meny

Vad dataskyddsförordningen innebär för dig som privatperson

Dataskyddsförordningen hjälper dig att ta kontrollen över dina personuppgifter

Dataskyddsförordningen (GDPR) hjälper dig ta kontrollen över dina personuppgifter genom att ge dig rättigheter över hur dina personuppgifter får användas.

En personuppgift är information om en identifierbar fysisk person

All information som handlar om fysiska personer som kan identifieras är personuppgifter.

Om du som privatperson äger en bil, är bilregistreringsnumret en personuppgift. Registreringsnumret kan nämligen kopplas till dig som fysisk person – det är möjligt att utläsa att du är bilägaren. Om bilen istället ägs av ett företag är bilregistreringsnumret inte en personuppgift, eftersom bilen inte kan kopplas till en fysisk person.

Det spelar ingen roll om du är direkt identifierbar genom uppgiften, eller om det krävs att ytterligare information inhämtas för att du ska kunna identifieras.

Exempel personuppgifter som gäller dig är ditt namn, din e-postadress, ett foto på dig, ditt ID-kortnummer och din IP-adress när du surfar på nätet.

Dataskyddsförordningen gäller i hela EU

GDPR gäller både om den som behandlar personuppgifter (den personuppgiftsansvarige) är etablerad i EU, eller om den personuppgiftsansvarige behandlar personuppgifter som rör personer i EU.

Du måste få information om vem som behandlar dina personuppgifter och varför

Den som behandlar dina personuppgifter måste ge dig tydlig information om hur uppgifterna används. Det innebär att du bl.a. ska få information om

  • i vilket syfte dina personuppgifter kommer användas,
  • hur länge dina uppgifter kommer att lagras,
  • om dina personuppgifter kommer delas med någon,
  • om dina uppgifter kommer att överföras utanför EU,
  • din rätt att lämna klagomål till en tillsynsmyndighet som Datainspektionen,
  • hur du tar tillbaka ditt samtycke, om du har lämnat det,
  • dina grundläggande dataskyddsrättigheter,
  • kontaktuppgifterna till den organisation som ansvarar för att behandla dina uppgifter, och deras dataskyddsombud om det finns ett sådant.

Informationen ska lämnas på ett sätt som är lätt att förstå och som är lätt att hitta. Det ställs särskilt höga krav på att information som riktar sig mot barn ska ges på ett tydligt sätt. Om personuppgiftsbehandlingen sker på ett komplicerat sätt, kan det betyda att informationen måste vara desto tydligare för att det ska vara möjligt att förstå innebörden av personuppgiftsbehandlingen.

Du ska få information om den rättsliga grunden till att behandla dina personuppgifter

En personuppgiftsansvarig måste ha en rättslig grund för att få behandla personuppgifter. Du ska alltid få information om vilken rättslig grund som gör det tillåtet att behandla dina personuppgifter.En rättslig grund kan vara att personuppgifterna krävs för ett avtal, om uppgifterna är nödvändiga för att den personuppgiftsansvariga ska kunna något ni kommit överens om. Behandlingen kan också stödjas av en intresseavvägning, om den personuppgiftsansvariges intressen väger tyngre än ditt intresse av att personuppgifterna skyddas. Myndigheter kan få behandla personuppgifter eftersom uppgifterna krävs för att de ska kunna utföra sina myndighetsuppgifter eller någon uppgift av allmänt intresse.

En annan rättslig grund är att du gett ditt samtycke till personuppgiftsbehandlingen. Det ställs dock höga krav för att ett samtycke ska vara giltigt, såsom att det ska ges frivilligt, informerat och genom en aktiv handling.

Läs mer om de olika rättsliga grunderna

Dina personuppgifter måste behandlas i enlighet med varför de samlades in

Den personuppgiftsansvarige får inte använda dina personuppgifter för ett syfte som är oförenligt med varför uppgifterna samlades in. Om den personuppgiftsansvarige i efterhand kommer på att dina personuppgifter ska användas för något nytt syfte ska du bli informerad. Det är dessutom så att det inte alltid är okej att använda personuppgifterna för något annat syfte.

Du har rätt att få felaktiga uppgifter rättade

Om du märker att den personuppgiftsansvarige har uppgifter om dig som inte är korrekta, kan du i många fall begära att uppgifterna ska rättas. Rättelsen kan exempelvis göras genom att du får lämna ett kompletterande utlåtande.

Du kan ha rätt att ta bort en uppgift om dig själv

Ibland har du rätt att begära att dina personuppgifter blir raderade. Det gäller bland annat om uppgifterna inte längre är nödvändiga utifrån varför de samlades in, om uppgifterna behandlats olagligt eller om har tagit tillbaka ditt samtycke och den personuppgiftsansvarige inte har någon annan rättslig grund att behålla uppgifterna.

Det finns dock undantag till denna rätt. Exempelvis kan den personuppgiftsansvarige behöva ha kvar dina personuppgifter för att uppfylla ett krav i lagen, som om vissa uppgifter är nödvändiga för ett företags bokföring. Likaså kan organisationen behöva ha kvar dina uppgifter för att kunna säkra eller försvara något som den kan ha rätt till enligt lag.

Du har alltid möjlighet att invända mot att dina personuppgifter används för att skicka dig reklam.

Flytta dina personuppgifter

Under vissa förutsättningar har du möjlighet att hämta ut uppgifter som gäller dig för att kunna använda personuppgifterna någon annanstans, exempelvis hos ett konkurrerande företag.Detta gäller om organisationen som du vill få ut personuppgifterna från behandlat uppgifterna med stöd av ditt samtycke eller för att uppgifterna varit nödvändiga för att utföra ett avtal. Behandlingen av dina personuppgifter måste också ha skett på ett automatiserat sätt – det gäller alltså oftast inte om uppgifterna endast finns hos den personuppgiftsansvarige i pappersformat.

Uppgifterna ska om det är tekniskt möjligt kunna överföras direkt från en verksamhet till en annan. I annat fall ska du få uppgifterna i ett format som gör att informationen kan användas vidare.Myndigheter kan vanligtvis inte basera sin behandling av dina personuppgifter på ett samtycke eller ett avtal. Detta betyder att du normalt inte har rätt att hämta ut dina personuppgifter från en myndighet med krav på att materialet ska kunna gå att flytta.

Du ska kunna påverka och ha insyn i automatiserade beslut

Vissa organisationer kan använda algoritmer för att fatta beslut om dig utifrån dina personuppgifter. Sådana beslut kan skapa rättsliga följder eller påverka dig på något annat liknande sätt. Det kan exempelvis vara ett automatiserat avslag på en kreditansökan på internet eller ett nekande besked i en e-rekrytering som skett utan mänsklig inblandning.

I dessa fall måste organisationen:

  • tala om för dig att beslutet är automatiserat,
  • ge dig rätt att få det automatiserade beslutet granskat av en riktig person,
  • låta dig bestrida det automatiserade beslutet.

Automatiserade beslut är tillåtna under vissa specifika omständigheter, exempelvis om det krävs för ett avtal mellan dig och den personuppgiftsansvarige eller om det tillåts genom lag.