meny

Vad dataskyddsförordningen innebär för dig som privatperson

Dataskyddsförordningen hjälper dig att ta kontrollen över dina personuppgifter

Dataskyddsförordningen (GDPR) stärker dina rättigheter och hjälper dig att ta kontrollen över hur dina personuppgifter får användas. Här går vi igenom några viktiga begrepp och reder ut vad som gäller för dig som privatperson.

Dataskyddsförordningen gäller i hela EU, både om den som behandlar personuppgifter (den personuppgiftsansvarige) är etablerad i EU och om den personuppgiftsansvarige behandlar personuppgifter som rör personer i EU.

Vad är en personuppgift?

All information som handlar om fysiska personer som kan identifieras är personuppgifter. Det spelar ingen roll om du är direkt identifierbar genom uppgiften, eller om det krävs att ytterligare information inhämtas för att du ska kunna identifieras. Det kan vara till exempel ditt namn, din e-postadress, ett foto på dig, ditt ID-kortnummer och din IP-adress när du surfar på nätet.

Exempel: Om du som privatperson äger en bil så är bilens registreringsnummer en personuppgift. Det är möjligt att utläsa att du är bilägaren eftersom registreringsnumret kan kopplas till dig som fysisk person. Om bilen istället ägs av ett företag är registreringsnumret inte en personuppgift, eftersom bilen inte kan kopplas till en fysisk person.

Personuppgiftsbehandling – vad betyder det?

När ett någon gör något med dina personuppgifter heter det att dina personuppgifter "behandlas".

Exempel: personuppgifter samlas in, registreras, lagras, ändras eller lämnas ut.

Det krävs alltid en rättslig grund

En personuppgiftsansvarig måste ha en rättslig grund för att få behandla personuppgifter. Du ska alltid få information om vilken rättslig grund som gör det tillåtet att behandla dina personuppgifter.

En rättslig grund kan vara att personuppgifterna krävs för ett avtal eller en så kallad intresseavvägning. Myndigheter kan få behandla personuppgifter för att de ska kunna utföra sina myndighetsuppgifter eller en uppgift av allmänt intresse.

En annan rättslig grund är att du gett ditt samtycke till personuppgiftsbehandlingen. Det ställs dock höga krav för att ett samtycke ska vara giltigt. Det ska till exempel ges frivilligt, informerat och genom en aktiv handling.

Läs mer om de rättsliga grunderna

Du har rätt att få tydlig information

Den som behandlar dina personuppgifter måste ge dig tydlig information om hur de används. Det innebär att du bland annat ska få denna information:

  • i vilket syfte dina personuppgifter kommer att användas
  • hur länge dina personuppgifter kommer att lagras
  • om dina personuppgifter kommer delas med någon
  • om dina personuppgifter kommer att överföras utanför EU
  • din rätt att lämna klagomål till en tillsynsmyndighet som Datainspektionen
  • hur du tar tillbaka ditt samtycke, om du har lämnat det
  • dina grundläggande dataskyddsrättigheter
  • vilken rättslig grund som gör det tillåtet att behandla dina personuppgifter i det aktuella fallet
  • kontaktuppgifterna till den organisation som ansvarar för att behandla dina uppgifter, och deras dataskyddsombud om det finns ett sådant.

Höga krav på tydligheten

Informationen ska lämnas på ett sätt som är lätt att förstå och som är lätt att hitta. Det ställs särskilt höga krav på att information som riktar sig mot barn ska ges på ett tydligt sätt.

Om personuppgiftsbehandlingen sker på ett komplicerat sätt, kan det betyda att informationen måste vara desto tydligare för att det ska vara möjligt att förstå innebörden av personuppgiftsbehandlingen.

Ett tydligt syfte med personuppgiftsbehandlingen

Den personuppgiftsansvarige får inte använda dina personuppgifter för ett syfte som inte stämmer med anledningen till att uppgifterna samlades in.

Om den personuppgiftsansvarige i efterhand kommer på att dina personuppgifter ska användas för något nytt syfte ska du bli informerad.

Du har rätt att få felaktiga uppgifter rättade

Om du märker att den personuppgiftsansvarige har uppgifter om dig som inte är korrekta, kan du i många fall begära att uppgifterna ska rättas. Rättelsen kan exempelvis göras genom att du får lämna ett kompletterande utlåtande.

Du kan ha rätt att ta bort en uppgift om dig själv

Vid vissa tillfällen har du rätt att begära att dina personuppgifter blir raderade. Du har till exempel alltid möjlighet att invända mot att dina personuppgifter används för att skicka reklam till dig. Denna rätt gäller vid fler tillfällen, exempelvis om

  • personuppgifterna inte längre är nödvändiga utifrån varför de samlades in
  • personuppgifterna behandlats olagligt
  • du har tagit tillbaka ditt samtycke och den personuppgiftsansvarige inte har någon annan rättslig grund för att behålla uppgifterna.

Undantag: Det finns dock undantag från rätten till radering, eftersom företaget kan behöva ha kvar dina personuppgifter för att uppfylla andra krav. Vissa personuppgifter är till exempel nödvändiga för bokföringen. Företaget kan också behöva ha kvar dina personuppgifter för att kunna säkra eller försvara något som de kan ha rätt till enligt lag.

Flytta dina personuppgifter

Under vissa förutsättningar kan du hämta ut dina personuppgifter för att kunna använda dem någon annanstans, exempelvis hos ett konkurrerande företag. Det kallas för dataportabilitet. Detta gäller om organisationen som du vill få ut personuppgifterna från behandlat uppgifterna med stöd av ditt samtycke eller för att uppgifterna varit nödvändiga för att utföra ett avtal. Behandlingen av dina personuppgifter måste också ha skett på ett automatiserat sätt – det gäller alltså oftast inte om uppgifterna endast finns hos den personuppgiftsansvarige i pappersformat.

Uppgifterna ska, om det är tekniskt möjligt, kunna överföras direkt från en verksamhet till en annan. I annat fall ska du få uppgifterna i ett format som gör att informationen kan användas vidare.

Obs! Myndigheter kan vanligtvis inte basera sin behandling av dina personuppgifter på ett samtycke eller ett avtal. Detta betyder att du normalt inte har rätt att hämta ut dina personuppgifter från en myndighet med krav på att materialet ska kunna gå att flytta.

Du ska kunna påverka och ha insyn i automatiserade beslut

Vissa organisationer automatiserar sina beslut utifrån dina personuppgifter genom att använda algoritmer. Denna typ av beslut är tillåtna om det krävs för ett avtal mellan dig och den personuppgiftsansvarige eller om det tillåts genom lag.

Automatiserade beslut kan skapa rättsliga följder eller påverka dig på något annat liknande sätt.

Det kan exempelvis gälla ett automatiserat avslag på en kreditansökan på internet eller ett nekande besked i en e-rekrytering som skett utan mänsklig inblandning. I dessa fall måste organisationen:

  • tala om för dig att beslutet är automatiserat
  • ge dig rätt att få det automatiserade beslutet granskat av en riktig person
  • låta dig bestrida det automatiserade beslutet.