Den registrerades rättigheter
Den enskildes rättigheter avseende personuppgiftsbehandling har stärkts väsentligt i samband med att GDPR infördes i jämförelse med de rättigheter som den enskilde hade enligt Personuppgiftslagen (PuL) Det är viktigt för företag att säkerställa att de registrerade effektivt kan utöva sina rättigheter. Att bryta mot reglerna om den registrerades rättigheter kan medföra att sanktionsavgiften blir den högsta möjliga (20 miljoner euro eller fyra procent av årsomsättningen). Det är den personuppgiftsansvarige (företaget eller organisationen) som ska betala sanktionsavgiften.
Rätten till information: Den registrerade har rätt få information om den personuppgiftsbehandling som den personuppgiftsansvarige utför. Det ska informeras om kontaktuppgifter till den personuppgiftsansvarige, ändamålen med behandlingen, hur länge personuppgiftsbehandlingen kommer fortgå, den registrerades rättigheter samt om personuppgifterna kommer att behandlas inom EU/EES eller om de kan komma att överföras till tredje land. Informationen ska vara tydlig och lättillgänglig. Det är därför lämpligt att skriva en personuppgiftspolicy och ha den tillgänglig eller bifoga den vid all form av kontakt med kunder m.m.
Rätten att få tillgång till information: Den registrerade har rätt att få information om huruvida ett företag och/eller organisation behandlar dennes personuppgifter. Det kan ske genom bland annat ett så kallat registerutdrag. Informationen ska lämnas utan dröjsmål, senast 1 månad efter begäran har framställts. I vissa fall finns det möjlighet att förlänga fristen i 2 månader. Den registrerade har rätt till en gratis kopia av informationen som behandlas om denne.
Rätten till radering: Den registrerade har rätt att begära att den personuppgiftsansvarige raderar dennes personuppgifter. Det finns dock vissa begränsningar i rätten till radering, bland annat att rättigheten får stå tillbaka om det är nödvändigt att behandla personuppgifter för att tillgodose andra rättigheter och i myndighetsutövning.
Rätten till rättelse: Om den personuppgiftsansvarige behandlar personuppgifter som är felaktiga, har den registrerade rätt att begära att personuppgifterna ändras så att de blir korrekta. Den registrerade har också rätt att lägga till uppgifter om sig själv.
Rätten till dataportabilitet: När den rättsliga grunden för personuppgiftsbehandlingen är samtycke eller avtal har den registrerade rätt till dataportabilitet. Det innebär i korthet att den registrerade har rätt att få sina personuppgifter flyttade från ett system till ett annat, till exempel från ett socialt medium till ett annat. Detta ska ske utan onödigt dröjsmål.
Rätten att invända mot behandling: När de lagliga grunderna berättigat intresse eller allmänt intresse används för att behandla personuppgifter har den registrerade rätt att göra en invändning mot detta. Invändningen ska bygga på att den registrerades intresse av att inte få sina personuppgifter behandlade väger tyngre än den personuppgiftsansvariges intresse av att behandla desamma. Det är den personuppgiftsansvarige som har bevisbördan för att dess intresse väger tyngre än den registrerades.
Rätten till begränsning: För det fall att en registrerad har invänt mot behandling eller utnyttjar sin rätt till rättelse har den registrerade också rätt att begränsa behandlingen till dess att tvisten har avgjorts eller att rättelse har vidtagits.
Rätten att klaga till Integritetsmyndigheten: För det fall att den registrerade anser att personuppgiftsbehandlingen har skett på ett felaktigt sätt har den registrerade rätt att framföra klagomål till Integritetsmyndigheten.