Riktlinjer för att tillvarata enskildas rättigheter

Instruktion för att tillvarata enskildas rättigheter

De personer vars personuppgifter behandlas, de registrerade, har ett antal
rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de registrerade bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen jämfört med personuppgiftslagen. Under respektive rättighet redogörs för hur förbundet arbetar för att tillvarata de registrerades rättigheter samt för att underlätta de registrerades utövande av rättigheterna.

  • Rätt till information vid insamlande av personuppgifter
  • Rätt till registerutdrag
  • Rätt till rättelse
  • Rätt till radering
  • Rätt till dataportabilitet
  • Rätt att invända mot behandling
  • Rätt att motsätta sig automatiserad behandling
  • Rätt att inge klagomål till tillsynsmyndighet
  • Rätt till skadestånd
    Syfte
    Syftet med dessa riktlinjer är att förtydliga hur förbundet arbetar för att tillvarata de registrerades rättigheter avseende personlig integritet och dataskydd. Rätt till information vid insamlande av personuppgifter
    Information till de registrerade är en viktig del av integritetsskyddet. Förbundet har en skyldighet att ge klar och tydlig information till de registrerade (medlemmar, anställda, förtroendevalda, etc.) vid insamling av personuppgifter. I nedanstående tabell sammanställs den information som förbundet är skyldiga att tillhandahålla vid insamlandet av personuppgifter. Informationsskyldigheten skiljer sig beroende på om insamlandet av personuppgifter sker från den registrerade eller från någon
    annan.

    När personuppgifter
    samlas in från den
    registrerade
    När personuppgifter
    samlas in från annan
    Personuppgiftsansvarige JA JA
    Dataskyddsombudet JA JA
    Ändamålen JA JA
    Rättslig grund JA JA
    Kategorier av
    personuppgifter
    NEJ JA
    Intresse vid
    intresseavvägning
    JA JA
    Mottagarna JA JA
    Tredjelandsöverföringar JA JA
    Lagringstid JA JA
    De registrerades rättigheter JA JA
    Rätten att återkalla ett
    samtycke
    JA JA
    Rätten att inge klagomål till
    DI
    JA JA
    Uppg.skyldighet enligt avtal
    eller lag
    JA NEJ
    Automatiserat
    beslutsfattande
    JA JA
    Källa varifrån uppg. har
    hämtats
    NEJ JA
    Den information som ges till registrerade i samband med insamling återfinns i Mall
    Integritetspolicyn.
    Rätt till registerutdrag
    Den registrerade har rätt att få ett registerutdrag avseende förbundets behandling
    av personuppgifter som gäller den registrerade. Förbundet ska på begäran av
    registerutdrag förse den registrerade med en kopia av de personuppgifter som är
    under behandling. För eventuella ytterligare kopior som den registrerade begär får
    förbundet ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om
    den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i
    ett elektroniskt format som är allmänt använt, om den registrerade inte begär
    Sid 5/9
    Instruktion för att tillvarata enskildas rättigheter, 180313
    något annat. Registerutdraget ska tillhandahållas utan onödigt dröjsmål och senast
    inom en månad.
    I nedanstående tabell sammanställs den information som förbundet är skyldig att
    tillhandahålla vid begäran om registerutdrag.
    Den registrerades rätt till registerutdrag
    Ändamålen JA
    Kategorier av personuppgifter JA
    Mottagarna JA
    Tredjelandsöverföringar JA
    Lagringstid JA
    De registrerades rättigheter JA
    Rätten att inge klagomål till DI JA
    Automatiserat beslutsfattande JA
    Källa varifrån uppg. har hämtats JA
    Alternativ för begäran av registerutdrag
    Den registrerade kan antingen fylla i ett formulär för begäran av registerutdrag som
    skickas elektroniskt eller via e-post till förbundet. Den registrerade kan även via
    ”Min sida” i IdrottOnline begära ett registerutdrag. Funktionen har arbetats fram
    för att underlätta för den registrerade att utöva sina rättigheter avseende
    dataskydd och personlig integritet.
    Rätt till rättelse
    Den registrerade har rätt att begära att förbundet utan onödigt dröjsmål rättar
    felaktiga personuppgifter som rör denne. Med beaktande av ändamålet med
    behandlingen, ska den registrerade ha rätt att komplettera ofullständiga
    personuppgifter, bland annat genom att tillhandahålla ett kompletterande
    utlåtande.
  • Hur begär en registrerad rättelse i er verksamhet?
    Sid 6/9
    Instruktion för att tillvarata enskildas rättigheter, 180313
    Rätt till radering ”rätten att bli bortglömd”
    Under vissa omständigheter har den registrerade rätt att bli bortglömd. Förbundet
    är skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande
    gäller:
  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
  • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar
    samtycket
  • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig
    att uppgifterna behandlas
  • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen
    för myndighetsutövning eller efter en intresseavvägning och det inte finns
    berättigade skäl som väger tyngre än den enskildes intresse
  • Om personuppgifterna har behandlats olagligt
  • Om radering krävs för att uppfylla en rättslig skyldighet
  • Om personuppgifterna avser barn och har samlats in i samband med att barnet
    skapar en profil i ett socialt nätverk
    Skyldighet att informera andra personuppgiftsansvariga
    Om förbundet har offentliggjort personuppgifter och enligt ovanstående
    förutsättningar är skyldig att radera personuppgifterna, ska förbundet med
    beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga
    åtgärder, inbegripet tekniska åtgärder, för att underrätta andra
    personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade
    har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner
    av dessa personuppgifter.
    Undantag till rätten att bli bortglömd:
    Rätten att bli bortglömd ska inte gälla i den utsträckning som behandlingen är
    nödvändig av följande skäl:
  • För att utöva rätten till yttrande- och informationsfrihet.
  • För att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av
    allmänt intresse eller som är ett led i myndighetsutövning.
  • För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet.
    Sid 7/9
    Instruktion för att tillvarata enskildas rättigheter, 180313
  • För arkivändamål av allmänt intresse, vetenskapliga eller historiska
    forskningsändamål eller statistiska ändamål, i den utsträckning som rätten
    att bli bortglömd sannolikt omöjliggör eller avsevärt försvårar uppnåendet
    av syftet med den behandlingen.
  • För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
  • Hur begär en registrerad att bli raderad i er verksamhet?
    Rätt till dataportabilitet
    Under vissa omständigheter har den registrerade rätt att få ut och överföra egna
    personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt
    och maskinläsbart format. Följande förutsättningar gäller för rätten till
    dataportabilitet:
  • Uppgifterna har tillhandahållits av den registrerade (eller genererats av den
    registrerades agerande),
  • Behandlingen sker med stöd av samtycke eller avtal
  • Behandlingen sker automatiserat
  • Om mer än en registrerad berörs inom en viss uppsättning personuppgifter,
    bör rätten att erhålla personuppgifterna inte inverka på andra registrerades
    rättigheter och friheter enligt dataskyddsförordningen.
    Rätten till dataportabilitet gäller inte vid behandling som stödjer sig på allmänt
    intresse och myndighetsutövning.
    I de fall det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av
    personuppgifterna från en personuppgiftsansvarig till en annan.
    Den registrerade kan få ut och överföra sina personuppgifter i ”Min sida” i
    IdrottOnline. Funktionen har arbetats fram för att underlätta för den registrerade
    att utöva sina rättigheter avseende dataskydd och personlig integritet.
    Sid 8/9
    Instruktion för att tillvarata enskildas rättigheter, 180313
    Rätt att invända mot behandling
    Den registrerade har rätt att invända mot behandling som grundas på allmänt
    intresse, myndighetsutövning eller intresseavvägning. Om den registrerade har
    invänt mot sådan behandling, ska en ny prövning göras utifrån den registrerades
    situation.
    Behandlingen måste upphöra om inte förbundet kan visa på tvingande berättigade
    skäl eller behandlingen sker för rättsliga anspråk. Exempel på tvingande berättigade
    skäl är att behandlingen är gynnsam för samhället i stort, ex. forskning för att
    förutse spridning av sjukdomar.
    Om en registrerad invänder mot behandling som avser direkt marknadsföring
    måste behandlingen upphöra.
  • Hur ska en registrerad invända mot behandling i er verksamhet?
    Rätt att motsätta sig automatiserad behandling
    Den registrerade har rätt att inte bli föremål för beslut som grundas enbart på
    automatiserad behandling, inklusive profilering, vilka får rättslig eller liknande
    effekt.
    Automatiserade beslut är endast tillåtna om det är nödvändigt för fullgörande av
    avtal med den registrerade, vid stöd i lagstiftning eller om förbundet har ett
    uttryckligt samtycke.
  • Hur ska en registrerad motsätta sig automatiserad behandling i er
    verksamhet?
    Rätt att inge klagomål till tillsynsmyndighet
    Den som anser att någon behandlar uppgifter om denne i strid med
    dataskyddsförordningen kan lämna in ett klagomål till Datainspektionen.
    Datainspektionen tar del av alla klagomål och bedömer om tillsyn ska inledas och
    lämnar därefter besked till den som fört fram klagomålet. Datainspektionen måste
    meddela om tillsyn ska inledas eller inte inom tre månader efter att ha tagit emot
    Sid 9/9
    Instruktion för att tillvarata enskildas rättigheter, 180313
    klagomålet. Om den klagande inte får besked inom den tiden, kan klaganden vända
    sig till domstol för att begära besked.
    Rätt till skadestånd
    En person som har lidit skada på grund av att vederbörandes personuppgifter har
    behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den
    eller de personuppgiftsansvariga som medverkat vid behandlingen.
    Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit
    mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat
    uppgifter i strid med den ansvariges instruktioner.
    Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller
    personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.
    Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen
    den personuppgiftsansvarige eller personuppgiftsbiträdet. Den personuppgiftsansvarige och personuppgiftsbiträdet får sedan i sin tur reglera detta sinsemellan.
    En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala
    ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.
    Förbundets skyldighet att underlätta den registrerades utövande av
    rättigheterna
    Förbundet har en skyldighet att underlätta utövandet av rättigheterna. För att
    underlätta de registrerades utövande av rättigheterna kan förbundet ha utsett en
    kontaktperson avseende dataskydd.
  • Var vänder sig den registrerad avseende dataskydd i er verksamhet?