Ge ut information till en registrerad som begär det
Enligt GDPR ska ett företag ge ut information till en registrerad som begär det angående vilka personuppgifter som företaget behandlar om denne. Däremot finns det tillfällen där företaget inte behöver ge ut information. Om den registrerade redan har tillgång till informationen, behöver företaget inte ge ut det. Företag som behandlar personuppgifter, ska följa GDPR. Konsekvensen kan annars i värsta fall bli att IMY tilldelar sanktionsavgifter.
Ge ut information till en registrerad enligt GDPR
När ett företag ska behandla personuppgifter som tillhör en person, ska företaget lämna ut information om bland annat vilken rättslig grund de använder för behandlingen. Företaget ska också informera om syftet med behandlingen. Exempelvis gäller detta om en person laddar ner en mobilapplikation där denne ska skapa ett konto och företaget i samband med registreringen behandlar personuppgifter. Vid sådana fall ska företaget ge ut informationen innan eller i samband med behandlingen. Exempelvis sker detta genom att företaget upprättar en integritetspolicy, även kallad för dataskyddspolicy.
Skriftliga rutiner
Företaget bör ha skriftliga rutiner för hur medarbetare ska agera när en registrerad begär att få ut information om sig själv. Motsvarande gäller om någon vill få sina personuppgifter raderade. Enligt GDPR har en person rätt att begära att ett företag ska radera personuppgifterna som de behandlar. Detta är kallat för rätten att bli bortglömd. Däremot finns det undantag för företag som har en laglig grund till behandlingen. Exempelvis kan ett företag vara skyldig att behandla personuppgifter under den tid som framgår i bokföringslagen, vilket i sådana fall är tillåtet enligt GDPR.
Ett vanligt fel företag gör
Ett vanligt fel som företag gör gällande att ge ut information till en person vars personuppgifter företaget behandlar, är att inte informera personen om behandlingen när denne kontaktar företaget genom ett kontaktformulär på hemsidan. Om ett företag har ett kontaktformulär på sin webbplats, där en person kan skriva in sina personuppgifter och skicka ett meddelande, behandlar företaget personuppgifter. Därför måste företaget ge ut information angående behandlingen till personen innan denne skickar meddelandet till företaget. Dessutom måste företaget kunna styrka att de har fått samtycke till behandlingen. Därför är det bra att lägga till en kryssruta som personen måste godkänna, innan meddelandet blir skickat. Men samtycket måste bli lämnat frivilligt. Det är därför inte tillåtet med förkryssade rutor för samtycke.
Mer information
Här kan du läsa mer om:
Radera personuppgifter utan onödigt dröjsmål.
Inte tillåtet med muntliga personuppgiftsbiträdesavtal.
Två vanliga rättsliga grunder företag använder.
Varför kreditkortsnummer inte är känslig personuppgift.
Personuppgifter & kontrollera ålder på unga användare.
Grundläggande principer vid behandling av personuppgifter enligt GDPR.
Fler inlägg om juridik
Lagen kräver publicerat cookiemeddelande på webbplatser
Visste du att lagen kräver ett publicerat cookiemeddelande på webbplatser som använder cookies, oavsett vilka typer av cookies som blir
Dela detta inlägg: