GDPR

Kapitel III – Den registrerades rättigheter
Avsnitt 1 – Insyn och villkor
12. Klar och tydlig information och kommunikation samt klara och tydliga
villkor för utövandet av den registrerades rättigheter
1. Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt
artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt
tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som
är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan
form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får
informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på
andra sätt.
2. Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter i
enlighet med artiklarna 15–22.
3. Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade
information om de åtgärder som vidtagits enligt artiklarna 15–22.
5. Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och
samtliga åtgärder som vidtas enligt artiklarna 15–22 ska tillhandahållas kostnadsfritt.
Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund
av deras repetitiva art, får den personuppgiftsansvarige antingen
a) ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla
den information eller vidta den åtgärd som begärts, eller
b) vägra att tillmötesgå begäran.
Avsnitt 2 – Information och tillgång till personuppgifter
13. Information som ska tillhandahållas om personuppgifterna samlas in från
den registrerade
1. Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska
den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna
information om följande:
a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall
för dennes företrädare.
b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den
rättsliga grunden för behandlingen.
d) Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en
tredje parts berättigade intressen.
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i
förekommande fall.
f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till
ett tredjeland eller en internationell organisation och huruvida ett beslut av
kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de
överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till
lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var
dessa har gjorts tillgängliga.
2. Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna lämna den registrerade följande ytterligare information, vilken
krävs för att säkerställa rättvis och transparent behandling:
a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är
möjligt, de kriterier som används för att fastställa denna period.
b) Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och
rättelse eller radering av personuppgifter eller begränsning av behandling som rör den
registrerade eller att invända mot behandling samt rätten till dataportabilitet.
c) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en
rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av
behandlingen på grundval av samtycket, innan detta återkallades.
d) Rätten att inge klagomål till en tillsynsmyndighet.
e) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt
krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den
registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av
att sådana uppgifter inte lämnas.
f) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1
och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om
logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den
registrerade.
14. Information som ska tillhandahållas om personuppgifterna inte har
erhållits från den registrerade
1. Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande information:
a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall
för dennes företrädare.
b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den
rättsliga grunden för behandlingen.
d) De kategorier av personuppgifter som behandlingen gäller.
e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i
förekommande fall.
f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till
en mottagare i ett tredjeland eller en internationell organisation och huruvida ett beslut
av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de
överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning till
lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var
dessa har gjorts tillgängliga.
2. Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den
registrerade följande information, vilken krävs för att säkerställa rättvis och transparent
behandling när det gäller den registrerade:
a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är
möjligt, de kriterier som används för att fastställa denna period.
b) Om behandlingen grundar sig på artikel 6.1 f, den personuppgiftsansvariges eller en
tredje parts berättigade intressen.
c) Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och
rättelse eller radering av personuppgifter eller begränsning av behandling som rör den
registrerade och att invända mot behandling samt rätten till dataportabilitet.
d) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som
helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på
grundval av samtycket, innan detta återkallades.
e) Rätten att inge klagomål till en tillsynsmyndighet.
f) Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt
ursprung i allmänt tillgängliga källor.
g) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1
och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den
registrerade.
3. Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2
a) inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom
en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna
behandlas,
b) om personuppgifterna ska användas för kommunikation med den registrerade, senast
vid tidpunkten för den första kommunikationen med den registrerade, eller
c) om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna
lämnas ut för första gången.
15. Den registrerades rätt till tillgång
1. Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida
personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till
personuppgifterna och följande information:
a) Ändamålen med behandlingen.
b) De kategorier av personuppgifter som behandlingen gäller.
c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats
eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.
d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras
eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
e) Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller
radering av personuppgifterna eller begränsningar av behandling av personuppgifter som
rör den registrerade eller att invända mot sådan behandling.
f) Rätten att inge klagomål till en tillsynsmyndighet.
g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information
om varifrån dessa uppgifter kommer.
3. Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade
begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade
inte begär något annat.
Avsnitt 3 – Rättelse och radering
16. Rätt till rättelse
Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få
felaktiga personuppgifter som rör honom eller henne rättade.
17. Rätt till radering ("rätten att bli bortglömd")
1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få
sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan
onödigt dröjsmål radera personuppgifter om något av följande gäller:
a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in
eller på annat sätt behandlats.
b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt
artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för
behandlingen.
2. Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1
är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av
tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet
tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller
kopior eller reproduktioner av dessa personuppgifter.
3. Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av
följande skäl:
a) För att utöva rätten till yttrande- och informationsfrihet.
b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller
enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller
för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som
utförs av den personuppgiftsansvarige.
c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och
i samt artikel 9.3.
d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål
eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i
punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den
behandlingen.
e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
18. Rätt till begränsning av behandling
1. Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen
begränsas om något av följande alternativ är tillämpligt:
a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den
personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.
b) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna
raderas och i stället begär en begränsning av deras användning.
c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen
med behandlingen men den registrerade behöver dem för att kunna fastställa, göra
gällande eller försvara rättsliga anspråk.
d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på
kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den
registrerades berättigade skäl.
2. Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med
undantag för lagring, endast behandlas med den registrerades samtycke eller för att
fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan
fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för
unionen eller för en medlemsstat.
3. En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas
av den personuppgiftsansvarige innan begränsningen av behandlingen upphör.
19. Anmälningsskyldighet avseende rättelse eller radering av personuppgifter
och begränsning av behandling
Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna
har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar
av behandling som skett i enlighet med artiklarna 16, 17.1 och 18, om inte detta visar sig
vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige
ska informera den registrerade om dessa mottagare på den registrerades begäran.
20. Rätt till dataportabilitet
1. Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och
som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt
använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan
personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om
a) behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a eller på ett
avtal enligt artikel 6.1 b, och
b) behandlingen sker automatiserat.
2. Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade
ha rätt till överföring av personuppgifterna direkt från en personuppgiftsansvarig till en
annan, när detta är tekniskt möjligt.
3. Utövandet av den rätt som avses i punkt 1 i den här artikeln ska inte påverka
tillämpningen av artikel 17. Den rätten ska inte gälla i fråga om en behandling som är
nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i
myndighetsutövning som utförs av den personuppgiftsansvarige.
4. Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett
ogynnsamt sätt.
Avsnitt 4
Rätt att göra invändningar och automatiserat individuellt beslutsfattande
21. Rätt att göra invändningar
1. Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha
rätt att när som helst göra invändningar mot behandling av personuppgifter avseende
honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar
sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla
personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen
som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker
för fastställande, utövande eller försvar av rättsliga anspråk.
2. Om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt
att när som helst invända mot behandling av personuppgifter som avser honom eller
henne för sådan marknadsföring, vilket inkluderar profilering i den utsträckning som denna
har ett samband med sådan direkt marknadsföring.
3. Om den registrerade invänder mot behandling för direkt marknadsföring ska
personuppgifterna inte längre behandlas för sådana ändamål.
4. Senast vid den första kommunikationen med den registrerade ska den rätt som avses i
punkterna 1 och 2 uttryckligen meddelas den registrerade och redovisas tydligt, klart och
åtskilt från eventuell annan information.
5. När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i
direktiv 2002/58/EG, får den registrerade utöva sin rätt att göra invändningar på
automatiserat sätt med användning av tekniska specifikationer.
6. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller
statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig
till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av
personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att
utföra en uppgift av allmänt intresse.
22. Automatiserat individuellt beslutsfattande, inbegripet profilering
1. Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på
automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller
henne eller på liknande sätt i betydande grad påverkar honom eller henne.
2. Punkt 1 ska inte tillämpas om beslutet
a) är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och
den personuppgiftsansvarige,
b) tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den
personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för
den registrerades rättigheter, friheter och berättigade intressen, eller
c) grundar sig på den registrerades uttryckliga samtycke.
3. I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga
åtgärder för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen,
åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna
utrycka sin åsikt och bestrida beslutet.
4. Beslut enligt punkt 2 får inte grunda sig på de särskilda kategorier av personuppgifter som
avses i artikel 9.1, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda
den registrerades berättigade intressen har vidtagits.