Elisabeth drabbad av GDPR-strulet

När dataskyddsförordningen GDPR infördes i maj fick Elisabeth Olofsson från Linköping en uppsjö av mejl från företag som hade hennes uppgifter. Av ett företag begärde hon att de skulle radera hennes uppgifter – de svarade att hon först behövde skicka in sina uppgifter. Nu reder experten ut vad som gäller.

Foto:

Linköping2018-07-17 15:00
Marc Skogelin

Elisabeth Olofsson från Linköping var en av alla dem som "drunknade i de käcka breven om kundens trygghet", som hon beskriver det, när den nya dataskyddsförordningen GDPR infördes i maj. Ett företag kände hon inte alls igen, varför hon skrev till dem att hon ville få sina uppgifter raderade från kundregistret.

Till svar fick hon att för att få dem raderade behövde hon först skicka in sina uppgifter för säkerställa sin identitet. Företaget bifogade ett formulär där hon bland annat skulle fylla i namn, personnummer och adress med sin underskrift.

– Det ville jag ju inte göra. Jag tyckte det var ganska skrämmande faktiskt, säger Elisabeth Olofsson.

Hon svarade att företaget hade hennes adress och att de kunde skicka en bekräftelse via post.

Men företaget insisterade på att Elisabeth fyllde i formuläret. Utan det kunde de inte vara säker på vem hon var, menade de. De skulle sedan göra en bedömning av vilka data som kunde raderas enligt GDPR.

– Jag har rätt enligt GDPR att få mina uppgifter raderade. Det de begär är orimligt.

Camilla Sparr, jurist på Datainspektionen, känner igen situationen. Det är svårt att avgöra vem som har rätt i detta fall, menar hon.

– Man har rätt enligt GDPR att få sina uppgifter raderade, det stämmer. Men den rätten gäller bara under vissa förutsättningar.

Företag har en skyldighet att varken radera eller lämna ut uppgifter till fel person. Det innebär att företaget också har rätt i att de behöver kunna identifiera Elisabeth Olofsson. Det innebär däremot inte att de alltid ska begära personuppgifter. Camilla Sparr anser att det bör avgöras från fall till fall.

– Med GDPR kom fler och tydligare krav på att företagen behandlar kunduppgifter korrekt. Det har gjort dem mer medvetna. Det kan också ha gjort att företag av rädsla för att bryta mot GDPR begär onödigt mycket information.

Camilla Sparr säger att man bör vara medveten om att rätten att få sina kunduppgifter är villkorad – exempelvis kan det finnas krav på företag som gör att de inte får radera vissa uppgifter. Samtidigt menar hon att man ska ifrågasätta företagen om man anser att de begär för mycket.

– Det är positivt att personer börjar blir medvetna och kräver sina rättigheter. Så ta dialogen med företagen, det är alltid bra.

Detta är GDPR

Dataskyddsförordningen (GDPR, The General Data Protection Regulation) gäller i hela EU och har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. Mycket i dataskyddsförordningen liknar de regler som tidigare fanns i personuppgiftslagen (PUL). Hela dataskyddsförordningen finns i fulltext på Datainspektionen.se.

Källa: Datainspektionen.se

Så jobbar vi med nyheter  Läs mer här!