Den registrerades rättigheter

 

Vilka rättigheter har en elev eller studerande i fråga om behandlingen av sina personuppgifter?

 

Avsikten med dataskyddsförordningen är att garantera fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter.[1] I princip motsvarar de i hög grad den registrerades rättigheter enligt personuppgiftslagen. Dataskyddsförordningen preciserar emellertid innehållet i rättigheterna och förutsätter också på motsvarande sätt mer heltäckande åtgärder av den personuppgiftsansvarige för att säkerställa att rättigheterna kan utövas.

De registrerade har rätt att få kännedom om huruvida deras personuppgifter behandlas eller inte. Den personuppgiftsansvarige ska på begäran bekräfta huruvida personuppgifter om en elev eller en studerande håller på att behandlas.[2] Den registrerade har i så fall rätt att få tillgång till de personuppgifter om honom eller henne som behandlas. I praktiken innebär det att den personuppgiftsansvarige ska förse eleven eller den studerande med en kopia av de personuppgifter som är under behandling.[3]

När en registrerad utnyttjar sin rätt att få tillgång till uppgifterna ska han eller hon utöver en kopia också få information om behandlingen av personuppgifterna. Sådan information är:

  • ändamålen med behandlingen,
  • de kategorier av personuppgifter som behandlingen gäller,
  • de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut,
  • den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period,
  • förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling,
  • rätten att lämna in klagomål till en tillsynsmyndighet,
  • om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer,
  • förekomsten av automatiserat beslutsfattande samt meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.[4]

Den registrerade har alltid rätt att kräva att den personuppgiftsansvarige rättar personuppgifter som är inexakta, föråldrade, bristfälliga eller på annat sätt felaktiga. Efter att ha mottagit en begäran om rättelse ska den personuppgiftsansvarige vidta åtgärder utan onödigt dröjsmål.[5] Om den personuppgiftsansvarige eller dennes företrädare upptäcker fel i de personuppgifter som de behandlar ska uppgifterna i enlighet med korrekthetsprincipen rättas även om den registrerade inte har krävt det.

Den registrerade får kräva att den personuppgiftsansvarige begränsar behandlingen av personuppgifter under den tid som deras korrekthet kontrolleras.[6] Den personuppgiftsansvarige ska då markera de lagrade personuppgifterna på ett sätt som gör det möjligt att begränsa behandlingen av dem i framtiden.[7] Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. Om behandlingen av personuppgifter är automatiserad ska begränsningen av behandlingen ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras.[8] Det är också möjligt att kräva att behandlingen begränsas om behandlingen är olaglig och den registerade motsätter sig att personuppgifterna raderas, eller om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.[9]

Elever eller studerande som upptäcker att deras personuppgifter behandlas på ett olagligt sätt, att behandlingen är onödig med tanke på de ursprungliga ändamålen eller att de enligt lag ska raderas har rätt att kräva radering av sina personuppgifter.[10] Den registrerade kan emellertid inte kräva radering av sina personuppgifter så länge som de personuppgifter som behandlas behövs för att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige omfattas av eller för en uppgift av allmänt intresse eller för myndighetsutövning som utförs av den personuppgiftsansvarige.[11] Elever eller studerande kan således inte till exempel kräva att deras vitsord eller frånvarouppgifter raderas på den grunden att de själva inte vill att uppgifterna behandlas.

Den registrerades rättigheter påverkas i viss mån av den rättsliga grunden för behandlingen av personuppgifter. Vid läroanstalterna grundar sig behandlingen av personuppgifter i regel på att den behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövningen. När behandlingen grundar sig på uppfyllandet av en rättslig förpliktelse som åvilar den personuppgiftsansvarige begränsar sig den registrerades rättigheter till de ovannämnda.

Om behandlingen grundar sig på en uppgift av allmänt intresse eller den personuppgiftsansvariges myndighetsutövning har den registrerade dessutom rätt att när som helst göra invändningar mot behandlingen av sina personuppgifter av skäl som hänför sig till hans eller hennes specifika situation. Den personuppgiftsansvarige får då i princip inte längre behandla uppgifter som rör den registrerade. Behandlingen får emellertid fortsätta om den personuppgiftsansvarige kan visa att det finns tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.[12] Dessutom ska rätten att göra invändningar uttryckligen meddelas den registrerade senast vid den första kommunikationen med den registrerade på ett sätt som är tydligt, klart och åtskilt från eventuell annan information.[13]

Tillgodoseendet av den registrerades rättigheter vid läroanstalterna

Alla personuppgiftsansvariga är med stöd av dataskyddsförordningen uttryckligen skyldiga att såväl underlätta utövandet av de registrerades rättigheter som på den registrerades begäran agera för att tillgodose dem.[14] I praktiken innebär det att det inte får vara för svårt eller komplicerat för den registrerade att utöva sina rättigheter. Elever och studerande ska öppet informeras om vilka rättigheter de har när det gäller behandlingen av deras personuppgifter och de ska vägledas i att utnyttja dessa rättigheter.

När en elev eller studerande uttrycker sin vilja att utöva sina rättigheter i anslutning till behandlingen av personuppgifter ska den personuppgiftsansvarige besvara begäran utan onödigt dröjsmål, dock senast inom en månad efter att ha mottagit begäran.[15] Det är den personuppgiftsansvariges uppgift att säkerställa att undervisningspersonalen är medveten om de registrerades rättigheter och hur begäranden om att utöva dessa rättigheter ska hanteras.

Ingen avgift får debiteras av den registrerade för utövandet av rättigheterna eller för svar på begäranden som gäller utövandet av dem.[16] Om begäran gäller erhållande av information ska informationen tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen också tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.[17] Om personuppgifterna behandlas elektroniskt ska eleven eller den studerande kunna skicka in begäranden elektroniskt.[18]

Om den personuppgiftsansvarige inte vidtar de åtgärder som den registrerade begärt, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken. Samtidigt ska den registrerade informeras om sina rättsmedel, såsom rätten att lämna in klagomål till en tillsynsmyndighet.[19] Ett godtagbart skäl för att avslå en begäran kan till exempel vara att den uppenbart gäller en annan persons uppgifter. Om den personuppgiftsansvarige inte kan fastställa identiteten på den person som begär uppgifterna är det i princip inget berättigat skäl för att inte tillmötesgå personens begäran. Om det finns rimliga skäl att betvivla identiteten hos en elev eller studerande som lämnat in en begäran ska den personuppgiftsansvarige be om ytterligare information som behövs för att bekräfta den registrerades identitet.[20]

Den registrerades rättigheter är inte beroende av personens ålder utan gäller både vuxna och barn. Dataskyddsförordningen tar inte ställning till situationer där en tredje part, till exempel föräldern till ett minderårigt barn, lämnar in en begäran om att utöva den registrerades rättigheter.

Ibland görs begäranden i ofogssyfte. Om begärandena är uppenbart ogrundade eller orimliga, särskilt om de lämnas in upprepade gånger, kan den personuppgiftsansvarige enligt egen prövning antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Den personuppgiftsansvarige ska då kunna motivera varför begäran är uppenbart ogrundad eller orimlig.[21] Även i sådana fall ska den registrerade inom en månad informeras om vägran att tillmötesgå begäran, grunderna för vägran samt de rättsmedel som står till hans eller hennes förfogande.

 

[1] Skäl 13 i ingressen till dataskyddsförordningen.

[2] Artikel 15.1 i dataskyddsförordningen.

[3] Artikel 15.3 i dataskyddsförordningen.

[4] Artikel 15.1 i dataskyddsförordningen.

[5] Artikel 16 i dataskyddsförordningen.

[6] Artikel 18.1 i dataskyddsförordningen.

[7] Artikel 4.3 i dataskyddsförordningen.

[8] Skäl 67 i ingressen till dataskyddsförordningen.

[9] Artikel 18.1 i dataskyddsförordningen.

[10] Artikel 17.1 i dataskyddsförordningen.

[11] Artikel 17.3 i dataskyddsförordningen.

[12] Artikel 21.1 i dataskyddsförordningen.

[13] Artikel 21.4 i dataskyddsförordningen.

[14] Artikel 12.1 och 12.2 i dataskyddsförordningen.

[15] Artikel 12.3 i dataskyddsförordningen.

[16] Artikel 12.5 i dataskyddsförordningen.

[17] Artikel 12.1 i dataskyddsförordningen.

[18] Skäl 59 i ingressen till dataskyddsförordningen.

[19] Artikel 12.4 i dataskyddsförordningen.

[20] Artikel 12.6 i dataskyddsförordningen.

[21] Artikel 12.5 i dataskyddsförordningen.