Den registrerades rättigheter

Dataskyddsförordningen föreskriver ett antal rättigheter för den registrerade – och för den personuppgiftsansvarige motsvarande skyldigheter. Den registrerade har t.ex. rätt att få omfattande infor-mation från den personuppgiftsansvarige. Inforinfor-mationen ska avse allt från den personuppgiftsansvariges kontaktuppgifter och vilka rättigheter den registrerade har till uppgifter om hur personuppgift-erna kommer att användas. Information som den registrerade redan känner till behöver inte lämnas. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte heller lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnads-plikt (artikel 12–14).

Den informationsskyldighet som framgår av dataskyddsförord-ningen är betydligt mer omfattande än den som föreskrevs i data-skyddsdirektivet. Nytt i förhållande till dataskyddsdirektivet är bl.a.

att om den personuppgiftsansvarige avser att behandla personupp-gifterna för ett annat syfte än det för vilket de samlades in, ska den registrerade få information om detta nya syfte samt övrig relevant information. Kontaktuppgifter till dataskyddsombudet, uppgift om tredjelandsöverföring, lagringstid, rätten att återkalla ett samtycke och rätten att inge klagomål är andra exempel på information som tillkommit. Regleringen av vid vilken tidpunkt information ska läm-nas om behandling av uppgifter som har samlats in från någon annan än den registrerade har också ändrats. Huvudregeln enligt data-skyddsdirektivet, att informationen ska lämnas vid tiden för regi-streringen, har ändrats på så sätt att information i stället ska lämnas inom en rimlig tid från erhållandet av uppgifterna. Det finns också möjlighet att informera först i samband med den första kommu-nikationen med den registrerade (artikel 13 och 14).

Vidare ställer dataskyddsförordningen i artikel 12.1 nya krav på att informationen som lämnas ska vara koncis, klar och tydlig, be-griplig och lättillgänglig.

Den registrerade kan också begära registerutdrag med informa-tion om bl.a. vilka uppgifter som behandlas om honom eller henne (artikel 15). Vidare finns möjlighet för den registrerade att få fel-aktiga personuppgifter som rör honom eller henne rättade och att under vissa förutsättningar få uppgifterna raderade eller åtminstone få behandlingen begränsad (artikel 16–18). Rätten till radering eller rätten att bli bortglömd följer av artikel 17 och är betydligt mer detaljerat reglerad än rätten till utplåning enligt dataskyddsdirekti-vet. Det finns vissa undantag till bestämmelsen. Bland annat gäller den inte för behandling som sker med stöd av grunderna i arti-kel 6.1 c och e (rättslig förpliktelse och arbetsuppgift av allmänt in-tresse eller som ett led i myndighetsutövning). Det finns också undantag för bl.a. arkivändamål.

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuell rättelse, radering av personuppgifter eller begränsning av behandling och den registrerade ska också kunna få information om dessa mottagare (artikel 19).

Personuppgifter som den registrerade har tillhandahållit den per-sonuppgiftsansvarige, ska på begäran lämnas ut i ett strukturerat, all-mänt använt och maskinläsbart format i syfte att kunna överlämnas till en annan personuppgiftsansvarig, s.k. dataportabilitet, men bara om behandlingen grundar sig på samtycke eller avtal (artikel 20). Denna rätt gäller inte i fråga om en behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myn-dighetsutövning som utförs av den personuppgiftsansvarige.

Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter som sker på den grunden att behand-lingen bedömts nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som led i myndighetsutövning alternativt med stöd av en intresseavvägning. Möjligheten att genom invändningar förhindra behandling av personuppgifter är utökad i förhållande till data-skyddsdirektivet. Om den registrerade invänder mot behandling av personuppgifter får den personuppgiftsansvarige inte längre be-handla uppgifterna, såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades in-tressen, rättigheter och friheter eller om det sker för fastställande,

utövande eller försvar av rättsliga anspråk. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att invända mot behand-ling av hans eller hennes personuppgifter. Detta gäller om inte behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 21) Dataskyddsförordningen möjliggör i likhet med dataskyddsdirektivet nationella undantag från rätten att invända mot behandling, men endast under de förutsättningar som anges i arti-kel 23.1 (se nedan). Det innebär att medlemsstaterna inte längre kan begränsa rätten att invända mot behandling genom generella bestäm-melser. För att kunna införa eventuella nationella begränsningar krävs det stället att en prövning görs mot artikel 23.1.

En ytterligare rättighet för den registrerade är att slippa bli före-mål för ett beslut som grundas enbart på automatiserad behandling, inbegripet profilering (artikel 22). Denna rättighet gäller dock inte om beslutet är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige, om beslutet tillåts enligt EU-rätt eller nationell rätt som också fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen eller om beslutet grundar sig på den registrerades uttryckliga samtycke.

Dataskyddsförordningen lämnar ett förhållandevis stort hand-lingsutrymme till medlemsstaterna att under vissa förutsättningar göra undantag från och modifiera ovan angivna rättigheter och skyldigheter. Enligt artikel 23.1 kan medlemsstaterna genom be-stämmelser i sin lagstiftning begränsa omfattningen av de skyldig-heter och rättigskyldig-heter som anges i artiklarna 12–22 och 34, samt artikel 5 i den mån dessa bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En sådan begränsning måste vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa olika uppräknade intressen, bl.a.

nationell säkerhet, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott, viktiga mål av generellt allmänt intresse (däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet), förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, en tillsyns-, inspektions- eller regleringsfunktion som har

samband med myndighetsutövning i fall som nämnts ovan och skydd av den registrerade eller andras rättigheter och friheter.

Om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller sta-tistiska ändamål, får det i EU-rätten eller i medlemsstaternas natio-nella rätt föreskrivas om undantag från vissa av den registrerades rättigheter. Det rör sig om rätten till registerutdrag, rättelse, begräns-ning av behandling och invändbegräns-ning mot behandling. Undantag får göras om det krävs för att uppnå ändamålet med behandlingen. Om personuppgifter behandlas för arkivändamål av allmänt intresse, får undantag även göras från kravet på dataportabilitet och kravet på att den personuppgiftsansvarige ska underrätta mottagare av person-uppgifter om eventuella rättelser, raderingar eller begränsningar av behandling som skett (artikel 89).

3.4.8 Personuppgiftsansvarigas och personuppgiftsbiträdens