Rätten att begränsa behandlingen av uppgifter

Den registrerade kan begära att den personuppgiftsansvarige begränsar behandlingen av personuppgifter som gäller honom eller henne.

Begränsning av behandlingen innebär att personuppgifter som omfattas av begränsningen får behandlas för andra syften än förvaring enbart

  • med samtycke av den registrerade
  • för att fastslå, göra gällande eller försvara rättsliga anspråk
  • skydda en annan fysisk persons eller juridisk persons rättigheter eller
  • av orsaker som gäller ett viktigt allmänt intresse hos unionen eller en medlemsstat.

En sådan rätt föreligger i följande situationer:

  • Den registrerade bestrider att personuppgifterna är korrekta. I så fall begränsas behandlingen för den tid som krävs för den personuppgiftsansvarige att säkerställa att uppgifterna stämmer.
  • Behandlingen är lagstridig, men den registrerade gör en invändning mot raderingen av personuppgifter och kräver i stället att användningen av dessa begränsas.
  • Den personuppgiftsansvarige behöver inte längre dessa personuppgifter för behandlingssyftena, men den registrerade behöver dem för att fastslå, göra gällande eller försvara rättsliga anspråk.
  • Den registrerade har gjort en invändning mot behandlingen av personuppgifter för ett annat syfte än direktmarknadsföring, och man väntar på att det fastställs om den personuppgiftsansvariges intressen väger tyngre än den registrerades intressen.

Om behandlingen begränsats, ska den personuppgiftsansvarige underrätta den registrerade innan begränsningen av behandlingen avlägsnas.

Behandlingen kan begränsas till exempel genom att överföra de valda uppgifterna till ett annat behandlingssystem, förhindra användarnas tillgång till uppgifterna eller genom att avlägsna publicerade uppgifter från webbplatsen.

Hur snabbt ska den personuppgiftsansvarige besvara en begäran av en registrerad?

Den personuppgiftsansvarige ska svara till den registrerade utan oskäligt dröjsmål, i varje fall inom en månad från mottagandet av begäran. I svaret ska den personuppgiftsansvarige redogöra för de åtgärder som denne vidtagit med anledning av begäran.

Om antalet begäranden är många eller om de är komplicerade, kan den personuppgiftsansvarige i sitt svar meddela att mer tid behövs för handläggningen. I så fall kan den utsatta tiden förlängas med högst två månader. Förlängningen av den utsatta tiden ska motiveras.

Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till tillsynsmyndigheten och att använda andra rättsmedel.

Är det möjligt att ta ut en avgift av den registrerade?

I princip är det avgiftsfritt att utöva en rättighet.

Om begäranden om begränsning är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran.

Begäranden kan ses som uppenbart omotiverade eller orimliga i synnerhet om de framförs på återkommande sätt. Den personuppgiftsansvarige ska kunna visa att en begäran är uppenbart omotiverad eller orimlig.

Vid eventuellt påförande av en avgift ska man beakta de administrativa kostnaderna för överlämnande av uppgifter eller meddelanden eller vidtagande av den begärda åtgärden.

Är det möjligt att vägra att tillmötesgå en begäran?

Den personuppgiftsansvarige bedömer om förutsättningarna för begränsning av behandling av uppgifter är uppfyllda. Om den personuppgiftsansvarige anser att rätt att begränsa behandling av uppgifter inte föreligger, kan den vägra att tillmötesgå begäran. Den registrerade kan överföra ärendet för behandling av dataombudsmannen.

Om den registrerades begäranden är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran.

Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till dataombudsmannen och använda andra rättsmedel.

Ge information om begränsningen av behandlingen

Den personuppgiftsansvarige ska i mån av möjlighet underrätta varje mottagare av personuppgifter om begränsningen av behandlingen av personuppgifter. Den personuppgiftsansvarige ska underrätta de registrerade om dessa mottagare, om den registrerade så begär.

Styrkande av den registrerades identitet

Den personuppgiftsansvarige ska kunna styrka identiteten hos en registrerad som utövar sina dataskyddsrättigheter. Om den personuppgiftsansvarige har motiverade skäl att tvivla på identiteten hos den som framfört en begäran, kan den be att denna ger närmare uppgifter för att styrka identiteten.

Dataskyddsförordningen innehåller inte bestämmelser om hur den registrerades identitet ska styrkas. Ofta finns det redan lämpliga förfaranden. Det är möjligt att den personuppgiftsansvarige styrkt identiteten hos den registrerade till exempel redan innan ett avtal ingåtts eller ett samtycke till behandling inhämtats. I så fall kan dessa personuppgifter användas för att fastställa identiteten också då det handlar om tillgodoseende av den registrerades rättigheter.

Om den personuppgiftsansvarige begär närmare uppgifter för att styrka identiteten, får detta inte leda till orimliga krav eller insamling av personuppgifter som inte är väsentliga eller nödvändiga.

Om den personuppgiftsansvarige inte kan identifiera den registrerade, ska den i mån av möjlighet underrätta den registrerade om detta.

Om den personuppgiftsansvarige vägrar att tillmötesgå en begäran av en registrerad på grund av att denne inte kan identifieras, ska den personuppgiftsansvarige kunna visa att den inte kan styrka den registrerades identitet.

Om den registrerade inte kan identifieras, kan han eller hon inte utöva sina rättigheter att

  • få tillgång till uppgifter
  • rätta uppgifter
  • radera uppgifter
  • begränsa behandlingen av uppgifter
  • flytta uppgifterna mellan system.

Den registrerade kan dock överlämna närmare uppgifter för identifieringen.

När behöver inte identiteten styrkas?

Personuppgifter får förvaras i en form som möjliggör identifiering av den registrerade enbart så länge som det är nödvändigt för behandlingens syfte.

Om personuppgifter som möjliggör identifiering inte är nödvändiga för syftet för behandlingen av personuppgifter, ålägger inte dataskyddsförordningen den personuppgiftsansvarige att förvara, inhämta eller behandla sådana tilläggsuppgifter enbart för att iaktta dataskyddsförordningen.

Läs mer:

Dataskyddsförordningen: artiklarna 12, 18 och 19