Registrerades rättigheter

De registrerade har rättigheter när deras personuppgifter behandlas. Det finns krav på den personuppgiftsansvarige när det gäller bland annat klar och tydlig information till, och kommunikation, med de registrerade.

Som offentlig aktör måste du ha rutiner och resurser för att ta hand om de registrerades rättigheter [1] under hela personuppgiftsbehandlingen.

Den registrerade har rätt att få information när dennes personuppgifter behandlas. Informationen ska ges till den registrerade kostnadsfritt i en lättillgänglig, skriftlig form och med ett klart och tydligt språk. Om uppgifterna samlas in från den registrerade själv bör information ges i samband med insamlingen, till exempel när den registrerade fyller i ett formulär. Om personuppgifter samlas in från någon annan källa måste informationen förmedlas på ett lämpligt sätt.

Den registrerade har bland annat rätt att få veta

  • för vilka ändamål personuppgifter kommer att behandlas
  • den rättsliga grunden för behandlingen
  • hur länge personuppgifter kommer att lagras
  • vem som kommer att ta del av personuppgifter
  • registrerades rättigheter enligt dataskyddsförordningen
  • om personuppgifter kommer att överföras till ett så kallat tredjeland (land utanför EU/EES)
  • att den registrerade kan lämna in klagomål till Integritetsskyddsmyndigheten (IMY)
  • att den registrerade kan återkalla sitt samtycke, om hen har lämnat det
  • kontaktuppgifterna till den personuppgiftsansvariga och till dess eventuella dataskyddsombud.

Dessutom har den registrerade i vissa fall rätt till särskild information, till exempel om det inträffar en personuppgiftsincident [2], som kan ske i form av ett dataintrång eller liknande och det finns risk för till exempel identitetsstöld eller bedrägeri.

Den registrerade har dessutom rätt till tillgång [3], vilket innebär att hen har rätt att få veta om hens personuppgifter behandlas eller inte. Om så är fallet måste ni tillhandahålla en kopia på uppgifterna och lämna ut information som rör behandlingen. Rätten att få en kopia på sina personuppgifter innebär inte att ni alltid måste lämna ut själva handlingen där personuppgifterna förekommer. Ofta kan det vara tillräckligt att ge den registrerade en begriplig sammanställning av alla de personuppgifter som förekommer i handlingen eller i övrigt är under behandling. Sammanställningen ska vara utformad så att den registrerade ges möjlighet att kontrollera uppgifternas riktighet och laglighet.

Observera att rätten att ta del av allmänna handlingar existerar parallellt med dataskyddsregleringarna. Dataskyddsförordningen hindrar inte att allmänna handlingar lämnas ut. Det är därför viktigt att en personuppgiftsansvarig myndighet undersöker vad det är den enskilde vill om det är otydligt.

Den registrerade har rätt till rättelse [4], vilket innebär en rätt att få felaktiga uppgifter rättade. Det innebär också att den registrerade har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen

Rätt till radering [5] innebär att den registrerade har rätt be att uppgifterna om honom eller henne raderas. I många fall måste uppgifterna raderas, men det finns undantag. Det kan handla om situationer när det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Den registrerade har rätt till begränsning [6] av behandling. Det innebär att uppgifterna markeras så att de i framtiden endast får behandlas för vissa avgränsade syften. Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och den registrerade har begärt rättelse.

Det finns även en rätt att göra invändningar [7] mot behandlingen av personuppgifterna. Det gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning. Då måste ni visa att det finns avgörande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den registrerades intressen, rättigheter och friheter eller om behandlingen sker för att fastställa, utöva eller försvara rättsliga anspråk.

Den registrerade har rätt till dataportabilitet [8], vilket innebär en rätt att få ut och använda sina personuppgifter på annat håll. En förutsättning är att den personuppgiftsansvariga behandlar personuppgifterna med stöd av ett samtycke från den registrerade eller för att uppfylla ett avtal. Notera att myndigheter inte vanligtvis stödjer sin behandling på samtycke eller för att uppfylla ett avtal samt att rätten till dataportabilitet inte gäller i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige [9].

Den registrerade har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande [10], inklusive profilering, om beslutet kan ha rättsliga följder eller på liknande sätt i betydande grad påverkar personen. Automatiserat beslutsfattande kan vara tillåtet enligt särskild lagstiftning. I dessa fall måste ni informera [11] de registrerade om att automatiserat beslutsfattande används och se till att lämpliga åtgärder vidtas för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.

Kom ihåg

Regler om handläggning av en begäran om rättigheter finns i dataskyddsförordningen och dataskyddslagen. Den personuppgiftsansvariges beslut får överklagas till allmän förvaltningsdomstol. I övrigt ska handläggningen och beslut i ärendet följa vad som gäller enligt förvaltningslagen och myndighetens delegation (arbetsordning för statliga myndigheter och kommunallagen för kommuner och regioner).

Stödfrågor för att bedöma registrerades rättigheter

  1. Har registrerade informerats vid den personuppgiftsansvariges insamling av personuppgifter?
  2. Om ni inte samlat in uppgifterna från de registrerade utan från en annan källa, har registrerade informerats?
  3. Är informationen till de registrerade kortfattad, begriplig och lättillgänglig?
  4. Om informationen är riktad till barn, har den särskilt anpassats för detta?
  5. Har ni administrativa och organisatoriska rutiner och resurser så att den registrerade kan tillvarata sina rättigheter?
  6. Har ni rutiner och resurser för att pröva och åtgärda begäran om rättelse, radering eller invändning mot personuppgiftsbehandlingen?
  7. Har ni rutiner för att ta hand om kontakter från de registrerade rörande automatiserat beslutsfattande?
  8. Har personal hos er kompetens och förmåga att hantera tidsgränser och övriga krav på handläggningen som ärenden initierade av den registrerade ska präglas av?

Källhänvisningar

[1] Se skäl 39 och 58-64 samt Artiklarna 12–22 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[2] Artikel 34 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[3] Artikel 15 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[4] Artikel 16 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[5] Artikel 17 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[6] Artikel 18 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[7] Artikel 21 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[8] Artikel 20 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[9] Artikel 20 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt Artikel 29-gruppens Riktlinjer om rätten till dataportabilitet (imy.se) Länk till annan webbplats.

[10] Artikel 22 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[11] Artiklarna 13.2 f och 14.2 g i dataskyddsförordningen (imy.se) Länk till annan webbplats.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: