Upprätta skriftliga rutiner
Skriftliga rutiner för att tillgodose registrerades rättigheter
Det är bra för företag att upprätta skriftliga rutiner för att tillgodose registrerades rättigheter i enlighet med GDPR.
Rutiner är ett bra sätt för att visa efterlevnad av GDPR
Företag måste kunna visa att de följer reglerna i GDPR och därför är det lämpligt att ha vissa GDPR-relaterade avtal och dokument.
Exempelvis olika rutiner. Skriftliga rutiner kan dessutom göra arbetet för medarbetarna mer effektivt och minska misstag, eftersom det blir tydligare hur och vem som ska göra vad.
Åtta (8) grundläggande rättigheter som registrerade har enligt GDPR
Registrerade har enligt GDPR bland annat rätt till:
Information (Artikel 13 GDPR och Artikel 14 GDPR)
Företag ska enligt huvudregeln informera de registrerade innan en behandling av personuppgifter sker. Information om behandlingen ska även ges vid begäran av den registrerade. Informationen brukar framgå i ett integritetsmeddelande.
Tillgång (Artikel 15 GDPR)
Registrerade har rätt att veta vilka av dennes personuppgifter som ett företag behandlar samt begära en kopia av dem. Dessutom ska företaget informera om behandlingen, exempelvis syftet med behandlingen, hur länge behandlingen sker, vilka rättigheter de registrerade har m.m.
Rättelse (Artikel 16 GDPR)
Företag ska behandla korrekta och kompletta personuppgifter, men det är inte helt ovanligt att felaktiga personuppgifter behandlas. Exempelvis om en registrerad byter sitt telefonnummer, och det inte uppdateras hos företaget. Om personen kontaktar företaget för att få sina personuppgifter korrigerade eller kompletterade, ska företaget göra det.
Radering (Artikel 17 GDPR)
Registrerade har rätt att kontakta företag för att få sina personuppgifter raderade. Denna rättighet är även kallad för “rätten att bli bortglömd”. I de flesta fall måste företaget göra det, men det finns vissa undantag från radering. Exempelvis om företaget behöver fortsätta behandla personuppgifterna för att uppfylla en rättslig förpliktelse.
Begränsning (Artikel 18 GDPR)
Det finns situationer där registrerade har rätt att få behandling av sina personuppgifter begränsad. Exempelvis under tiden som ett företag utreder huruvida personuppgifter är korrekta, när den registrerade har begärt rättelse.
Dataportabilitet (Artikel 20 GDPR)
Rätten till dataportabilitet innebär att registrerade i vissa fall har rätt att få sina personuppgifter flyttade till annan personuppgiftsansvarig, exempelvis en konkurrent. Observera att företag enbart behöver göra detta om det är teknisk genomförbart, behandlingen sker automatiserat och grundar sig på avtal eller samtycke som rättslig grund.
Invändning (Artikel 21 GDPR)
Registrerade rätt att invända mot en behandling om den rättsliga grunden är berättigat intresse, som ett led i myndighetsutövning eller uppgift av allmänt intresse. Exempelvis kan en registrerad begära att ett företag ska upphöra med direktmarknadsföring som sker via e-post med stöd av berättigat intresse.
Automatiserat beslutsfattande, inbegripet profilering (Artikel 22 GDPR)
Automatiskt beslutsfattande enligt GDPR är när ett beslut fattas utan personlig kontakt eller påverkan. Registrerade har rätt att inte bli föremål för sådana automatiserade beslut som har rättsliga följder för denne. Om den registrerade har lämnat sitt uttryckliga samtycke eller det automatiserade beslutsfattandet behövs för att fullgöra ett avtal, är det tillåtet att genomföra beslutet.
Observera att det finns ännu fler rättigheter i GDPR än dessa åtta (8) som är de mest grundläggande. Exempelvis registrerades rätt att återkalla ett lämnat samtycke enligt artikel 7(3) i GDPR. Dessutom har registrerade rätt att inge klagomål till den nationella tillsynsmyndigheten enligt artikel 77 i GDPR.
Får företag verifiera registrerade som begär att få en rättighet tillgodosedd?
Ja, företag ska verifiera identiteten på den registrerade som begär att få en rättighet tillgodosett. Detta är viktigt för att säkerställa korrekt hantering av ärendet. Om personuppgifterna exempelvis blir utlämnade till fel person, utgör det en persouppgiftsincident. Detsamma gäller om personuppgifter felaktigt raderas eller ändras.
Tidsfrist för att tillgodose registrerades rättigheter
När en registrerad kontaktar ett företag får att få en rättighet tillgodosedd, ska företaget alltid besvara förfrågan inom en månad från och med mottagandet av begäran. Dessutom ska företaget även försöka hantera begäran inom tidsfristen, men det kan finnas möjlighet att förlänga tidsfristen i ytterligare två månader. Observera dock att företaget måste informera den registrerade om förlängningen inom den första månaden. En orsak till att förlänga tidsfristen kan vara att företaget får in ovanligt mycket begäranden samtidigt.
Utöver skriftliga rutiner för att tillgodose registrerades rättigheter kan det vara bra för företaget att även ha rutiner för:
Delning av data internt mellan medarbetare
Inhämtning och återkallelse av samtycke
Hantering av sociala medier och fotografering
Svara efter vidtagna åtgärder
Företaget ska informera den registrerade om de vidtagna åtgärderna efter mottagen begäran om utövandet av den registrerades rättigheter. Det är även bra om företaget motiverar sina beslut och förklarar processen och vidtagna åtgärder tydligt.
Vad kan en rutin för att tillgodose de registrerades rättigheter innehålla?
Mottagande
Inkludera information om hur och vart begäran kan tas emot, så att det blir enkelt för medarbetarna att veta vart de bör hålla extra koll. Exempelvis e-post, brev, sociala medier eller liknande.
Verifiering
Företag kan behöva verifiera att personen som begär att få en rättighet tillgodosedd, verkligen är rätt person. Det är bra att inkludera när och hur sådan identifiering ska ske. Dessutom är det bra att inkludera hur identifiering inte får ske. Det kan nämligen vara oproportionerligt att begära in exempelvis en passkopia i vissa fall.
Identifiering
Identifiera inom vilka system som personuppgifterna behandlas av företaget. På så sätt är det enkelt att hitta personuppgifter, delegera ansvar och hur personuppgifterna ska hämtas ut, tas bort eller revideras i enlighet med säkerhetskraven i GDPR.
Bedömning
Det är inte alla rättigheter som gäller i alla situationer. Därför är det bra att specificera när vilka rättigheter gäller. Dessutom kan det finnas undantag från utövandet av en rättighet. Dessa är också bra att specificera i den skriftliga rutinen.
Svar
Företag måste besvara de registrerade som begär att få en rättighet tillgodosedd. Det är bra att ha färdiga svarsmallar för att underlätta och effektivisera arbetet samt minska risken för att glömma något. Observera att svaret ska vara enkelt att förstå för de registrerade, inte ett komplicerat juridiskt språk för att försöka förvirra läsaren.
Dokumentation
Företag måste kunna visa att de följer GDPR och därför är det bra att dokumentera mycket av GDPR-arbetet. Exempelvis aktiviteterna som vidtagits i samband med hantering av en registrerades begäran om att få en rättighet tillgodosedd. Inkludera instruktioner i rutinen om vad som ska dokumenteras, hur länge dokumentationen ska bevaras och vart det ska lagras.
Tänk på att företag kan neka vissa begäranden
Företag kan i vissa fall neka en registrerad som begär att få en rättighet tillgodosedd. Exempelvis om en registrerad vill få sina personuppgifter raderade, men företaget måste fortsätta behandla dem för att uppfylla en rättslig förpliktelse.
Mer info om Rutiner
Rutiner för onboarding och offboarding
Det är vid övergångsperioder, alltså när en person börjar eller slutar på ett företag, som sårbarheten är högre. Därför är det bra att skapa bra rutiner för onboarding och offboarding samt informera om innehållet i rutinen muntligen för att minimera missförstånd och fel. Det är en viktig organisatorisk säkerhetsåtgärd som många företag vidtar.