När du blir kund hos ett företag samlar företaget ofta in uppgifter om dig för att till exempel kunna leverera den vara eller tjänst du köpt eller skicka erbjudanden till dig. Företaget måste följa reglerna i dataskyddsförordningen, som att ha en rättslig grund för behandlingen av personuppgifter och ge tydlig information om hur dina uppgifter används.
Personuppgift – mer än namn och adress
Personuppgifter är uppgifter som enskilt eller i kombination med andra uppgifter kan knytas till en fysisk levande person, till exempel
- namn, personnummer
- adress, e-postadress, telefonnummer
- foton och ljudupptagningar
- betalningsuppgifter som konto- eller betalkortsnummer.
Vad är en personuppgiftsbehandling?
En personuppgiftsbehandling innebär att ett företag hanterar dina uppgifter på något sätt, till exempel samlar in, registrerar, lagrar, ändrar eller lämnar ut uppgifter om dig.
Lämna personnummer för att få bonus
ExempelEn butik frågar om legitimation för att du ska kunna få bonus för ditt köp och registrerar i samband med köpet ditt personnummer.
Företaget måste ha en rättslig grund för behandlingen
När ett företag behandlar uppgifter om dig som kund måste det kunna stödja sig på någon av de rättsliga grunderna i dataskyddsförordningen. Om företaget inte har en rättslig grund är personuppgiftsbehandlingen inte laglig.
Avtal som rättslig grund
Ett företag får behandla uppgifter som är nödvändiga för att fullgöra ett avtal med dig eller för att vidta åtgärder på begäran av dig innan du ingår ett avtal. Det kan till exempel handla om att företaget behöver din adress för att företaget ska kunna leverera det som du har beställt hem till dig. Behandling av personuppgifter som inte är nödvändig för att fullgöra avtalet, till exempel i syfte att skicka reklam eller utvärdera företagets tjänst, kräver en annan rättslig grund.
Lämna personuppgifter för att få en offert
ExempelDu begär att få en offert av ett byggföretag för reparationer i din bostad innan du ingår ett avtal. Företaget registrerar då de uppgifter som det behöver om dig för att sedan kunna lämna en offert.
Samtycke som rättslig grund
Ett företag får också behandla personuppgifter med stöd av ett samtycke från dig. För att ett samtycke ska vara giltigt krävs att det är frivilligt och att du är införstådd med hur dina personuppgifter behandlas eller ska behandlas. Samtycket ska dessutom gälla en specifik personuppgiftsbehandling. Samtycket ska uttryckas genom en aktiv handling från dig och du har rätt att när som helst dra tillbaka det utan att det ska behöva leda till negativa konsekvenser för dig.
Det finns en missuppfattning om att ett samtycke alltid krävs för att en personuppgiftsbehandling ska vara tillåten. Om ett företag kan behandlar dina uppgifter med stöd av någon av de andra rättsliga grunderna är personuppgiftsbehandlingen tillåten utan ditt samtycke. Samtycke är alltså bara en av de olika rättsliga grunderna som ett företag kan stödja sig på.
Det är två olika saker att acceptera avtalsvillkor och att lämna sitt samtycke till behandling av personuppgifter. Sådan behandling av personuppgifter som inte är nödvändig för att fullgöra avtalet, utan till exempel sker för att skicka ut reklam eller utvärdera företagets tjänst, kräver en annan rättslig grund än avtal. För att den typen av behandling ska vara tillåten med stöd av ett samtycke krävs att du aktivt samtycker till varje sådan behandling för sig. Att den typen av behandlingar räknas upp i avtalsvillkoren innebär inte att du har samtyckt till dem när du ingår avtalet.
Återkalla samtycke
ExempelDu skriver upp dig på en butiks nyhetsbrev för att få ta del av butikens allmänna erbjudanden. Butiken begär sedan ditt samtycke för att få samla in information om dina köpvanor och skräddarsy erbjudanden till dig baserat på din köphistorik. Du återkallar efter en tid ditt samtycke för att få skräddarsydda erbjudanden. Butiken måste då sluta skicka ut skräddarsydda erbjudanden till dig eftersom den inte längre har en rättslig grund för att behandla dina uppgifter för det syftet. Du kan däremot fortfarande få ta del av butikens allmänna erbjudanden.
Intresseavvägning som rättslig grund
Ett företag får i vissa fall behandla dina personuppgifter med stöd av en intresseavvägning. I ett sådant fall behöver företaget inte ha ditt samtycke för att få behandla uppgifterna. Däremot krävs det att behandlingen behövs för ett berättigat intresse och att ditt intresse av skydd för dina personuppgifter inte väger tyngre.
Intresseavvägning som rättslig grund för att skicka reklam per post
ExempelDu får ett erbjudande från ett företag per post om att samla dina lån. Du har inte varit i kontakt med företaget tidigare och har heller inte registrerat dina uppgifter före reklamutskicket. Företaget kan i detta fall behandla ditt namn och din adress med stöd av en intresseavvägning för att kunna skicka erbjudandet till dig. Det betyder att ditt samtycke inte behövs.
I det fallet vägs skyddet för din personliga integritet mot företagets ekonomiska intresse av att kunna marknadsföra sig och/eller sina varor/tjänster. Du kan dock när som helst meddela företaget att du inte vill ha reklamutskick och då ska utskicken upphöra. Det ska vara enkelt för dig att säga ifrån att du inte längre vill ha reklam.
Personuppgifter ska behandlas på rätt sätt
När företag behandlar personuppgifter om dig som kund ska de säkerställa att uppgifterna är riktiga och, om nödvändigt, uppdaterade. Företag är också skyldiga att vidta säkerhetsåtgärder för att skydda dina personuppgifter från bland annat obehörig åtkomst och otillåten användning.
Personuppgifter får inte sparas längre än nödvändigt
Företag får inte spara uppgifter om dig längre än vad som är nödvändigt för ändamålet med personuppgiftsbehandlingen. Företag ska därför radera eller avidentifiera dina personuppgifter när de inte längre behövs. Det ska göras fortlöpande eller efter en viss tid, till exempel när kundförhållandet med dig upphör.
Företag får i vissa fall spara dina personuppgifter även när det inte längre är nödvändigt för att till exempel fullgöra avtalet med dig som kund eller efter det att du återkallat ett samtycke. Det gäller till exempel vid bokföring, eftersom bokföringslagen ställer krav på att vissa handlingar ska sparas under en viss tid. Företaget får i så fall inte använda dina personuppgifter för annat än bokföring eller spara uppgifter som inte behövs för bokföringen.
Nyhetsbrev och reklam
ExempelDu invänder mot att ett företag använder dina personuppgifter för att skicka nyhetsbrev och reklam till dig. Företaget får inte behandla dina personuppgifter för sådana ändamål när du har invänt mot behandlingen.
Dina rättigheter som kund
Du har rätt till information
Om ett företag behandlar dina personuppgifter ska du få information om detta. De ska bland annat informera om
- varför dina personuppgifter behandlas och vilken rättslig grund företaget använder
- om uppgifterna har lämnats eller kan komma att lämnas ut till tredje part
- hur länge uppgifterna kommer att lagras eller vad som avgör lagringstiden.
Du har rätt att få tillgång till dina personuppgifter
Du har rätt att vända dig till ett företag för att få veta vilka personuppgifter som företaget har om dig. Du ska bland annat få veta
- vilka personuppgifter om dig som behandlas
- varifrån uppgifterna kommer
- ändamålen med behandlingen
- vilka mottagare eller kategorier av mottagare som personuppgifterna eventuellt har lämnats ut till eller ska lämnas ut till.
Du har rätt att i vissa fall få dina personuppgifter raderade
Du har rätt att vända dig till ett företag som behandlar dina personuppgifter och be att uppgifterna raderas. De ska radera dina uppgifter när
- personuppgifterna inte längre är nödvändiga för ändamålet/syftet med behandlingen
- personuppgifterna har behandlats olagligt
- företaget inte längre har någon rättslig grund för att behandla uppgifterna.
Företag kan ibland behöva ha kvar dina personuppgifter för att uppfylla sina skyldigheter enligt annan lagstiftning, som till exempel vid bokföring. Företaget ska efter din eventuella begäran göra en bedömning av om informationen ska tas bort eller om det finns något stöd för att ha kvar uppgifterna.
Du har rätt att få felaktiga personuppgifter rättade
Du har rätt att vända dig till företag som behandlar dina personuppgifter och be att få felaktiga uppgifter som rör dig rättade. Du har också rätt att komplettera med relevanta personuppgifter som saknas hos den personuppgiftsansvariga. De som behandlar dina uppgifter har själva ett ansvar för att regelbundet se till att uppgifterna är riktiga och uppdaterade.
Du har rätt att få ut dina personuppgifter och eventuellt även överförda till ett annat företag
Du har under vissa förutsättningar rätt att få ut dina personuppgifter från ett företag där du är kund, så att du exempelvis kan använda uppgifterna hos ett annat företag. Denna rättighet gäller endast om företaget som du vill få ut personuppgifterna från har behandlat dina uppgifter med stöd av ditt samtycke eller för att uppgifterna varit nödvändiga för att fullgöra ett avtal. Det gäller också endast uppgifter som du själv lämnat till företaget.
Om du begär det och det är tekniskt möjligt ska uppgifterna överföras direkt från företaget till det andra företaget. I annat fall ska du få uppgifterna i ett format som gör att informationen kan vidareanvändas.
Överföringen får inte innebära en negativ påverkan på andra personers rättigheter och friheter, till exempel om det i dina uppgifter även finns personuppgifter om andra personer.