Artikel 12-22 i GDPR
Otte centrale rettigheder for registrerede i henhold til GDPR
Personer, hvis personoplysninger behandles af en virksomhed, benævnes “registrerede”. I henhold til GDPR er der flere forskellige rettigheder, som registrerede har med hensyn til deres personoplysninger.
Her kan du læse om de otte (8) centrale rettigheder, som registrerede har i henhold til GDPR. Dvs. den registreredes ret til:
- Oplysninger (artikel 12, 13 og 14)
- Adgang (artikel 15)
- Berigtigelse (artikel 16)
- Udeladelse (artikel 17)
- Begrænsning af behandling (artikel 18)
- Dataportabilitet (artikel 20)
- Gøre indsigelse (artikel 21) og
- Rettigheder i forbindelse med automatiseret beslutningstagning og profilering (artikel 22).
Ud over oplysninger om de rettigheder, der er fastsat i de respektive relevante artikler i GDPR, findes der flere oplysninger i betragtning 58-73 i GDPR.
Før vi beskriver de ovennævnte 8 kernerettigheder, som registrerede har i henhold til GDPR, er det vigtigt at forstå, hvordan virksomheden skal handle, når en registreret indgiver en anmodning om at få en rettighed opfyldt. Derfor starter vi med at beskrive processen nedenfor og de tilhørende regler omkring dette. Dette efterfølges af et resumé af de otte vigtigste rettigheder, som registrerede har i henhold til GDPR.
Hvor lang tid har virksomheder, når en registreret anmoder om at få en rettighed opfyldt?
Når en virksomhed modtager en anmodning fra en registreret, der påberåber sig sine rettigheder, behandler virksomheden anmodningen uden unødig forsinkelse. F.eks. når en registreret anmoder om sletning af sine personoplysninger i henhold til artikel 17 i GDPR. Det er vigtigt at huske på, at virksomheden skal behandle anmodningen inden for en (1) måned fra modtagelsen. Dette er hovedreglen.
Forlænget frist for besvarelse af registreredes anmodninger om deres rettigheder
I nogle tilfælde kan det være muligt for en virksomhed at få en forlænget frist. I sådanne tilfælde skal den registrerede dog underrettes om forlængelsen inden for den første måned. Den maksimale frist kan forlænges med yderligere to måneder, hvilket giver virksomheden i alt tre måneder til at behandle anmodningen.
Bemærk, at virksomheden skal kunne begrunde sin beslutning om forlængelse og give den registrerede en begrundelse. Et eksempel på, hvornår en forlængelse kan gælde, er, hvis virksomheden har modtaget et stort antal anmodninger på samme tid. Meget få virksomheder kan dog begrunde en gyldig forlængelse af fristen.
Omkostninger for registrerede til at udøve deres rettigheder
Det bør ikke koste de registrerede at få deres rettigheder i henhold til GDPR opfyldt. I henhold til hovedreglen har de registrerede således ret til fri adgang til oplysninger, deres personoplysninger berigtiget, slettet osv. Der er dog visse undtagelser fra denne hovedregel. Virksomheder kan f.eks. opkræve et gebyr, hvis den registrerede er åbenbart grundløs eller urimelig, f.eks. i tilfælde af flere gentagne anmodninger fra den samme person.
Identificere registrerede, der anmoder om at få tildelt en rettighed
Virksomhederne skal kunne identificere de registrerede, der anmoder om at få en rettighed opfyldt. Hvis ikke, er der risiko for, at virksomheden videregiver oplysningerne til uautoriserede personer. I sådanne tilfælde vil det udgøre et brud på persondatasikkerheden. Identifikationen skal dog foretages på en måde, der er forholdsmæssig og rimelig. For eksempel kan det være ulovligt for en virksomhed at anmode om en kopi af et ID-dokument, når virksomheden identificerer en person.
En virksomhed skulle betale en bøde, bl.a. fordi den havde anmodet om en kopi af et pas i et tilfælde, hvor det ikke var forholdsmæssigt. Passet indeholdt flere oplysninger end nødvendigt for at bevise den registreredes identitet.
Virksomhederne kan i stedet overveje at identificere den registrerede ved at stille andre kontrolspørgsmål. For eksempel ved at stille spørgsmål vedrørende den registreredes historie og tidligere kommunikation med virksomheden, verifikation af kontaktoplysninger, som virksomheden har registreret osv.
Virksomheder kan nægte at håndhæve rettigheder i visse tilfælde
I nogle tilfælde kan virksomheder få lov til at nægte at opfylde en rettighed, som en registreret har anmodet om. Hvis de f.eks. ikke kan identificere den registrerede. Det samme gælder, hvis det kan udgøre en risiko for andres friheder og rettigheder.
Anvendelse af tekniske og organisatoriske foranstaltninger for at overholde rettighederne
For at være godt rustet til at opfylde de registreredes rettigheder er det vigtigt at uddanne medarbejderne om den gældende lovgivning. Det er også fordelagtigt for virksomhederne at udarbejde følgende dokumentation og bl.a. træffe følgende foranstaltninger:
Meddelelse om beskyttelse af personlige oplysninger med oplysninger om behandling af personoplysninger
Registrerede har ret til information om virksomhedens behandling af deres personoplysninger. Oplysningerne skal være skriftlige og fremgå af en såkaldt “databeskyttelsesmeddelelse”. Det er en fordel for virksomheder at offentliggøre deres meddelelse om beskyttelse af personlige oplysninger online på deres officielle hjemmeside. Normalt er det tilgængeligt i bunden af en virksomheds hjemmeside.
Det er vigtigt at vide, hvornår oplysningerne om behandlingen vil blive præsenteret for den registrerede. Dette bør altid ske i forbindelse med indsamling af personoplysninger, hvis det er muligt. Databeskyttelsesforordningens artikel 13 og 14 regulerer, hvad databeskyttelsesmeddelelsen skal indeholde for at opfylde minimumskravene. Meddelelsen skal desuden være affattet på en måde, som modtageren forstår, og på det nationale sprog. Det bør ikke være for kompliceret formuleret.
Utilstrækkelige oplysninger om flere rettigheder
En virksomhed i Sverige skulle betale en bøde på 7,5 mio. SEK for bl.a. at give de registrerede utilstrækkelige oplysninger om deres rettigheder i henhold til GDPR. Oplysningerne var f.eks. utilstrækkelige med hensyn til retten til indsigelse m.v. Tilsynsmyndigheden fandt, at oplysningerne ikke var i overensstemmelse med kravet om gennemsigtighed.
Interne procedurer, som virksomhedens medarbejdere skal følge ved behandling af personoplysninger
Virksomhederne bør også etablere skriftlige interne procedurer, som medarbejderne skal implementere, når de behandler personoplysninger. F.eks. rutine for sletning af personoplysninger og håndtering af brud på persondatasikkerheden.
Ud over rutiner kan en virksomhed også udvikle færdige svarskabeloner for at lette opbevaringen, når en registreret påberåber sig sine rettigheder.
En virksomhed skal også implementere forskellige tekniske løsninger, både for at beskytte personoplysninger og for at kunne opfylde de registreredes rettigheder.
Her er et resumé af de vigtigste otte (8) rettigheder, som registrerede har i henhold til GDPR:
Ret til information (artikel 12, 13 og 14 i GDPR)
Når en virksomhed behandler personoplysninger, skal virksomheden informere de registrerede om behandlingen. Dette skal ske, før virksomheden begynder behandlingen (hvis det er muligt) og være gratis. Derudover har den registrerede ret til at anmode om at få kendskab til oplysningerne under behandlingen. I nogle tilfælde skal virksomhederne også underrette de registrerede, når der sker et brud på persondatasikkerheden.
Eksempler på oplysninger, der skal gives om behandlingen:
- Formål: Formålet med behandlingen.
- Retsgrundlag: Det retsgrundlag, som virksomheden anvender.
- Opbevaringsperiode: Hvor længe opbevarer virksomheden personoplysningerne.
- Rettigheder: De rettigheder, som registrerede har i henhold til GDPR.
- Klage: Den registrerede kan indgive en klage til den nationale tilsynsmyndighed.
- Kontaktoplysninger: Den dataansvarliges kontaktoplysninger. Derudover skal virksomheden medtage kontaktoplysninger for den databeskyttelsesansvarlige, hvis denne er udpeget.
Ret til indsigt (artikel 15 i GDPR)
Når en virksomhed behandler personoplysninger, har de registrerede ret til at kontakte virksomheden for at finde ud af, om de behandler personoplysninger, der tilhører dem eller ej. Databeskyttelsesforordningens artikel 15 regulerer dette, som udgør den såkaldte ret til indsigt. I sådanne tilfælde har den registrerede ret til at få en kopi af de personoplysninger, der behandles af den virksomhed, der tilhører den registrerede.
Eksempler på oplysninger, som virksomheden skal give den registrerede:
- Kopi: En kopi eller kompilering af den registreredes personoplysninger, som virksomheden behandler
- Formål: Hvad er formålet med behandlingen?
- Kategorier : De kategorier af personoplysninger, som virksomheden behandler.
- Opbevaringsperiode: Den periode, hvor virksomheden behandler personoplysningerne.
- Overførsler: De parter, som personoplysningerne er blevet overført til. F.eks. behandlere af personoplysninger.
- Oprindelse: Oplysninger om, hvordan virksomheden fik adgang til personoplysningerne. For eksempel, hvis det er den registrerede, der har givet oplysningerne, eller en tredjepart.
Ret til berigtigelse (artikel 16 i GDPR)
Virksomheder må ikke behandle ukorrekte eller ufuldstændige personoplysninger. Hvis virksomheden finder, at personoplysningerne er ukorrekte eller ufuldstændige, skal de rette eller komplettere dem. Alternativt sletter virksomheden de pågældende personoplysninger.
Desuden har registrerede ret til at anmode virksomheden om at berigtige personoplysninger, der er unøjagtige i henhold til artikel 16 i GDPR, som regulerer retten til berigtigelse. Korrektionen gennemføres derefter uden unødig forsinkelse. Bemærk venligst, at virksomheden også skal informere de registrerede, efter at de har foretaget en rettelse.
Ret til sletning (artikel 17 i GDPR)
I henhold til GDPR har en registreret ret til at bede en virksomhed om at slette sine personoplysninger, som virksomheden behandler. Dette følger af databeskyttelsesforordningens artikel 17, som regulerer retten til sletning. Denne ret benævnes også “retten til at blive glemt”. Dette betyder dog ikke altid, at virksomheden skal stoppe behandlingen og foretage sletningen. Der er visse undtagelser, der giver virksomheden ret til at fortsætte med at behandle personoplysningerne alligevel.
Her er nogle eksempler på, hvornår virksomheder bør slette personoplysninger i tilfælde af en anmodning fra en registreret:
- Når personoplysningerne ikke længere er nødvendige til det formål, hvortil de blev indsamlet.
- Hvis retsgrundlaget er samtykke, og den registrerede trækker det tilbage.
- Når formålet med behandlingen er direkte markedsføring, og den registrerede anmoder om, at virksomheden ophører.
- Hvis virksomheden har foretaget en interesseafvejning og konkluderet, at virksomheden har en legitim interesse. Bemærk, at virksomheden kan foretage en ny interesseafvejning efter at have modtaget anmodningen om sletning. Hvis virksomheden derefter stadig konkluderer, at virksomheden har en legitim interesse, kan de fortsætte behandlingen. Virksomheden skal dog begrunde interesseafvejningen og afgørelsen og underrette den registrerede herom.
Ret til begrænsning af behandling (artikel 18 GDPR)
I nogle tilfælde har registrerede ret til at anmode en virksomhed om at begrænse behandlingen af personoplysninger. F.eks. i forbindelse med en registrerets anmodning om at få sine personoplysninger berigtiget. I sådanne tilfælde har den registrerede ret til at anmode virksomheden om at begrænse behandlingen, indtil de har fastslået, om personoplysningerne er korrekte eller ej. Husk, at virksomheden skal informere den registrerede, når begrænsningen ophører.
Ret til dataportabilitet (artikel 20 i GDPR)
Denne ret betyder, at registrerede i visse tilfælde har ret til at få deres personoplysninger overført til en anden virksomhed. Hvis en registreret f.eks. har en konto på en social medietjeneste og ønsker at oprette en konto på en anden lignende tjeneste. Kravet til retten til dataportabilitet er, at retsgrundlaget for behandlingen enten er:
- Samtykke eller
- Aftale med den registrerede.
Ret til indsigelse (artikel 21 i GDPR)
Denne ret betyder, at registrerede kan gøre indsigelse mod behandlingen af deres personoplysninger til den virksomhed, der behandler dem. Dette betyder dog ikke altid, at virksomheden skal stoppe behandlingen. Hvis virksomheden f.eks. kan påvise, at de har en legitim interesse ved at afbalancere deres interesser, har de ret til at fortsætte behandlingen.
Her er tre situationer, hvor registrerede har ret til at gøre indsigelse:
- Offentlig interesse: hvis formålet med behandlingen er at udføre en opgave i samfundets interesse.
- Udøvelse af offentlig myndighed: når behandlingen foretages under udøvelse af offentlig myndighed.
- Legitim interesse: når behandlingen foretages på grundlag af en legitim interesse som retsgrundlag.
Automatiserede afgørelser (artikel 22 i GDPR)
En ret, som registrerede har i henhold til GDPR, må ikke gøres til genstand for automatiserede afgørelser. Med andre ord træffes beslutninger af en maskine uden personlig kontakt. Et eksempel på en automatiseret beslutning er, når en virksomhed beslutter at nægte at yde et kreditlån gennem en algoritme.
To tilfælde, hvor automatiske afgørelser er tilladt:
- Når formålet er at kunne opfylde en kontrakt.
- Når en virksomhed modtager udtrykkeligt samtykke fra den registrerede.
Flere rettigheder
Ud over disse ovenstående, der beskriver 8 centrale rettigheder, som en registreret har i henhold til GDPR, er der også flere rettigheder i GDPR. Blandt andet retten til at indgive en klage til tilsynsmyndigheden (artikel 77 i GDPR), retten til erstatning (artikel 82 i GDPR) og retten til at trække et givet samtykke tilbage (artikel 7, stk. 3, i GDPR).
Flere principper i GDPR
Retsgrundlag i henhold til GDPR
Der er retsgrundlag for lovlig behandling af personoplysninger i henhold til GDPR. Hver enkelt behandling af personoplysninger skal være baseret på et retsgrundlag. Som f.eks. samtykke eller opfyldelse af en kontrakt med den registrerede. Hvis en virksomhed ikke har et retsgrundlag for en behandling, er behandlingen ulovlig og må ikke udføres. Det er vigtigt at have kendskab til retsgrundlaget, for at behandlingen af personoplysninger kan udføres korrekt.