meny

För dig som kund

När du blir kund hos ett företag samlar företaget ofta in uppgifter om dig för att till exempel kunna leverera den vara eller tjänst du köpt eller skicka erbjudanden till dig. Läs mer om hur företag får behandla dina personuppgifter.

Ett företag som samlar in personuppgifter om dig måste följa reglerna i dataskyddsförordningen för att få behandla uppgifterna. Företaget måste bland annat ha en rättslig grund för personuppgiftsbehandlingen och ge tydlig information om hur dina uppgifter används. Nedan följer en redogörelse med exempel för vad som gäller när ett företag behandlar eller ska behandla uppgifter om dig som kund. 

Personuppgift – mer än namn och adress

Personuppgifter är uppgifter som enskilt eller i kombination med andra uppgifter kan knytas till en fysisk levande person, till exempel:

  • namn, personnummer
  • adress, e-postadress, telefonnummer
  • foton och ljudupptagningar
  • betalningsuppgifter som konto- eller betalkortsnummer

Vad menas med en personuppgiftsbehandling?

En personuppgiftsbehandling innebär att ett företag hanterar dina uppgifter på något sätt, till exempel samlar in, registrerar, lagrar, ändrar eller lämnar ut uppgifter om dig.

Exempel: En butik frågar om legitimation för att du ska kunna få bonus för ditt köp och registrerar i samband med köpet ditt personnummer.

Företaget måste ha en rättslig grund för behandlingen

När ett företag behandlar uppgifter om dig som kund måste det kunna stödja sig på någon av de rättsliga grunderna som presenteras närmare. Om företaget inte har en rättslig grund är personuppgiftsbehandlingen inte laglig.

Avtal som rättslig grund

Ett företag får behandla uppgifter som är nödvändiga för att fullgöra ett avtal med dig eller för att vidta åtgärder på begäran av dig innan avtalet ingås.

Exempel: Du köper en fotoredigeringsapp på mobilen. Appen kräver tillgång till dina bilder för att du ska kunna använda tjänsten. Behandling av dina personuppgifter (tillgång till bilder) är alltså nödvändigt för att företaget som du köpt appen av ska kunna fullgöra avtalet med dig.
Exempel: Du begär att få en offert av ett byggföretag för reparationer i din bostad innan du ingår ett avtal. Företaget registrerar då de uppgifter som behövs om dig för att sedan kunna lämna en offert.

Samtycke som rättslig grund

Ett företag får också behandla personuppgifter med stöd av ett samtycke från dig. För att ett samtycke ska vara giltigt krävs att det är frivilligt och att du är införstådd med hur dina personuppgifter behandlas eller ska behandlas. Samtycket ska dessutom gälla en specifik personuppgiftsbehandling. Samtycket ska uttryckas genom en aktiv handling från dig och du har rätt att när som helst dra tillbaka det utan att det ska behöva leda till negativa konsekvenser för dig.

Det finns en missuppfattning om att ett samtycke alltid krävs för att en personuppgiftsbehandling ska vara tillåten. Om ett företag behandlar dina uppgifter med stöd av någon av de andra rättsliga grunderna kan personuppgiftsbehandlingen vara tillåten utan ditt samtycke. Samtycke är alltså bara en av de olika rättsliga grunderna som ett företag kan stödja sig på.

Exempel: Du skriver upp dig på en butiks nyhetsbrev för att få ta del av butikens allmänna erbjudanden. Butiken begär sedan ditt samtycke för att få samla in information om dina köpvanor och skräddarsy erbjudanden till dig baserat på din köphistorik. Du återkallar efter en tid ditt samtycke för att få skräddarsydda erbjudanden. Butiken måste då sluta skicka ut skräddarsydda erbjudanden till dig eftersom den inte längre har en rättslig grund för att behandla dina uppgifter i syfte att erbjuda skräddarsydda erbjudanden. Du ska däremot fortfarande få ta del av butikens allmänna erbjudanden.

Intresseavvägning som rättslig grund

Ett företag får i vissa fall behandla dina personuppgifter med stöd av en intresseavvägning. Det innebär att företaget inte måste ha ditt samtycke för att behandla uppgifterna. Däremot krävs det att företaget har ett berättigat intresse och att ditt intresse av skydd för dina personuppgifter inte väger tyngre.

Exempel: Du får ett erbjudande från ett företag om att samla dina lån. Du har inte tidigare varit i kontakt med företaget och heller inte registrerat dina uppgifter före reklamutskicket. Företaget kan i detta fall behandla ditt namn och din adress med stöd av en intresseavvägning för att kunna skicka erbjudandet till dig. Det betyder att ditt samtycke inte behövs. I det fallet vägs istället skyddet för din personliga integritet mot företagets ekonomiska intresse av att kunna marknadsföra sig och/eller sina varor/tjänster. Du kan dock när som helst meddela företaget att du inte vill ha reklamutskick och då ska utskicken upphöra. Det ska vara enkelt för dig att säga ifrån att du inte längre vill ha reklam.

Personuppgifter ska behandlas på rätt sätt

När företag behandlar personuppgifter om dig som kund ska de säkerställa att uppgifterna är korrekta och uppdaterade. Företag är också skyldiga att vidta säkerhetsåtgärder för att skydda dina personuppgifter från bland annat obehörig åtkomst och otillåten användning.

Personuppgifter får inte sparas längre än nödvändigt

Företag får inte spara uppgifter om dig längre än vad som är nödvändigt för ändamålet med personuppgiftsbehandlingen. Företaget ska därför radera eller avidentifiera dina personuppgifter när de inte längre behövs. Det ska göras fortlöpande eller efter en viss tid, till exempel när kundförhållandet med dig upphör.

Företag får i vissa fall spara dina personuppgifter även när det inte längre är nödvändigt för att till exempel fullgöra avtalet med dig som kund eller efter det att du återkallat ett samtycke. Det gäller till exempel vid bokföring, eftersom bokföringslagen ställer krav på att vissa handlingar ska sparas under en viss tid. Företaget får i så fall inte använda dina personuppgifter för annat än bokföring eller spara uppgifter som inte behövs för bokföringen.

Exempel: Du invänder mot att ett företag använder dina personuppgifter för att skicka nyhetsbrev och reklam till dig. Företaget får inte behandla dina personuppgifter för sådana ändamål när du har invänt mot behandlingen.
Exempel: Du köper en TV med fem års garanti. Företaget kan då spara uppgifter om dig som är nödvändiga för att kunna uppfylla sina garantiförpliktelser. Företaget kan däremot inte nödvändigtvis spara dina uppgifter för att försvara sig mot eventuella rättsliga anspråk enligt bestämmelserna om reklamation och preskription.

Dina rättigheter som kund

Du har rätt till information

Om ett företag behandlar dina personuppgifter ska du få information om detta. Företaget ska bland annat informera om:

  • varför dina personuppgifter behandlas och vilken rättslig grund företaget tillämpar,
  • vilka personuppgifter om dig som behandlas,
  • om uppgifterna lämnats eller kan komma att lämnas ut till tredje part,
  • hur länge uppgifterna kommer att lagras eller vad som avgör lagringstiden.

Du har rätt att få tillgång till dina personuppgifter

Du har rätt att vända dig till ett företag för att få veta vilka personuppgifter som företaget har om dig genom ett så kallat registerutdrag. Registerutdraget ska bland annat innehålla information om:

  • vilka personuppgifter om dig som behandlas,
  • varifrån uppgifterna kommer,
  • ändamålen med behandlingen,
  • vilka mottagare eller kategorier av mottagare som personuppgifterna har lämnats ut till eller ska lämnas ut till.

Du har rätt att i vissa fall få dina personuppgifter raderade

Du har rätt att vända dig till ett företag som behandlar dina personuppgifter och be att uppgifterna raderas. Företaget ska radera dina uppgifter när:

  • personuppgifterna inte längre är nödvändiga,
  • personuppgifterna har behandlats olagligt,
  • företaget inte längre har någon rättslig grund för att behandla uppgifterna.

Företag kan ibland behöva ha kvar dina personuppgifter för att uppfylla sina skyldigheter enligt annan lagstiftning. Då ska företaget efter din begäran göra en bedömning av om informationen ska tas bort eller om det finns något stöd för att ha kvar uppgifterna.

Du har rätt att få dina personuppgifter överförda till annat företag

Du har under vissa förutsättningar rätt att få ut dina personuppgifter från ett företag där du är kund, så att du kan använda uppgifterna hos ett annat företag. Det gäller endast om företaget som du vill få ut personuppgifterna från har behandlat dina uppgifter med stöd av ditt samtycke eller för att uppgifterna varit nödvändiga för att fullgöra ett avtal. Det gäller också endast uppgifter som du själv lämnat till företaget. Uppgifterna ska om det är tekniskt möjligt överföras direkt från företaget till det andra företaget. I annat fall ska du få uppgifterna i ett format som gör att informationen kan vidareanvändas.

Uppgifter får inte överföras till något annat företag om det skulle innebära en ofördelaktig påverkan på andra personers rättigheter och friheter, till exempel om det i din lista av uppgifter finns personuppgifter om andra personer som det mottagande företaget kan använda för marknadsföring.