Registrerade har flera rättigheter enligt GDPR som företag ska tillgodose. Därför behöver företag ha rutiner för att kunna göra det. Företag måste också följa de grundläggande dataskyddsprinciperna i GDPR och alltid ha en rättslig grund vid behandling av personuppgifter. Till exempel samtycke eller avtal. Dessutom behöver företag vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och följa de övriga reglerna i GDPR.
Registrerade personer har följande rättigheter enligt GDPR
Rätt till information
När företag behandlar personuppgifter ska de informera de registrerade om behandlingen. Dessutom har registrerade rätt att få veta detta under behandlingen vid begäran. Företag ska också informera om vissa personuppgiftsincidenter som inträffar till de registrerade.
Rätt till tillgång
Om ett företag får en förfrågan från en registrerad om huruvida företaget behandlar personuppgifter tillhörande personen, ska företaget ge den informationen. Till exempel information om syftet med behandlingen. Däremot har företag i vissa fall rätt att vägra ge informationen. Det kan vara om en registrerad begär att få informationen massvis med gånger under en kort period.
Rätt till rättelse
Om ett företag behandlar personuppgifter som är felaktiga och en registrerad kontaktar företaget för att få dem rättade, ska företaget göra det. Dessutom ska de informera om rättelsen efteråt.
Rätt till radering
Företag ska radera personuppgifter när de inte längre är nödvändiga för det syfte de blev inhämtade för. Registrerade har också rätt att begära att företaget raderar personuppgifterna i vissa fall. Till exempel om den rättsliga grunden är samtycke och den registrerade återkallar det.
Fler rättigheter enligt GDPR:
Rätt till begränsning av behandling
I vissa fall får en registrerad person kräva en begränsning i behandlingen av dennes personuppgifter. Efter att begränsningen har upphört, ska företaget informera personen om det.
Rätt att göra invändningar
Om personuppgifter blir behandlade med antingen uppgift av allmänt intresse eller som ett led i myndighetsutövning som rättslig grund, har den registrerade rätt att invända mot behandlingen. Detsamma gäller om den rättsliga grunden är intresseavvägning. Däremot innebär det inte alltid att personuppgifterna inte får bli behandlade, utan den personuppgiftsansvarige måste vid sådana fall kunna visa att behandlingen väger tyngre än den registrerades intressen, rättigheter och friheter. Det måste finnas avgörande berättigade skäl för behandlingen. Observera dock att en registrerad alltid får invända när ett företag behandlar personuppgifter för direktmarknadsföring och företaget får vid sådana fall inte fortsätta behandlingen för det ändamålet.
Rätt till dataportabilitet
Om en registrerad vill få ut personuppgifter om sig själv för att kunna använda dem till något annat, såsom en tjänst för sociala medier, ska företaget underlätta förflyttningen. Däremot gäller detta enbart om den rättsliga grunden är samtycke eller avtal vid behandlingen.
Automatiserade beslut
En individ har rätt att inte bli föremål för ett beslut som har fattats automatiskt, med eller utan profilering. Detta gäller om beslutet i fråga kan ha rättslig påverkan eller på annat sätt i stor omfattning påverkar den registrerade.
Mer detaljerad information om de olika rättigheterna finns på webbplatsen www.AvtalGDPR.se. Webbplatsen är en del av Digitala Juristerna, och där finns det mer information om GDPR som kan vara bra för företag att känna till.
