Du är förmodligen medveten om konsumentens rättigheter: De är de regler som organisationer måste följs för att förhindra att kunderna utnyttjas. Detaljerna varierar mellan lagar, men de innehåller nästan alltid rätten att vara säker, informerad och kunna avlämna klagomål.
Trots att dessa rättigheter inte återspeglar hur konsumentkulturen har utvecklats under senare år. Varor och tjänster utväxlas nu för tiden ofta mot den enskildes personuppgifter och därför behövs liknande regler för sättet som informationen behandlas.
Det är här som EG:s General Data Protection Regulation (GDPR) kommer in. Mycket har skrivits om förordningens omfattande krav och potentialen för massiva böter för dataöverträdelser, men det är allt för att skapa en miljö i vilken den enskilde kan dela sin information utan att behöva oroa sig om hur säkert det är.
Den registrerades rättigheter
GDPR ger den enskilde åtta rättigheter:
1. Rätten att bli informerad: Organisationer behöver tala om för den enskilde vilka personuppgifter som samlas in, hur de används, hur länge de kommer att behållas och om de kommer att delas med eventuell tredje parter. Denna information måste kommuniceras koncist och i klartext.
2. Rätt till åtkomst: Enskilda kan lämna in ansökan om åtkomst till ämne, vilket tvingar organisationer att lämna ut en kopia av eventuella personuppgifter rörande den enskilde. Organisationer har en månad på sig för att ta fram information även om det finns undantag för förfrågningar som är uppenbart ogrundade eller överdrivna.
3. Rätten till rättelse: Om den enskilde upptäcker att den information som organisationen har om honom/henne är felaktig, ej komplett, kan han/hon begära uppdatering. Precis om med åtkomsträtt har organisationer en månad på sig för att göra detta och samma undantag gäller här också.
4. Rätt till borttagning, radering (också känt som rätten att bli bortglömd’): Enskilda kan begära att organisationer radera deras personuppgift under vissa omständigheter, som tex. när uppgifterna inte längre behövs, uppgifterna har behandlats olagligt eller uppfyller inte längre den rättsliga grund för vilka de insamlades. Detta omfattar tillfällen när den enskilde tar tillbaka sitt medgivande.
5. Rätten att begränsa bearbetningen: Enskilda kan begära att organisationen begränsar sättet på vilket organisationen använder personuppgifter. Det är ett alternativ till att begära radering av personuppgift och kan användas när den enskilde ifrågasätter riktigheten i sina personuppgifter eller när han/hon inte längre behöver informationen men organisationen kräver att behålla den för att fastställa, utöva eller försvara ett rättsligt anspråk.
6. Rätten till dataöverförbarhet: Detta gör det möjligt för den enskilde att hämta och återanvända sina personuppgifter för sina egna ändamål inom olika sektorer. Denna rättighet gäller personuppgifter som en enskild har lämnat till uppgiftskontrollanter genom ett avtal eller genom medgivande.
7. Rätt att göra invändningar: Enskilda kan resa invändningar mot behandling av personuppgift som har samlats in av legitima intressen eller för utförande av en uppgift av myndighet. Organisationer måste upphöra med behandling av information såvida de inte kan visa på tvingande legitima grunder för behandling som strider mot den enskildes intressen, rättigheter och friheter eller om behandlingen är avsedd för fastställande eller upprättande av försvar av rättsliga krav.
8. Rättigheter i samband med automatiserat beslutsfattande inklusive profilering: GDPR innehåller bestämmelser för beslutsfattande utan mänsklig inblandning, som tex. Profilering, som använder personuppgifter för att göra beräknade antaganden om en enskild person. Det finns stränga regler för denna form av behandling och enskilda har tillstånd att ifrågasätta och begära en granskning av behandlingen av de tror att reglerna inte följs.
GDPR Personal Awareness E-learning Kurser
Även om vissa av dessa rättigheter existerade i tidigare dataskyddslagar, har GDPR stärkt reglerna för detta förfarande avsevärt och organisationerna måste planera i enlighet med detta. Ett av de viktigaste stegen är att utbilda anställda i hur man korrekt hanterar sådana förfrågningar. Detta kräver välgrundad kunskap om GDPR och på vilket annat sätt organisationen och den registrerade personen påverkas.
Vår GDPR Personal Awareness E-learning Kurser lär de anställda allting de behöver känna till om Förordningen, inklusive:
- De viktigaste principerna för skydd av uppgifter;
- Omfattningen av GDPR;
- De sex principerna för insamling och behandling av personuppgifter; och
- Hur man följer GDPR.
