De registreredes rettigheder

Hovedelementet i Forordningen er beskyttelsen af de registrerede, dvs. medarbejdere, kunder, leverandører, samarbejdspartnere mv, og den registrerede person får med forordningens ikrafttræden styrket sine rettigheder. Virksomheder, der behandler persondata, skal have etableret en procedure for, hvordan de vil imødekomme kravene i tilfælde af, at en registreret person ønsker at udøve sine rettigheder.

I det følgende gennemgår vi de registreredes rettigheder. Rettighederne er:

• Ret til at blive oplyst. Virksomheden har en pligt til at orientere den registrerede om, at der indsamles og behandles personoplysninger i den pågældende virksomhed
• Ret til løbende at få indsigt i, hvordan ens oplysninger behandles
• Ret til at få berigtiget urigtige data
• Ret til at få slettet data
• Ret til at tilbagekalde samtykke
• Ret til at begrænse behandlingen
• Ret til at kunne få udleveret sine data, så de kan overflyttes til anden udbyder (dataportabilitet)
• Ret til at gøre indsigelse over, at ens oplysninger behandles og videregives til fx markedsføringsformål
• Ret til indsigelse ved automatiske afgørelser
• Ret til at klage til Datatilsynet

Oplysningspligten

Oplysningspligten indebærer, at den registrerede skriftligt – og i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og tydeligt sprog – skal have en række oplysninger. Oplysningerne afhænger af, om data er indsamlet hos personen selv eller hos en anden. Hvis oplysningerne er indsamlet hos personen selv omfatter oplysningspligten følgende:

• identitet og kontaktoplysninger for den dataansvarlige og dennes evt. repræsentant
• kontaktoplysninger for en evt. DPO
• formålene med behandlingen og retsgrundlaget for behandlingen
• de legitime interesser, som forfølges ved behandlingen
• eventuelle modtagere eller kategorier af modtagere af personoplysningerne
• hvorledes beskyttelsesniveauet er sikret
• hvor længe personoplysningerne vil blive opbevaret
• den registrerede skal oplyses om retten til indsigt, berigtigelse, sletning, begrænset behandling, indsigelse, samt retten til dataportabilitet.
• retten til at klage
• hvilken hjemmel, der er til at behandle data, for eksempel samtykke, et lovkrav, en kontrakt.
• retten til at trække et samtykke tilbage (hvis et sådant er afgivet)
• om personen har pligt til at afgive oplysningerne og de eventuelle konsekvenser af ikke at afgive disse
• om forekomsten af automatiske afgørelser, herunder profilering.

Oplysningspligten skal overholdes på det tidspunkt, hvor personoplysningerne indsamles, dog senest indenfor 10 dage.

Hvis oplysningerne ikke er indsamlet hos personen selv omfatter oplysningspligten alt det ovenstående plus oplysning om, hvor virksomheden har fået personoplysningerne fra.

Oplysningspligten gælder kun såfremt den registrerede ikke allerede er bekendt med oplysningerne – virksomheden skal dog kunne bevise, at den registrerede ikke allerede er bekendt med oplysningerne.

Du finder skabelon til oplysningstekst under Skabeloner under De registreredes rettigheder.

Indsigtsret

Den registrerede har mulighed for at sikre sig, at alt går rigtigt til, når data behandles. Dette kaldes for ”indsigtsretten” (artikel 15). Hvis en registreret retter henvendelse til en virksomhed, der er dataansvarlig, skal virksomheden først be- eller afkræfte, at der behandles data vedrørende vedkommende og i givet fald oplyse, hvilke data, det drejer sig om. Dernæst skal den registrerede have muligheden for at få adgang til disse data. Dette kan ske elektronisk gennem et sikkert system, på papir eller fx i et PDF-format. Hvis det drejer sig om mange oplysninger, kan den dataansvarlige bede den registrerede specificere, hvad denne ønsker indsigt i, men den registrerede har ret til at bede om alle oplysningerne. Til gengæld er der mulighed for, at virksomheden kan forlange et rimeligt gebyr, hvis anmodningen er åbenbart grundløs eller overdreven, fx hvis den registrerede flere gange anmoder om at få indsigt i de samme oplysninger med korte intervaller.

I forbindelse med henvendelsen skal den dataansvarlige give den registrerede oplysning om følgende:

• Formålet med behandlingen
• Hvilke kategorier af oplysninger, der er tale om
• Hvilke modtagere, der er tale om – herunder også hvis der er tale om modtagere i 3. land
• Hvor længe dataene forventes opbevaret
• Retten til at anmode om berigtigelse eller sletning, retten til begrænsning af behandling og retten til indsigelse mod behandling
• Retten til at klage til Datatilsynet eller anden tilsynsmyndighed
• Om kilden til dataene, hvis dette ikke er den registrerede selv
• Om dataene behandles automatiseret, f.eks. til profilering

Inden oplysningerne udleveres er det vigtigt at sikre, at andre personer ikke får krænket deres rettigheder ved, at der fx nævnes en anden persons navn i dokumenterne, eller at der videregives forretningshemmeligheder.

Berigtigelse

Hvis den registrerede finder eller bliver gjort bekendt med, at der er fejl i persondataene, har den registrerede krav på, at disse bliver rettet uden unødig forsinkelse. Den registrerede har tilmed ret til at få suppleret de allerede registrerede oplysninger med yderligere oplysninger for at sikre fuldstændigheden af personoplysningerne. Endvidere skal alle modtagere af de pågældende data informeres om berigtigelsen. Kan den dataansvarlige dokumentere, at det er umuligt eller uforholdsmæssigt vanskeligt at informere alle modtagere, er der en undtagelsesmulighed (artikel 19). Der er mulighed for, at virksomheden kan forlange et rimeligt gebyr for berigtigelsen, hvis anmodningen er åbenbart grundløs eller overdreven.

Ret til sletning og slettepligten

Dette kaldes også retten til at blive glemt og betyder, at den dataansvarlige jf. artikel 17 skal slette oplysninger eller uigenkaldeligt afidentificere dem, hvis en registreret ønsker det. Ved uigenkaldelig af-identificering forestås, at det ikke længere må være muligt at knytte data til en bestemt person. Det er hermed ikke tilstrækkeligt blot at slette navn og adresse, men beholde kundenummeret, hvis kundenummeret kan knyttes til en person ved hjælp af et andet register.

Samtidig med at den dataansvarlige skal imødekomme en henvendelse om sletning, så har den dataansvarlige også pligt til selv at holde øje med, om betingelserne for en sletning er til stede og derudfra sikre, at der er indarbejdet generelle slette-/oprydningsregler i de forskellige arbejdsprocesser og procedurer.

I den sammenhæng er det utroligt vigtigt, at være opmærksom på – sikkert også en ny måde at skulle tænke på – at persondata kun kan gemmes, hvis der er et sagligt formål med, at de bliver gemt. Det vil sige, at oplysninger, der for eksempel er indsamlet til det formål at sende en vare til en kunde, skal slettes eller uigenkaldeligt afidentificeres når varen er leveret og en eventuel garantiperiode er udløbet, med mindre den dataansvarlige har indhentet samtykke til at beholde data eller dele af data til et andet formål, for eksempel til udsendelse af nyhedsbreve. At data ville være ”Nice to have” er ikke et holdbart formål og dette gælder også for data som findes i mails, filarkiver etc. Betingelser for at slette er følgende:

• Oplysningerne er ikke længere nødvendige for opfyldelse af formålet for behandlingen
• Behandlingen er ulovlig
• Sletningen er lovpligtig
• Oplysningerne er indsamlet fra børn under 13 år, og deres værge begærer sletning
• Den registrerede tilbagekalder sit samtykke
• Den registrerede gør indsigelse og oplysningerne behandles til markedsføring

I ”Inspiration til kortlægning af arbejdsprocesser” under Skabeloner og Hjælpedokumenter er anbefalede sletterutiner for diverse arbejdsprocesser angivet.

Det er vigtigt, at den dataansvarlige informerer alle andre modtagere (fx databehandlere) af oplysningerne om at specifikke data nu skal slettes. Der skal være opmærksomhed på, at hvis oplysningerne er blevet offentliggjort, skal den dataansvarlige, så vidt det er muligt, forsøge at fjerne links mm. til oplysningerne. Der kan dog være en undtagelse i sammenhængen med ytrings- og informationssikkerheden, som generelt vejer tungere end den registreredes interesse i at få slettet sine data.

Ret til tilbagekaldelse af samtykke

I nogle behandlingssituationer er det et krav, at der indhentes et samtykke fra den registrerede for at kunne behandle oplysningerne. Den registrerede har dog en ret til at tilbagekalde sit samtykke (artikel 7). Denne ret skal den dataansvarlige informere om, når samtykket afgives. Samtidig skal den dataansvarlige gøre det let og gebyrfrit at tilbagekalde samtykket, eksempelvis på samme måde, som når man trykker på et link for at afmelde et nyhedsbrev. Herefter skal oplysningerne knyttet til samtykket straks slettes. Samtykke bruges ofte i dansk praksis, men hvis det kan lade sig gøre at finde en anden hjemmel, ville det være at foretrække, netop pga. muligheden for tilbagetrækning af samtykke. Se kapitel 6 Anvendelse af samtykke.

Ret til at begrænse behandlingen

Den registrerede kan ligeledes kræve, at behandlingen af personoplysningerne begrænses jf. artikel 18. Den registrerede kan gøre dette, hvis a) vedkommende mener, at oplysningerne er forkerte, b) behandlingen er ulovlig, men den registrerede ikke ønsker sine data slettet, c) data ikke længere er nødvendige, men skal bruges ift. retskrav eller d) den registrerede gør indsigelse mod brug af data jf. artikel 21. Dette betyder faktisk, at virksomheden kun må opbevare oplysningerne. Som undtagelse hertil fremgår det, at såfremt, at der sker en behandling, fordi den dataansvarlige har et behov for at fastlægge, forsvare eller gøre et retskrav gældende, kan behandlingen finde sted uden samtykke. Den dataansvarlige kan ligeledes genoptage behandlingen, ud over blot opbevaring, af data, hvis den registrerede har afgivet samtykke hertil. I tilfælde af, at registrerede påberåber sig retten til begrænset behandling skal alle andre modtagere (fx databehandlere) informeres herom og deres behandling skal ligeledes begrænses til opbevaring. I de fleste tilfælde vil behandlingen blive sat på ”stand by” indtil årsagen til begrænsningen er løst.

Dataportabilitet

Dataportabilitet omhandler den registreredes ret til at få sine registrerede persondata udleveret til sig selv i et struktureret, almindelig anvendt og maskinlæsbart format eller, hvis det er teknisk muligt, at få data overført til en anden dataansvarlig. Retten gælder dog kun for persondata, hvor hjemmelsgrundlaget er samtykke eller kontrakt og når behandlingen af data foretages automatisk. (Artikel 20)

Der kan skelnes mellem forskellige kategorier af data, afhængigt af deres oprindelse, for at afgøre, om de er omfattet af retten til dataportabilitet. Følgende kategorier kan kvalificeres som “afgivet af den registrerede”:

• Data, der er aktivt og bevidst udleveret af den registrerede (f.eks. adresse, brugernavn, alder osv.)
• Observerede data fra den registrerede i kraft af brugen af tjenester eller enheder. Det kan for eksempel være data vedrørende en persons søgehistorik, datatrafik og lokationsdata. Det kan også indeholde andre rå data, såsom hjerterytme sporet af en bærbar enhed.

I modsætning til ovenstående omfatter retten til dataportabilitet ikke data, som er lavet af den dataansvarlige baseret på den data, som den registrerede har afgivet. Eksempelvis kan resultatet af en vurdering af brugerens sundhed eller profil i forbindelse med risikovurdering af kreditværdighed ikke i sig selv betragtes som “afgivet af” den registrerede.

Selvom sådanne data kan være en del af en profil, der opbevares af en dataansvarlig, og som udledes eller afledes af analysen af data fra den registrerede (gennem sine handlinger for eksempel), vil disse data typisk ikke betragtes som “leveret af registrerede” og falder dermed ikke ind under retten til dataportabilitet.

Hvorvidt den dataansvarlige selv må beholde en kopi efter udleveringen/overførslen afhænger af hjemmelsgrundlaget og de konkrete omstændigheder omkring det. For eksempel er det jo nødvendigt for den dataansvarlige at beholde en kopi af data, hvis den registrerede stadig afbetaler på en ydelse, der er købt af dataansvarlig.

Ret til indsigelse

Den registrerede har ret til at gøre indsigelse mod behandling, hvis den dataansvarlige hævder, at behandlingen sker i samfundets interesse eller opgaven er pålagt af det offentlige (artikel 21). Det er i den sammenhæng den dataansvarlige, der skal dokumentere en væsentlig grund til behandlingen.

Endvidere kan den registrerede gøre indsigelse mod brug af personoplysninger til markedsføring og enhver behandling skal da straks standses. Markedsføring gælder både direkte markedsføring og brug af profilering! Husk, at den registrerede skal gøres opmærksom på sin indsigelsesret ved første kontakt, og rent praktisk kan denne information indgå i et ”oplysningsbrev”.

Ret til indsigelse ved automatiske afgørelser

I dag er det ikke ualmindeligt med fuldstændigt automatiserede processer uden menneskelig indgriben. Det kan fx være når der skal optages et lån eller i forbindelse med en e-rekruttering. Hvis en beslutning baseret på en automatiseret proces har retsvirkning eller betydeligt påvirker en person, kan denne gøre indsigelse og kræve menneskelig indgriben (artikel 22). Dette gælder ikke, hvis det a) er nødvendigt for at opfylde en kontrakt, b) er hjemlet i EU-ret eller national lovgivning, c) er baseret på den registreredes udtrykkelige samtykke.

Ret til at klage til Datatilsynet

Såfremt der opstår uoverensstemmelser omkring de beskrevne rettigheder, har den registrerede altid mulighed for at klage til Datatilsynet (artikel 13). Også denne ret skal den registrerede have information om ved første kontakt i forbindelse med oplysningsprocessen.