Registrerades rättigheter enligt GDPR

Regelverket bygger på principen att den som får sina uppgifter behandlade inte ska vara passiv mottagare, utan aktivt ska kunna få insyn, påverka och i vissa fall stoppa behandlingen.

För organisationer innebär detta ett omfattande ansvar. Det räcker inte att behandlingen av personuppgifter är laglig – det måste också finnas strukturerade processer för att hantera de registrerades rättigheter i praktiken. Detta inkluderar att kunna ta emot begäranden, identifiera den registrerade, göra rättsliga bedömningar, dokumentera hanteringen och lämna korrekta svar inom lagstadgade tidsfrister.

Ett väl fungerande arbete med registrerades rättigheter minskar risken för fel, klagomål och tillsyn, samtidigt som det stärker organisationens interna styrning och regelefterlevnad.

Syftet med denna guide är att ge en praktiskt tillämpbar och juridiskt förankrad genomgång av de registrerades rättigheter enligt GDPR, samt hur dessa bör hanteras i en organisation.

Registrerades rättigheter är en integrerad del av GDPR:s skyddssystem och återfinns huvudsakligen i artiklarna 12–23. De ger den registrerade möjlighet att få insyn i personuppgiftsbehandling, kontrollera riktigheten i uppgifter och i vissa fall begränsa eller stoppa behandlingen.

De centrala rättigheterna omfattar rätten till information, tillgång (registerutdrag), rättelse, radering, begränsning av behandling, invändning, dataportabilitet samt skydd mot enbart automatiserade beslut. Varje rättighet har ett eget tillämpningsområde och egna begränsningar, vilket innebär att organisationen i varje enskilt fall måste göra en självständig juridisk bedömning.

Det är viktigt att understryka att rättigheterna inte är absoluta. De kan begränsas av andra rättsliga skyldigheter. En begäran kan därför i vissa fall avslås helt eller delvis, men ett sådant beslut måste alltid vara motiverat och dokumenterat.

För att kunna hantera rättigheterna korrekt krävs att organisationen har en god överblick över sina personuppgiftsbehandlingar, inklusive var uppgifter lagras, vilka system som används och vilka mottagare som finns. Rättighetsarbetet är därför nära kopplat till övriga delar av dataskyddsarbetet, såsom registerförteckningar och informationsrutiner.

Dokumentation är en central del av arbetet. Organisationen bör kunna visa hur varje begäran har hanterats, vilka bedömningar som gjorts och vilka åtgärder som vidtagits. Standardiserade mallar och checklistor är i detta sammanhang ett effektivt sätt att säkerställa en enhetlig och rättssäker handläggning.

Samtliga rättigheter enligt GDPR följer ett gemensamt processramverk. Oavsett vilken rättighet som utövas gäller i stort sett samma regler för hur en begäran ska tas emot, handläggas och besvaras.

En grundläggande princip är att organisationen ska underlätta för den registrerade att utöva sina rättigheter. Det ska vara tydligt hur en begäran kan göras, kontaktvägar ska vara lättillgängliga och processen ska vara enkel att använda. En begäran behöver inte uppfylla några formkrav och den registrerade behöver inte hänvisa till GDPR. Organisationen måste själv tolka vad begäran avser.

Innan en begäran behandlas ska organisationen säkerställa den registrerades identitet. Kontrollen ska vara proportionerlig och får inte innebära att fler uppgifter samlas in än nödvändigt.

Begäranden ska hanteras utan onödigt dröjsmål och senast inom en månad. Tidsfristen kan i vissa fall förlängas med ytterligare två månader, men den registrerade måste då informeras om förlängningen och skälen till denna inom den första månaden.

Kommunikation ska vara tydlig, begriplig och anpassad till mottagaren. Som huvudregel ska hanteringen vara kostnadsfri. Avgift eller avslag är endast tillåtet vid uppenbart ogrundade eller orimliga begäranden och ska tillämpas restriktivt.

Om en begäran avslås ska organisationen informera om skälen till beslutet samt om möjligheten att klaga hos tillsynsmyndigheten eller begära rättslig prövning.

Samtliga begäranden bör dokumenteras, inklusive mottagandedatum, bedömning, vidtagna åtgärder och svar. Detta är avgörande både för intern kontroll och vid eventuell tillsyn.

• Bekräftelse hantering av personuppgifter 2026
  Ladda ner
• Information till registrerad om behandling av personuppgifter 2026
  Ladda ner
• Meddelande om personuppgiftsincident 2026
  Ladda ner

Rätten till information är en grundförutsättning för att övriga rättigheter ska kunna utövas. Den innebär att den registrerade ska få tydlig och transparent information om hur personuppgifter behandlas.

Information ska lämnas både proaktivt och på begäran. Den ska normalt lämnas vid insamling av personuppgifter eller, om uppgifterna samlas in från andra källor, inom rimlig tid därefter. Den registrerade har även rätt att när som helst begära information om behandlingen.

Informationen ska omfatta bland annat den personuppgiftsansvariges identitet, ändamål, rättslig grund, lagringstid, mottagare och den registrerades rättigheter. Den ska vara tillräckligt konkret för att ge en verklig förståelse av behandlingen.

Särskilda krav gäller för hur informationen presenteras. Den ska vara lättillgänglig och formulerad på ett klart och enkelt språk. Detta är särskilt viktigt när information riktas till grupper med särskilda behov, såsom barn.

Informationsskyldigheten aktualiseras även vid personuppgiftsincidenter som innebär hög risk. I sådana fall ska den registrerade informeras om vad som har inträffat och vilka konsekvenser det kan få.

Undantag från informationsskyldigheten finns, men ska tillämpas restriktivt. Huvudregeln är att den registrerade ska informeras.

• Bekräftelse hantering av personuppgifter 2026
  Ladda ner
• Information till registrerad om behandling av personuppgifter 2026
  Ladda ner
• Meddelande om personuppgiftsincident 2026
  Ladda ner

Rätten till tillgång innebär att den registrerade har rätt att få bekräftelse på om personuppgifter behandlas och, i så fall, få tillgång till dessa uppgifter.

Organisationen ska först lämna besked om behandling sker och därefter tillhandahålla både en kopia av uppgifterna och information om behandlingen. Uppgifterna kan lämnas i sammanställd form, så länge den registrerade kan förstå och kontrollera behandlingen.

Rätten är central eftersom den möjliggör kontroll av både riktighet och laglighet, och utgör en förutsättning för andra rättigheter. Det finns dock begränsningar. Uppgifter kan behöva maskeras eller undantas om utlämnande skulle påverka andra personers rättigheter eller bryta mot sekretess. Praktiskt kräver denna rättighet att organisationen har en god överblick över sina system och kan identifiera var personuppgifter lagras.

• Checklista rätt till registerutdrag 2026
  Ladda ner
• Svar till registrerad gällande begäran om registerutdrag 2026
  Ladda ner

Rätten till rättelse innebär att felaktiga eller ofullständiga personuppgifter ska korrigeras. Den är direkt kopplad till principen om korrekthet i GDPR.

Bedömningen av om en uppgift är felaktig ska göras i förhållande till ändamålet med behandlingen. I vissa fall kan det vara tillräckligt att komplettera uppgifter i stället för att ändra dem. När en rättelse genomförs ska organisationen säkerställa att ändringen slår igenom i samtliga relevanta system. I vissa fall ska även mottagare av uppgifterna informeras.

En begäran kan avslås om uppgifterna är korrekta eller om det finns rättsliga hinder mot ändring. I sådana fall ska beslutet motiveras. Rätten till rättelse bör även ses som en del av organisationens arbete med datakvalitet och inte enbart som en reaktiv skyldighet.

• Checklista Rättelse och radering av personuppgifter 2026
  Ladda ner
• Meddelande om rättelse - beviljad 2026
  Ladda ner
• Meddelande om rättelse - ej beviljad 2026
  Ladda ner

Rätten till radering innebär att personuppgifter i vissa fall ska tas bort. Den aktualiseras bland annat när uppgifter inte längre behövs, när samtycke återkallas eller när behandlingen är olaglig.

Rätten är dock inte absolut. Uppgifter kan behöva bevaras för att uppfylla rättsliga skyldigheter, såsom bokföringsregler, eller för att hantera rättsliga anspråk. Om uppgifter har offentliggjorts kan organisationen behöva vidta åtgärder för att informera andra aktörer om raderingen. I praktiken kräver radering att organisationen har kontroll över sina system och tydliga rutiner för hur radering ska genomföras utan att skapa konflikter med andra regelverk.

• Checklista Rättelse och radering av personuppgifter 2026
  Ladda ner
• Meddelande om radering - beviljad 2026
  Ladda ner
• Meddelande om radering - ej beviljad 2026
  Ladda ner

Rätten till begränsning innebär att behandling av personuppgifter i vissa fall ska pausas. Uppgifterna får då normalt endast lagras.

Rätten används ofta som en tillfällig åtgärd, exempelvis när riktigheten i uppgifter ifrågasätts eller när en invändning utreds. Organisationen måste ha tekniska och organisatoriska lösningar för att kunna markera och hantera begränsade uppgifter. När begränsningen upphör ska den registrerade informeras innan behandlingen återupptas.

• Meddelande om begränsning - beviljad 2026
  Ladda ner
• Meddelande om begränsning - ej beviljad 2026
  Ladda ner

Rätten att invända gäller främst behandling som grundar sig på intresseavvägning eller allmänt intresse. Vid invändning måste organisationen göra en ny bedömning och visa tvingande berättigade skäl för att fortsätta behandlingen. En särskild och absolut regel gäller för direkt marknadsföring. Om den registrerade invänder mot sådan behandling ska den omedelbart upphöra. Invändningar kräver därför en strukturerad och dokumenterad prövning.

• Meddelande om invändning - beviljad 2026
  Ladda ner
• Meddelande om invändning - ej beviljad 2026
  Ladda ner

Rätten till dataportabilitet innebär att den registrerade kan få ut sina uppgifter i ett strukturerat och maskinläsbart format, samt i vissa fall få dem överförda till en annan aktör.

Rätten gäller endast när behandlingen grundar sig på samtycke eller avtal och sker automatiserat. Den omfattar endast uppgifter som den registrerade själv har tillhandahållit. Organisationer måste därför ha tekniska lösningar för att kunna exportera uppgifter på ett säkert och standardiserat sätt.

• Checklista dataportabilitet 2026
  Ladda ner
• Meddelande om dataportabilitet - beviljad 2026
  Ladda ner
• Meddelande om dataportabilitet - ej beviljad 2026
  Ladda ner

Arbetet med registrerades rättigheter är en löpande del av organisationens dataskyddsansvar. Det omfattar krav på att underlätta rättighetsutövande, säkerställa korrekt identifiering, hålla tidsfrister och kommunicera tydligt.

Som huvudregel ska hanteringen vara kostnadsfri, men undantag kan göras vid ogrundade eller orimliga begäranden. Organisationen måste då kunna motivera sitt beslut. Om en registrerad lider skada till följd av en felaktig behandling kan skadeståndsansvar uppstå. Organisationen måste därför kunna visa att den har vidtagit lämpliga tekniska och organisatoriska åtgärder. Ett strukturerat arbete med rättigheterna är därför inte bara en regelefterlevnadsfråga, utan också en riskhanteringsfråga.