GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Artikel 12-22 i GDPR

Åtta centrala rättigheterna som registrerade har enligt GDPR

De individer vars personuppgifter blir behandlade av ett företag, är kallade för “registrerade”. Enligt GDPR, finns det flera olika rättigheter som registrerade har gällande deras personuppgifter.

Här kan du läsa om de åtta (8) centrala rättigheterna som registrerade har enligt GDPR. Nämligen registrerades rätt till:

  • information (Artiklarna 12, 13 och 14)
  • tillgång (Artikel 15)
  • rättelse (Artikel 16)
  • radering (Artikel 17)
  • begränsning av behandling (Artikel 18)
  • dataportabilitet (Artikel 20)
  • att göra invändningar (Artikel 21), samt
  • rättigheter kopplade till automatiserat beslutsfattande och profilering (Artikel 22)

Utöver information om rättigheterna som framgår i de respektive relevanta artiklarna i GDPR, finns även mer information i Skäl 58–73 i GDPR. 

Innan vi beskriver de ovan nämnda centrala 8 rättigheter som registrerade har enligt GDPR  närmare, är det viktigt att förstå hur företaget ska agera när en registrerad inkommer med en begäran om att få en rättighet tillgodosedd. Därför börjar vi med att beskriva processen nedan och tillhörande regler kring detta. Därefter följer en summering av de centrala 8 rättigheter som registrerade har enligt GDPR.

What breaches of the GDPR can lead to an administrative fine?

Hur lång tidsfrist företag har när en registrerad begär att få en rättighet tillgodosedd

När ett företag får in en begäran från en registrerad som åberopar sina rättigheter, ska företaget hantera begäran utan onödigt dröjsmål. Exempelvis när en registrerad begär att få sina personuppgifter raderade enligt artikel 17 GDPR. Det är viktigt att tänka på att företaget måste hantera begäran inom en (1) månad från och med mottagandet. Detta utgör huvudregeln. 

Förlängd tidsfrist för att besvara registrerades begäran om sina rättigheter

Det kan i vissa fall vara möjligt för ett företag att få en förlängd tidsfrist. Men vid sådana fall måste den registrerade bli informerad om förlängningen inom den första månaden. Maximalt kan tidsfristen bli förlängd i ytterligare två månader, så att företaget därmed har totalt tre månader på sig att hantera begäran. 

Observera att företaget måste kunna motivera sitt beslut till förlängningen och ge motiveringen till den registrerade. Ett exempel på när en förlängning kan bli aktuell, är om företaget har fått in väldigt många begäranden på samma gång. Det är dock ytterst få företag som kan motivera en giltig förlängning av tidsfristen.

Kostnad för registrerade att utöva sina rättigheter

Det ska inte kosta för registrerade att få sina rättigheter enligt GDPR tillgodosedda. Enligt huvudregeln har registrerade därmed rätt att kostnadsfritt få tillgång till information, sina personuppgifter rättade, raderade etc. Däremot förekommer vissa undantag från denna huvudregel. Företag får exempelvis debitera en avgift om den registrerades är uppenbart ogrundad eller orimlig, exempelvis vid flera upprepade begäranden från samma person.

Identifiera registrerade som begär att få en rättighet tillgodosedd

Företag behöver kunna identifiera de registrerade som begär att få en rättighet tillgodosedd. Om inte, innebär det en risk att företaget överlämnar informationen till någon obehörig person. Det skulle nämligen vid sådana fall utgöra en personuppgiftsincident. Däremot måste identifieringen ske på ett sätt som är proportionerligt och rimligt. Det kan till exempel vara otillåtet för ett företag att begära en kopia på en ID-handling när företaget ska identifiera en person.

Ett företag fick betala en sanktionsavgift eftersom det bland annat hade begärt en kopia av ett pass i ett fall där det inte var proportionerligt. Passet innehöll nämligen fler uppgifter än nödvändigt för att styrka den registrerades identitet. 

Företag kan istället överväga att identifiera den registrerade genom att ställa andra kontrollfrågor. Exempelvis genom att ställa frågor avseende den registrerades historik och tidigare kommunikation med företaget, verifiering av kontaktuppgifter som företaget har registrerat etc.

Företag kan vägra att tillgodose rättigheter i vissa fall

I vissa fall kan det vara tillåtet för företag att vägra att tillgodose en rättighet som en registrerad begär. Till exempel om de inte kan identifiera den registrerade. Detsamma gäller om det kan innebära en risk för någon annans friheter och rättigheter. 

Använda tekniska och organisatoriska åtgärder för att tillgodose rättigheterna

För att vara väl förberedd på att kunna tillgodose registrerades rättigheter, är det viktigt att utbilda medarbetare om gällande rätt. Det är även fördelaktigt för företag att upprätta följande dokumentation och att bland annat vidta följande åtgärder:

Integritetsmeddelande med information om peronuppgiftsbehandlingen

Registrerade har rätt till information om företagets behandling av deras personuppgifter. Informationen bör vara skriftlig och framgå i ett så kallat “integritetsmeddelande”. Det är fördelaktigt att företag publicerar sitt integritetsmeddelande online på sin officiella webbplats. Vanligtvis finns den tillgänglig i sidfoten på ett företags webbplats. 

Det är viktigt att känna till när informationen om behandlingen ska bli presenterad för den registrerade. Det bör alltid ske i samband med att personuppgifterna blir insamlade, om det är möjligt. Artiklarna 13 och 14 i GDPR reglerar vad integritetsmeddelandet ska innehålla för att uppfylla minimikraven. Dessutom ska meddelandet vara formulerat på ett sätt som mottagaren förstår och på det nationella språket. Det får inte vara för komplicerat formulerat.

Measures that companies need to take to comply with GDPR

Lämnade bristfällig information gällande flera rättigheter

Ett företag i Sverige fick betala en sanktionsavgift på 7,5 miljoner kronor för att bland annat ha lämnat bristfällig information till registrerade gällande deras rättigheter enligt GDPR. Till exempel var informationen bristfällig gällande rätten till att göra invändningar m.m. Tillsynsmyndigheten bedömde att informationen inte efterlevde kravet på öppenhet.

Interna rutiner som företagets medarbetare ska följa vid behandling av personuppgifter

Företag bör även upprätta skriftliga interna rutiner som medarbetarna ska implementera vid behandling av personuppgifter. Exempelvis rutin för gallring av personuppgifter samt hantering av personuppgiftsincidenter. 

Utöver rutiner kan ett företag även ta fram färdiga svarsmallar, för att underlätta bevarandet när en registrerad åberopar sina rättigheter.

Ett företag behöver även vidta och implementera olika tekniska lösningar, för att dels skydda personuppgifterna dels kunna tillgodose de registrerades rättigheter.    

Här är en summering av de centrala åtta (8) rättigheter som registrerade har enligt GDPR:

Rätt till information (Artiklarna 12, 13 och 14 GDPR)

När ett företag behandlar personuppgifter ska företaget informera de registrerade om behandlingen. Det ska ske innan företaget börjar behandlingen (om möjligt) och vara avgiftsfritt. Dessutom har den registrerade rätt att begära att få veta informationen under behandlingen. I vissa fall ska företag även informera de registrerade när det inträffar en personuppgiftsincident.

Exempel på information som ska framgå om behandlingen: 

  • Syfte: Syftet med behandlingen. 
  • Laglig grund: Vilken laglig grund som företaget använder. 
  • Lagringstid: Hur länge företaget kommer att lagra personuppgifterna. 
  • Rättigheter: De rättigheter som de registrerade har enligt GDPR. 
  • Klagomål: Att den registrerade kan lämna in klagomål till den nationella tillsynsmyndigheten.
  • Kontaktuppgifter: Kontaktuppgifter till den som är personuppgiftsansvarig. Dessutom ska företaget inkludera kontaktuppgifter till dataskyddsombudet om sådan har blivit utsedd. 

Rätt till tillgång (Artikel 15 GDPR)

När ett företag behandlar personuppgifter, har de registrerade rätt att kontakta företaget för att få veta om de behandlar personuppgifter som tillhör denne eller inte. Artikel 15 i GDPR reglerar detta, som utgör den så kallade rätten till tillgång. Vid sådana fall har den registrerade rätt att få en kopia på de personuppgifter företaget behandlar som tillhör den registrerade. 

Exempel på information som företaget ska överlämna till den registrerade:

  • Kopia: En kopia eller sammanställning av den registrerades personuppgifter som företaget behandlar 
  • Syftet: Vad syftet med behandlingen är. 
  • Kategorier: De kategorier av personuppgifter som företaget behandlar.
  • Lagringstid: Den tid som företaget behandlar personuppgifterna.
  • Överföringar: Vilka parter som personuppgifterna har blivit överförda till. Exempelvis personuppgiftsbiträden.
  • Uppkomst: Information om hur företaget fått tillgång till personuppgifterna. Till exempel om det är den registrerade som lämnat informationen eller en tredje part.

Rätt till rättelse (Artikel 16 GDPR)

Företag ska inte behandla felaktiga eller ofullständiga personuppgifter. Om företaget upptäcker att personuppgifterna är felaktiga eller ofullständiga, ska de rätta eller komplettera dem. Alternativt ska företaget radera personuppgifterna i fråga. 

Dessutom har de registrerade rätt att begära att företaget rättar personuppgifter som är felaktiga enligt artikel 16 i GDPR, som reglerar rätten till rättelse. Rättelsen ska då genomföras utan onödigt dröjsmål. Observera att företaget också ska informera de registrerade efter att de har vidtagit en rättelse.

Rätt till radering (Artikel 17 GDPR)

En registrerad har enligt GDPR rätt att be ett företag radera dennes personuppgifter som företaget behandlar. Detta följer av artikel 17 i GDPR, som reglerar rätten till radering. Denna rätt är även kallad för “rätten att bli bortglömd”. Däremot innebär detta inte alltid att företaget måste upphöra med behandlingen och genomföra raderingen. Det finns nämligen vissa undantag som gör att företaget i kan ha rätt till fortsatt behandling av personuppgifterna ändå. 

Här här några exempel på när företag ska radera personuppgifter vid en begäran från en registrerad: 

  • När personuppgifterna inte längre är nödvändiga för syftet de blev inhämtade för. 
  • Om den rättsliga grunden är samtycke och den registrerade återkallar det. 
  • När syftet med behandlingen är direktmarknadsföring och den registrerade begär att företaget upphör. 
  • Om företaget utfört en intresseavvägning och kommit fram till att företaget har ett berättigat intresse. Observera att företaget kan göra en ny intresseavvägning efter mottagen begäran om radering. Om företaget då fortfarande skulle komma fram till att företaget har ett berättigat intresse, kan de fortsätta med behandlingen. Däremot måste företaget motivera intresseavvägningen och beslutet samt informera den registrerade.

Rätt till begränsning av behandling (Artikel 18 GDPR)

I vissa fall har registrerade rätt att begära att ett företag ska begränsa behandlingen av personuppgifter. Till exempel i samband med att en registrerad begär att få sina personuppgifter rättade. Den registrerade har vid sådana fall rätt att begära att företaget begränsar behandlingen fram tills att de utrett huruvida personuppgifterna är korrekta eller inte. Tänk på att företaget ska informera den registrerade när begränsningen upphör. 

Rätt till dataportabilitet (Artikel 20 GDPR)

Denna rättighet innebär att registrerade i vissa fall har rätt att få sina personuppgifter överförda till ett annat företag. Till exempel om en registrerad har ett konto på en sociala medier-tjänst och vill skapa ett konto på en annan liknande tjänst. Kravet för att kunna ha rätt till dataportabilitet är att den lagliga grunden för behandlingen är antingen: 

  • Samtycke, eller 
  • Avtal med den registrerade. 

Rätt att göra invändningar (Artiklarna 21 GDPR)

Denna rättighet innebär att registrerade kan göra en invändning mot behandlingen av dennes personuppgifter, till företaget som behandlar dem. Däremot innebär det inte alltid att företaget måste upphöra med behandlingen. Om företaget till exempel kan visa att de har ett berättigat intresse genom att göra en ny intresseavvägning, har de rätt att fortsätta behandlingen.  

Här är tre situationer där registrerade har rätt att göra invändningar: 

  • Allmänt intresse: Om syftet med behandlingen är att utföra en uppgift som är av allmänt intresse. 
  • Myndighetsutövning: När behandlingen sker som ett led i myndighetsutövning.
  • Berättigat intresse: När behandlingen sker efter en intresseavvägning med berättigat intresse som laglig grund. 

Automatiserade beslut (Artikel 22 GDPR)

En rättighet som registrerade har enligt GDPR är att inte bli föremål för automatiserade beslut. Med andra ord, beslut som fattas av en maskin utan personlig kontakt. Exempel på ett automatiserat beslut är när ett företag beslutar om att neka beviljandet av ett kreditlån genom en algoritm. 

Två fall där det är tillåtet med automatiserade beslut: 

  • När syftet är att kunna fullgöra ett avtal. 
  • När ett företag får ett uttryckligt samtycke från den registrerade.
Flera rättigheter

Utöver dessa ovan beskriva 8 centrala rättigheter en registrerad har enligt GDPR, finns även flera rättigheter i GDPR. Bland annat rätten att lämna klagomål till tillsynsmyndigheten (artikel 77 GDPR), rätt till skadestånd (Artikel 82 GDPR) och rätt att återkalla ett lämnat lämnat samtycke (Artikel 7(3) GDPR). 

Fler principer i GDPR

Legal bases under the GDPR

There are sig legal bases for lawful processing of personal data under the GDPR. Each individual processing of personal data must be conducted based on a legal basis. Such as consent or performance of a contract with the data subject. If a company does not have a legal bases for a processing, the processing is unlawful and shall not be conducted. It is important to have knowledge about the legal bases, for the processing of personal data to be carried out correctly. 

Want to learn more?

Read more
Rulla till toppen