GDPR rättigheter är de grundläggande dataskyddsrättigheter som alla EU-medborgare har enligt Allmänna dataskyddsförordningen, inklusive rätten att få information, korrigera, radera och begränsa behandling av personuppgifter. Sedan GDPR trädde i kraft 2018 har privatpersoner fått betydligt starkare kontroll över sina personuppgifter.
Vad är GDPR rättigheter?
GDPR (General Data Protection Regulation) eller Allmänna dataskyddsförordningen ger dig som privatperson åtta grundläggande rättigheter när det gäller hur företag och organisationer behandlar dina personuppgifter. Dessa rättigheter är juridiskt bindande och gäller i hela EU, inklusive Sverige.
Dataskyddsförordningen syftar till att ge dig kontroll över dina personuppgifter och skydda din integritet i den digitala världen. Den gäller för alla organisationer som behandlar personuppgifter om personer bosatta i EU, oavsett var organisationen har sitt säte.
Personuppgifter definieras brett och inkluderar allt från namn och adress till IP-adresser, cookies och beteendedata. Även känsliga personuppgifter som hälsoinformation, politiska åsikter och biometriska data omfattas av särskilt starkt skydd.
För att förstå dina rättigheter fullt ut är det viktigt att veta att GDPR bygger på sex rättsliga grunder för behandling av personuppgifter: samtycke, avtalsuppfyllelse, rättslig förpliktelse, skydd av vitala intressen, myndighetsutövning och berättigat intresse.
De åtta GDPR rättigheterna
Rätten till information
Du har rätt att få veta när dina personuppgifter samlas in och behandlas. Organisationer måste informera dig om vilka uppgifter som samlas in, varför de behandlas, hur länge de sparas och vilka dina rättigheter är. Denna information ska lämnas på ett tydligt och begripligt sätt.
Informationen ska lämnas vid tidpunkten för insamling, antingen direkt från dig eller från tredje part. Om uppgifterna kommer från en annan källa har organisationen en månad på sig att informera dig, såvida det inte är oproportionerligt eller omöjligt.
Rätten till tillgång (registerutdrag)
Du har rätt att få en kopia av alla personuppgifter som en organisation har om dig. Detta kallas för registerutdrag och måste lämnas kostnadsfritt inom en månad. Organisationen ska också förklara hur uppgifterna används och var de kommer ifrån.
Registerutdraget ska vara i ett strukturerat, allmänt använt och maskinläsbart format. Om du begär flera kopior kan organisationen ta ut en rimlig avgift baserad på administrativa kostnader.
Rätten till rättelse
Om dina personuppgifter är felaktiga eller ofullständiga har du rätt att få dem korrigerade eller kompletterade. Organisationen har en månad på sig att göra rättelsen och måste också informera alla som fått uppgifterna om ändringen.
Denna rättighet är särskilt viktig för kreditupplysningar, medicinska journaler och andra register som kan påverka ditt liv betydligt om de innehåller fel information.
Rätten till radering (rätten att bli glömd)
Under vissa omständigheter har du rätt att få dina personuppgifter raderade. Detta gäller bland annat när uppgifterna inte längre behövs för det ursprungliga ändamålet, när du återkallar ditt samtycke, när uppgifterna behandlas olagligt eller när radering krävs enligt lag.
Rätten till radering är inte absolut. Organisationer kan vägra om de behöver uppgifterna för yttrandefrihet, juridiska krav, folkhälsa eller för att fastställa, göra gällande eller försvara rättsliga anspråk.
Rätten till begränsning
Du kan begära att behandlingen av dina personuppgifter begränsas istället för att de raderas helt. Detta innebär att uppgifterna får lagras men inte användas på annat sätt. Begränsning kan begäras när du bestrider riktigheten av uppgifterna eller när behandlingen är olaglig.
Under begränsningsperioden får organisationen endast använda uppgifterna med ditt samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk.
Rätten till dataportabilitet
Du har rätt att få ut dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Du kan också begära att uppgifterna överförs direkt till en annan organisation. Denna rättighet gäller endast när behandlingen baseras på samtycke eller avtal och sker automatiserat.
Dataportabilitet gör det enklare att byta leverantör eller tjänst utan att förlora dina data, vilket ökar konkurrensen och ger dig större valfrihet.
Rätten att göra invändningar
Du har rätt att invända mot behandling av dina personuppgifter i vissa situationer, särskilt när behandlingen baseras på berättigat intresse eller sker för direktmarknadsföring. Organisationen måste då sluta behandla uppgifterna om de inte kan visa tvingande berättigade skäl.
För direktmarknadsföring är din rätt att invända absolut - organisationen måste alltid sluta behandla dina uppgifter för detta ändamål om du invänder.
Rättigheter relaterade till automatiserat beslutsfattande
Du har rätt att inte bli föremål för beslut som enbart baseras på automatiserad behandling, inklusive profilering, som får betydande rättsliga effekter för dig. Om sådana beslut ändå fattas har du rätt att begära mänsklig inblandning och att bestrida beslutet.
Denna rättighet är särskilt relevant för kreditbedömningar, rekryteringsprocesser och andra automatiserade system som kan påverka dina möjligheter betydligt.
Hur du utövar dina GDPR rättigheter
Steg för att göra en begäran
För att utöva dina GDPR rättigheter ska du kontakta organisationens dataskyddsombud eller den som ansvarar för dataskydd. Begäran kan göras muntligt eller skriftligt, men skriftligt rekommenderas för dokumentation. Du behöver kunna identifiera dig, men organisationen får inte begära mer information än nödvändigt.
I din begäran ska du tydligt ange vilken rättighet du vill utöva och vara så specifik som möjligt om vilka uppgifter det gäller. Om du begär registerutdrag kan du begränsa begäran till vissa kategorier av uppgifter eller tidsperioder.
Organisationen har en månad på sig att svara på din begäran, men denna tid kan förlängas med ytterligare två månader om begäran är komplex. De måste informera dig om eventuell förlängning inom den första månaden.
Vad händer om organisationen vägrar?
Om en organisation vägrar att tillmötesgå din begäran måste de förklara varför och informera dig om din rätt att klaga till Integritetsskyddsmyndigheten (IMY). Du har också rätt att söka rättslig prövning i domstol.
Vanliga skäl för att vägra kan vara att begäran är uppenbart ogrundad eller överdriven, att uppgifterna behövs för juridiska krav eller att andra personers rättigheter skulle påverkas negativt.
Praktiska exempel på GDPR rättigheter
Exempel 1: Registerutdrag från sociala medier
Anna vill veta vilka uppgifter Facebook har om henne efter att ha använt plattformen i flera år. Hon loggar in på sitt konto och går till inställningar för integritet där hon hittar en funktion för att ladda ner sina data. Facebook erbjuder också möjlighet att begära ett komplett registerutdrag via e-post.
Inom 30 dagar får Anna en omfattande rapport som innehåller alla hennes inlägg, meddelanden, sökhistorik, annonser hon klickat på, platsinformation och mycket mer. Hon upptäcker att Facebook har samlat betydligt mer information än hon trodde, inklusive data från andra webbplatser genom cookies och pixlar. Med denna information kan Anna fatta informerade beslut om sina integritetsinställningar.
Exempel 2: Radering efter avslutad kundrelation
Erik har avslutat sitt abonnemang hos en telekomoperatör och vill att alla hans personuppgifter ska raderas eftersom han inte längre är kund. Han skickar en e-post till kundsupport och begär radering enligt GDPR artikel 17. Operatören svarar att de måste behålla vissa uppgifter enligt bokföringslagen i sju år, men att de kan radera marknadsföringsdata och detaljerad användningsstatistik.
Operatören förklarar vilka uppgifter som raderas och vilka som behålls samt varför. De bekräftar också att Eriks nummer läggs till en blockeringslista så att han inte får marknadsföring i framtiden. Erik är nöjd med hanteringen eftersom företaget varit transparent om vad som kan raderas och varför vissa uppgifter måste behållas.
Särskilda situationer och utmaningar
GDPR och barn
Barn under 16 år (i Sverige 13 år) har särskilda rättigheter enligt GDPR. Föräldrar eller vårdnadshavare kan utöva barnets rättigheter och har rätt att begära radering av uppgifter som samlats in när barnet var under denna ålder. Detta är särskilt relevant för sociala medier och onlinespel.
När barn når den ålder då de själva kan ge samtycke har de också rätt att begära radering av uppgifter som samlades in tidigare. Många plattformar erbjuder nu verktyg för att låta unga användare ta bort innehåll de delat som minderåriga.
GDPR och avlidna personer
GDPR gäller inte för avlidna personer, men svenska dataskyddslagen innehåller vissa bestämmelser om behandling av uppgifter om avlidna. Närstående kan under vissa omständigheter begära att uppgifter om en avliden person raderas eller rättas.
Många företag har egna riktlinjer för hur de hanterar konton och data efter att en person avlidit. Det är viktigt att kontakta företaget direkt för att förstå deras specifika policyer.
När du behöver juridisk hjälp
De flesta GDPR-ärenden kan du hantera själv genom att kontakta organisationen direkt. Men i vissa fall kan det vara värt att söka professionell hjälp. Om du misstänker att dina personuppgifter har missbrukats eller om en organisation vägrar att respektera dina rättigheter kan en jurist specialiserad på dataskydd hjälpa dig.
Juridisk hjälp kan också vara värdefull om du överväger att ansöka om skadestånd efter en dataintrång eller om du behöver hjälp med att formulera komplexa begäranden till stora företag. Vissa advokatbyråer erbjuder gratis rådgivning för GDPR-relaterade frågor.
Klagomål till Integritetsskyddsmyndigheten
Om du inte är nöjd med hur en organisation hanterat din begäran kan du klaga till Integritetsskyddsmyndigheten (IMY). Klagomålet är kostnadsfritt och kan göras online. IMY kan utreda ärendet och vid behov utdöma böter eller andra sanktioner mot organisationen.
IMY har också en rådgivningsfunktion och kan hjälpa dig att förstå dina rättigheter. De publicerar regelbundet vägledningar och beslut som kan vara till hjälp för att förstå hur GDPR tillämpas i praktiken.
Framtiden för GDPR rättigheter
GDPR utvecklas kontinuerligt genom rättspraxis och nya vägledningar från tillsynsmyndigheter. Europeiska dataskyddsstyrelsen arbetar med att harmonisera tillämpningen över hela EU och publicerar regelbundet nya rekommendationer.
Nya teknologier som artificiell intelligens och Internet of Things skapar nya utmaningar för dataskydd. EU arbetar med kompletterande lagstiftning som AI-förordningen som kommer att påverka hur personuppgifter behandlas i AI-system.
För privatpersoner innebär detta att rättigheterna kan komma att stärkas ytterligare och att nya verktyg för att utöva rättigheterna kommer att utvecklas. Det blir också allt viktigare att förstå och aktivt använda sina dataskyddsrättigheter.
Viktiga slutsatser
- Du har åtta grundläggande rättigheter enligt GDPR som ger dig kontroll över dina personuppgifter, från rätten till information till rätten att göra invändningar mot behandling.
- Organisationer måste svara på dina begäranden inom 30 dagar och får inte ta betalt för grundläggande tjänster som registerutdrag.
- Dokumentera alltid dina begäranden skriftligt och spara all korrespondens för att kunna följa upp eller klaga till tillsynsmyndigheten om nödvändigt.
- Dina rättigheter är inte absoluta - organisationer kan ha berättigade skäl att vägra vissa begäranden, men de måste alltid förklara varför.
- Sök hjälp vid behov - både från Integritetsskyddsmyndigheten och från juridiska experter, särskilt i komplexa fall eller när stora intressen står på spel.
Vanliga frågor om GDPR rättigheter
Kostar det något att begära registerutdrag?
Nej, den första kopian av dina personuppgifter ska lämnas kostnadsfritt. Om du begär ytterligare kopior kan organisationen ta ut en rimlig avgift.
Hur lång tid tar det att få svar på en GDPR-begäran?
Organisationen har 30 dagar på sig att svara, men tiden kan förlängas med ytterligare 60 dagar om begäran är komplex. De måste informera dig om eventuell förlängning inom den första månaden.
Kan jag begära radering av alla mina uppgifter?
Nej, rätten till radering gäller endast under vissa omständigheter. Organisationer kan behöva behålla uppgifter för juridiska krav, allmänt intresse eller för att fastställa rättsliga anspråk.
Vad händer om ett företag ignorerar min begäran?
Du kan klaga till Integritetsskyddsmyndigheten som kan utreda ärendet och vid behov utdöma böter mot organisationen. Du kan också söka rättslig prövning i domstol.
Gäller GDPR för alla företag?
GDPR gäller för alla organisationer som behandlar personuppgifter om personer bosatta i EU, oavsett var organisationen har sitt säte. Detta inkluderar även företag utanför EU som erbjuder varor eller tjänster till EU-medborgare.