Den registrerade har en rad rättigheter som är viktiga att ha koll på. En av dessa är rätten för den registrerade att göra invändningar. Här nedan utreds vad som är viktigt att tänka på vid denna rättighet.
Publicerad 2 juni 2021
Den registrerades rättigheter
Den person vars personuppgifter finns registrerade har genom GDPR ett antal rättigheter. Den registrerade har rätt till
- information,
- registerutdrag,
- radering (rätten att bli bortglömd),
- begränsning av behandling,
- dataportabilitet,
- att göra invändningar, samt
- rättigheter vid automatiserat beslutsfattande.
Kortfattat innebär dessa rättigheter att den registrerade ska kunna få information om när och hur dennes personuppgifter behandlas samt ha kontroll över sina egna uppgifter. Detta blogginlägg kommer att fokusera på rätten att göra invändningar, vilket regleras i artikel 21 i GDPR. Rätten att göra invändningar innebär att den registrerade i vissa fall har rätt att invända mot personuppgiftsbehandlingen.
För att enklast hålla koll på detta ska den personuppgiftsansvarige upprätta rutiner som gör att företaget på ett enkelt sätt kan kommunicera behandlingen av den registrerades personuppgifter vid önskemål. Om du är nyfiken kan du läsa mer här.
Rätten att göra invändningar
En av rättigheterna är som nämnt rätten att invända mot en behandling. En anledning till att en registrerad vill göra en invändning kan vara exempelvis att de registrerade personuppgifterna ifråga inte stämmer. Det kan också röra sig om att behandlingen av personuppgifterna är olaglig eller att personuppgifterna inte längre behövs för ändamålet. Ett mer specifikt exempel är att en registrerad har rätt att invända om bilder från ett event publiceras på nätet. Personen ska då veta vem den ska kontakta för att få bilden raderad. Det finns dock inga formella krav på hur en invändning ska se ut, den kan göras både muntligt och skriftligt.
Om den registrerade invänder mot behandling som sker för direktmarknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål. En sådan invändning kan göras när som helst. Ett exempel på detta är om du handlar kläder på nätet och efter köpet får reklamutskick för företagets kläder. Om du då informerar företaget att du inte vill ha mer reklam så måste företaget sluta använda dina personuppgifter för direktmarknadsföring.
Den registrerade har rätt att invända när det gäller personuppgifter som behandlas
- för att utföra en uppgift av allmänt intresse,
- som ett led i myndighetsutövning, och
- efter en intresseavvägning.
Om personen som är registrerad invänder mot behandlingen ska den personuppgiftsansvarige sluta behandla personuppgifterna om inte
- den personuppgiftsansvarige kan visa att det finns tvingande berättigande skäl för behandlingen som väger tyngre än den registrerades intressen, eller
- det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Information
Den personuppgiftsansvarige måste även ge information till de registrerade om rätten att göra invändningar. Denna information måste redovisas tydligt och vara åtskild från annan eventuell information.
Hur lång tid har den personuppgiftsansvarige på sig att reagera vid en begäran?
Den personuppgiftsansvarige ska svara på den registrerades begäran utan oskäligt dröjsmål, i varje fall inom en månad från mottagande av begäran. Den personuppgiftsansvarige ska i svaret till den registrerade redogöra för åtgärder som vidtagits med anledning av begäran.
Om det är så att antalet förfrågningar är många eller komplicerade, kan den personuppgiftsansvarige meddela att mer tid behövs för handläggningen. Den utsatta tiden kan då förlängas med högst två månader. Om en förlängning sker ska detta motiveras.
Kan man vägra att tillmötesgå en begäran?
Om en invändning utövas gällande en behandling som görs för direktmarknadsföring kan den personuppgiftsansvarige inte vägra tillgodose rättigheten. Om den enskilde invänder när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, när personuppgifter behandlas som ett led i myndighetsutövning eller när personuppgifter behandlas med stöd av en intresseavvägning får den personuppgiftsansvariga enbart fortsätta behandla personuppgifterna om det finns avgörande berättigade skäl.
Om den registrerades begäran är uppenbart omotiverad eller orimlig, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det kan röra sig exempelvis om att någon vid upprepade tillfällen begär samma sak. I detta fall ska den personuppgiftsansvarige visa på att begäran är omotiverad eller orimlig.
För det fall att den personuppgiftsansvarige vägrar tillmötesgå den registrerades begäran, ska den registrerade underrättas inom en månad från det att begäran togs emot. Den personuppgiftsansvarige ska även underrätta den registrerade om möjligheten att framföra klagomål till dataombudsmannen och att använda andra rättsmedel.
Kan ett företag ta ut kostnader för besväret?
Att göra en invändning ska vara kostnadsfritt. Vill en person däremot utöva sina rättigheter fler gånger hos en och samma personuppgiftsansvarige, kan denne ha rätt att ta ut en rimlig avgift för att täcka de administrativa kostnaderna. Avgiften får dock inte vara för hög, eftersom den personuppgiftsansvarige har skyldighet att underlätta för den som vill utöva sina rättigheter.