Roller i GDPR
Registrerade enligt GDPR
Registrerade enligt GDPR är den fysiska personen vars personuppgifter blir behandlade.
Definitionen av en personuppgift
När det går att koppla en uppgift, direkt eller indirekt, till en person som lever, är det en personuppgift enligt GDPR. Till exempel ett namn, personnummer, hemadress, IP-adress, telefonnummer eller liknande. Ju viktigare personuppgifterna är, desto högre är säkerhetskraven. Det finns fyra grupper av integritetskänsliga personuppgifter, varav en av dem är känsliga personuppgifter. Integritetskänsliga personuppgifter måste bli behandlade med högre säkerhet än till exempel “vanliga personuppgifter, såsom ett namn. Observera att GDPR inte gäller för personuppgifter om avlidna personer.
Registrerade har ett antal grundläggande rättigheter enligt GDPR
Enligt GDPR har de registrerade ett antal rättigheter som företag måste kunna tillgodose. Därför behöver företag bland annat upprätta rutiner för att kunna göra det. När en registrerad begär att få en rättighet tillgodosedd, ska det ske inom en månad. Däremot kan företaget förlänga tidsfristen i högst två månader ytterligare i vissa särskilda undantagsfall. Nedan följer en summering av de mest centrala rättigheterna registrerade har enligt GDPR.
De grundläggande rättigheterna
Rätt till Information (Artiklarna 12, 13 och 14 i GDPR)
När ett företag behandlar personuppgifter, ska de registrerade bli informerade om behandlingen. Bland annat vad ändamålet med behandlingen är, hur länge behandlingen sker, om personuppgifter blir överförda till tredjeland m.m. Dessutom ska de registrerade bli informerade vid vissa typer av personuppgiftsincidenter som berör dem och deras personuppgifter.
Rätt till Tillgång (Artikel 15 i GDPR)
En registrerad kan vilja veta om ett företag behandlar dennes personuppgifter eller inte. Vid sådana fall kan den registrerade begära att få tillgång till de behandlade personuppgifterna som tillhör denne. I vissa fall har den registrerade dock inte rätt att få ut originalhandlingarna. Till exempel om det kan medföra en nackdel för en annan registrerad.
Rätt till Rättelse (Artikel 16 i GDPR)
Om ett företag behandlar personuppgifter som är inkorrekta eller inkompletta, ska de korrigeras eller kompletteras. Det gäller både om en registrerad begär det eller om företaget själva upptäcker det. Däremot kan en registrerad i vissa fall ha fel när de anser att personuppgifterna är inkorrekta. Därför bör företaget först kontrollera om de verkligen är felaktiga eller inte. Observera att företaget ska informera mottagare av personuppgifterna som är föremål för rättelsen, förutsatt att det inte är omöjligt eller allt för svårt (betungande insats).
Rätt till Radering (Artikel 17 i GDPR)
Företag ska radera personuppgifter vid vissa olika typer av tillfällen. Till exempel om personuppgifterna inte längre är nödvändiga att behandla för ändamålet de blev insamlade för. Detsamma gäller om en registrerad begär att få sina personuppgifter raderade. Däremot kan företag behöva behandla vissa personuppgifter på grund av till exempel andra lagar. Radering av personuppgifter ska också ske när till exempel en registrerad återkallar sitt samtycke för behandlingen.
Rätt till Begränsning av behandling (Artikel 18 i GDPR)
Om en registrerad begär att få sina felaktiga personuppgifter rättade, kan de också be företaget att begränsa behandlingen under utredningen fram till dess att rättelsen är genomförd. När begränsningen upphör, ska de registrerade bli informerade om detta av företaget.
Rätt till Dataportabilitet (Artikel 20 i GDPR)
Om ett företag behandlar den registrerades personuppgifter baserat på samtycke eller avtal har den registrerade rätt att få dem i ett strukturerat, maskinläsbart format. Dessutom har den registrerade rätt att få dem överförda till en annan personuppgiftsansvarig, där det är tekniskt möjligt. Syftet med bestämmelsen är att göra det enkelt för individer att byta mellan konkurrerande tjänsteleverantörer.
Rätt att göra Invändningar (Artikel 21 i GDPR)
Om ett företag behandlar personuppgifter för att utföra en uppgift som är av ett allmänt intresse och det sker efter en intresseavvägning eller som ett led i myndighetsutövning, har de registrerade rätt att invända mot behandlingen. Till exempel om ett företag vill skicka ut mejl med reklam efter att de har gjort en intresseavvägning och kommit fram till att de har ett berättigat intresse för behandlingen, kan de registrerade begära att företaget upphör. Med andra ord måste företag upphöra med direktmarknadsföring till personer som har begärt det.
Automatiserade beslut (Artikel 22 i GDPR)
Registrerade har rätt att inte bli föremål för beslut som enbart baseras på automatiserad behandling, inklusive profilering, om beslutet väsentligt påverkar den registrerade. Undantag gäller om beslutet är nödvändigt för ett avtal eller krävs enligt lag. I sådana fall har den registrerade rätt att begära mänsklig granskning av beslutet. I vissa fall är det däremot tillåtet för företag att fatta beslut baserade på automatiserat beslutsfattande. Till exempel om den registrerade ger sitt uttryckliga samtycke eller om det är nödvändigt för att fullgöra/ingå ett avtal.
Olika roller inom GDPR
Den fysiska personen vars personuppgifter blir behandlade.
Organisationen som bestämmer medel och ändamålet med behandlingen av personuppgifter, är personuppgiftsansvarig. Till exempel ett aktiebolag. Det är alltså inte en specifik individ på företaget, såvida det inte är en enskild näringsidkare och denne är personuppgiftsansvarig.
När ett företag behandlar personuppgifter åt en personuppgiftsansvarigs räkning enligt dennes instruktioner, sker behandlingen i rollen personuppgiftsbiträde. Till exempel en redovisningsbyrå som behandlar personuppgifter som tillhör deras kunder, när byrån utför bokföringen åt kunderna.
Vissa företag behöver ha ett dataskyddsombud. Det är en person som arbetar med att kontrollera att företaget följer GDPR och hjälper till med till exempel rådgivning vid utförandet av en konsekvensbedömning. De registrerade och medarbetare på företaget har rätt att kontakta dataskyddsombudet för frågor gällande behandlingen av deras personuppgifter. Företag som inte måste ha ett dataskyddsombud kan välja att utse ett ombud frivilligt.
Identifiera registrerade
För att kunna tillgodose den rättighet som en registrerad begär, behöver företaget först identifiera den registrerade som gör begäran. Om företaget inte kan identifiera den registrerade men ändå raderar personuppgifter på begäran, och det senare visar sig vara fel person som begärt raderingen, är det en personuppgiftsincident. Det är något företag ska förebygga genom tekniska och organisatoriska säkerhetsåtgärder. Observera däremot att identifikationen och tillvägagångssättet måste vara proportionerliga. Till exempel kan det vara oproportionerligt att begära en passkopia om det finns andra mindre integritetskänsliga sätt att identifiera en person på.
Tidsfrist avseende svar på begäran från en registrerad att få en rättighet tillgodosedd
När en registrerad begär att få en rättighet tillgodosedd, ska företaget tillgodose begäran inom 1 månad efter att begäran har inkommit. Däremot är det möjligt att i vissa fall förlänga tidsfristen med ytterligare två månader. Det är då viktigt att informera den registrerade om förlängningen och motiveringen till beslutet. Ett exempel när det kan vara tillåtet att förlänga tidsfristen är om ett företag får ovanligt många komplicerade begäranden samtidigt.
Behandling av personuppgifter för den allmänna säkerheten
GDPR gäller inte när myndigheter utför en behandling av personuppgifter för att förebygga, utreda, förhindra, avslöja eller lagföra brott. Detsamma gäller om en myndighet verkställer rättsliga påföljder. Till exempel om en person blir dömd för ett brott i domstol och får fängelse som påföljd. Vid sådana fall måste fängelset behandla personuppgifter om den dömde.
Ett företags organisationsnummer brukar inte vara en individs personuppgifter
Vid de flesta fallen är ett företags organisationsnummer inte en personuppgift. Däremot kan det vara det. Till exempel är det en personuppgift om det är en enskild firma där organisationsnumret är detsamma som ägarens personnummer. Dessutom är inte info@företag.com en personuppgift.
Registrerade kan få skadestånd vid överträdelser av GDPR
Om en organisation bryter mot GDPR, är det möjligt för en registrerad att få skadestånd i vissa fall. Däremot är detta inte någonting som en tillsynsmyndighet yrkar vid en tillsyn eller i sina beslut. Den registrerade behöver istället väcka talan civilrättsligt mot företaget i en egen separat rättsprocess. Om en tillsynsmyndighet utfärdar en sanktionsavgift till ett företag som brutit mot GDPR, är det ett belopp som betalas in till staten, inte till de berörda registrerade. Observera dock att det kan vara fördelaktigt vid ett civilrättsligt mål om organisationen har fått en sanktionsavgift för överträdelse mot GDPR av tillsynsmyndighet.
Registrerade kan ha rätt till skadestånd vid fruktan för att personuppgifter i framtiden eventuellt kan missbrukas
Efter att registrerade som hade blivit påverkade av en cyberattack mot Skatteverket i Bulgarien valde vissa av dem att stämma den Bulgariska skattemyndigheten och begära skadestånd. De fruktade att personuppgifterna i framtiden kunde missbrukas. Med andra ord, krävde de registrerade skadeståndsersättning för den ideella skada som personuppgiftsincidenten orsakat. Fallet gick hela vägen upp till den Högsta Förvaltningsdomstolen i Bulgaren som begärde ett förhandsavgörande från EU-domstolen gällande skadeståndsansvaret. EU-domstolen konstaterade att registrerade kan ha rätt till skadestånd om det finns en välgrundad fruktan för att personuppgifterna i framtiden kan komma att missbrukas.
Personuppgiftsbiträden kan också bli skadeståndsskyldiga
Om ett personuppgiftsbiträde behandlar personuppgifter i strid med de instruktioner som den personuppgiftsansvarige har lämnat och brutit mot GDPR, kan personuppgiftsbiträdet bli skadeståndsskyldig gentemot den registrerade. Detta framgår av artikel 82 I GDPR.
Mer information om Roller
Tillsynsmyndigheter
Alla länder i EU har en nationell tillsynsmyndighet som hanterar ärendet gällande GDPR. De har bland annat befogenhet att utfärda sanktionsavgifter till företag som bryter mot GDPR. Dessutom utger de publikationer och annan information om GDPR som kan vara bra att känna till. En registrerad som vill lämna in ett klagomål gällande behandling av deras personuppgifter kan alltid lämna in det till den nationella tillsynsmyndigheten i sitt eget bosättningsland om det är i EU, även fast det inte är den ansvarige tillsynsmyndigheten för företaget. Till exempel om det är ett stort internationellt företag. Om tillsynsmyndigheten anser att en annan nationella tillsynsmyndighet är mer lämplig eller är ansvarig, kan de överföra ärendet till dem.