Datainspektionen inleder nu en granskning av klagomål som har inkommit från enskilda med anledning av personers rättigheter vid behandling av deras personuppgifter. Datainspektionen har tidigare företagit mer generella granskningar av organisationer och kommer nu koncentrera flera utredningar kring enskilda klagomål för individuell granskning.
Datainspektionen tar emot klagomål från personer som upplever att deras personuppgifter har behandlats på ett sätt som strider mot dataskyddsförordningen och det syns en tydlig ökning av anmälningar om klagomål det senaste året. Ökningen beror till stor del på en ökad medvetenhet och en förväntan på organisationer och företag om att personuppgifter ska behandlas med säkerhet och i enlighet med regleringen.
Många av klagomålen rör de rättigheter som personer har enligt dataskyddsförordningen vid organisationer och företags behandling av deras personuppgifter. Rättigheterna syftar till att ge personer kännedom och kontroll över hur deras personuppgifter behandlas. En av rättigheterna är att personer kan begära registerutdrag från det företag eller organisation som behandlar uppgifter om personen. Personen ska då få information om vilka uppgifter som
behandlas om personen, hur uppgifterna behandlas, hur dessa har samlats in, vilka de kan komma att lämnas ut till eller har lämnats ut till, samt vad syftet är med behandlingen. En annan rättighet är rätten till rättelse, dvs att personen kan vända sig till företaget eller organisationen och begära att få felaktiga uppgifter som behandlas rättade. Personer kan också ha rätt till radering, innebärandes att person kan begära att få uppgifterna om sig själv raderade. Företaget eller organisationen som får en begäran om radering behöver pröva om de ska radera personuppgifterna eller om det finns skäl att tillämpa något av undantagen för fortsatt behandling.
Dataskyddsförordningen tar upp fler rättigheter än ovan nämnda som företag och organisationer är skyldiga att leva upp till och förutom att tillse att rättigheterna kan uppfyllas behöver företag och organisationer även informera personer vars uppgifter de behandlar om vilka rättigheter personerna har. Ett företag eller organisation som behandlar personuppgifter i strid med förordningen och orsakar skada för en person vars personuppgifter som behandlas, kan bli skadeståndsskyldig gentemot personen. Därutöver kan Datainspektionen besluta att företaget eller organisationen ska betala en administrativ sanktionsavgift vid överträdelse av förordningen.
Tidigare publicerat i Affärsstaden 10 – 2020
Jessica Tornberg
Biträdande jurist
Maminza Advokatbyrå AB
