etc.).
Kan vi be om ID?
Du måste vara övertygad om att du känner till identiteten på den person som utövar sina rättigheter. Identifieringsnivån står i förhållande till den registrerades känslighet för begäran. Det är inte alltid som stark autentisering krävs, men i vissa fall, till exempel inom vården, är stark autentisering ett krav.
Kan vi ta ut en avgift för att följa den registrerades rättigheter?
Nej, inte vanligtvis. Normalt är det gratis att göra en begäran. Men om samma person gör upprepade förfrågningar eller förfrågningar som är uppenbart ogrundade eller överdrivna kan du ta ut en rimlig avgift.
Kan vi vägra att följa begäran om registrerades rättigheter?
Normalt måste du följa begäran. Du kan vägra en begäran endast när vissa omständigheter gäller, till exempel ogrundade påståenden, uppenbart ogrundade påståenden eller överdrivna anspråk.
Vad är uppenbart ogrundat?
GDPR definierar “uppenbart ogrundad” som när:
- Den enskilde har inte för avsikt att utöva sina rättigheter som registrerad.
- Begäran är skadlig i avsikt och används för att trakassera en organisation utan ett verkligt syfte, till exempel när a) den enskilde i begäran eller i annan kommunikation har uppgett att han eller hon har för avsikt att orsaka störningar, eller (b) begäran gör ogrundade påståenden om oegentligheter från din organisation eller specifika anställda; c) Begäran riktar sig till en anställd som den som begär det har ett personligt agg mot. eller d) den enskilde systematiskt skickar olika begäranden om registrerades rättigheter som en del av en kampanj för att orsaka störningar.
Vad är ett överdrivet krav?
En begäran om att utöva någon av de enskilda registrerades rättigheter enligt GDPR kan vara överdriven om:
- begäran upprepar innehållet i de tidigare begärandena, eller
- det överlappar med andra förfrågningar.
Det beror på omständigheterna och begäran om den anses vara överdriven.
Du kan fortfarande vara skyldig att följa begäran om registrerades rättigheter om individen:
- Begär samma ämne från dig. Det kan finnas nya perspektiv, eller kanske har personuppgiftsansvarigmisskött tidigare förfrågningar.
- Gör en överlappande begäran än av den förra.
- Tidigare har lämnat in ansökningar som var överdrivna eller uppenbart ogrundade.