Att samla in dina personuppgifter och dela dem vidare med tredje part är en viktig del av affärsmodellen hos många företag (till exempel leverantörer av sociala medier och leverantörer av email-tjänster). De använder sig av personuppgifterna i din offentliga profil på sina respektive plattformar för att kartlägga din virtuella identitet. Det är bra att tänka på att företagen möjligtvis använder sig av mer information än den du aktivt väljer att dela med dem. Till exempel kan din email, din plats eller de hemsidor du visar intresse för spåras. All information de lyckas samla in om dig såsom dina intressen och dina preferenser bidrar till att kartlägga din virtuella identitet. Företagen tjänar sedan pengar på att använda dina personuppgifter till riktad marknadsföring.
Special Eurobarometer 487b QB11, 2019
Europeiska kommissionen har genomfört en enkätundersökning av hur européers social medier-vanor ser ut. I undersökningen tillfrågades 27 000 européer om de någonsin hade försökt ändra integritetsinställningarna för en personlig profil på ett socialt nätverk.
Svaret blev att en majoritet (56 %) av de som svarat på undersökningen faktiskt försökt ändra sina integritetsinställningar. 1 % svarade ”vet ej”. En stor grupp, 43 % av de tillfrågade, svarade” nej”. Det vanligaste skälet för ett ”nej” var att de tillfrågade litade på att hemsidesleverantör använde lämpliga integritetsinställningar. Näst vanligast orsak till ”nej”, med knapp marginal, var att de inte visste hur de kunde ändra sina inställningar.
Hur du kan ta kontroll över din virtuella identitet
Med GDPR kom nya regler för skydd av personuppgifter vilket innebar utökade rättigheter för de registrerade (de personer vars personuppgifter behandlas). Om ett företag baserar sin behandling av dina personuppgifter på ditt samtycke, har du som registrerad alltid rätt att ta tillbaka det samtycket. Men hur vet man om en personuppgiftsbehandling bygger på samtycke? Det är faktiskt ganska enkelt:
- För det första måste företaget informera dig om att de vill behandla dina personuppgifter baserat på ditt samtycke,
- För det andra måste du ha fått möjlighet att uttrycka ditt samtycke genom en aktiv viljeyttring,
- Slutligen ska ditt samtycke ha getts frivilligt! Ett företag får aldrig tvinga dig att samtycka till en personuppgiftsbehandling.
För dig som registrerad är det dessutom alltid bra att läsa igenom de allmänna villkoren (ofta kallade ”terms and conditions”) för onlineplattformarna du använder. Särskilt viktigt är att förstå om och på vilket sätt dina personuppgifter delas med tredje part.
Missnöjd med hur dina personuppgifter används?
Skulle ett företag inte följa reglerna om dataskydd kan du alltid lämna in ett klagomål till Integritetsskyddsmyndigheten. Detta går att göra via myndighetens e-tjänst. Om du har lidit skada på grund av att dina personuppgifter har behandlats på ett felaktigt sätt kan du också ha rätt till skadestånd från personuppgiftsansvarig eller personuppgiftsbiträdet som varit involverade i behandlingen. Utöver detta ger GDPR dig ett antal andra rättigheter som kan vara bra att känna till:
- Rätt att få information om när och hur dina personuppgifter behandlas.1
- Rätt att begära rättelse av dina personuppgifter, när uppgifterna är felaktiga eller viktig information saknas.2
- Rätt till radering av dina personuppgifter, bland annat när uppgifterna inte längre behövs för de ändamål som uppgifterna samlades in för.3
- Rätt till begränsning av behandlingen, till exempel när du anser att personuppgifterna är oriktiga och har begärt rättelse. 4
- Rätt till dataportabilitet, när behandlingen bygger på den lagliga grunden samtycke eller fullgörande av avtal. 5 Detta ger dig till exempel rätt att flytta dina personuppgifter från en sociala medier plattform till en annan.
- Rätt att göra invändningar mot personuppgiftsbehandlingen i vissa fall, bland annat när behandlingen görs för att utföra en uppgift av allmänt intresse och när dina uppgifter används till direktmarknadsföring.
Sammanfattningsvis: för att ta kontroll över din virtuella identitet är det bra att ha dina rättigheter i åtanke och se till att optimera dina integritetsinställningar utifrån dina önskemål!
Vad företag behöver tänka på
När ni är personuppgiftsansvariga måste ni alltid informera den registrerade om hur ni behandlar hans eller hennes personuppgifter. Kort sagt måste ni tala om att ni behandlar personuppgifter, vilka personuppgifter ni behandlar, hur ni behandlar uppgifterna och varför ni behandlar uppgifterna (vanligen sammanställs sådan information i en personuppgiftspolicy, som du kan läsa mer om här). Ni måste också informera den registrerade om ni delar uppgifterna med tredje part, d.v.s. andra organisationer.
När ni behandlar personuppgifter måste ni stödja er på en laglig grund. Som diskuterats ovan kan den lagliga grunden ”samtycke” alltid återkallas av den registrerade. Ni bör därför stödja er på samtycke endast om ingen av de andra lagliga grunderna är tillämplig på behandlingen. Ni kan läsa mer om de olika lagliga grunderna för personuppgiftsbehandling i ett tidigare blogginlägg.
Fler frågor?
Om du har fler frågor om GDPR eller ditt ansvar som personuppgiftsansvarig eller personuppgiftsbiträde, är du varmt välkommen att kontakta oss antingen via mejlen info@gdprhero.se eller via telefon 046-273 17 17.
Fotnoter
- Se artikel 12, 13 och 14 GDPR.
- Se artikel 16 GDPR.
- Se artikel 17 GDPR.
- Se artikel 18 GDPR.
- Se artikel 20 GDPR.