Roller i GDPR
Registrerede i henhold til GDPR
De registrerede er i henhold til databeskyttelsesforordningens artikel 4 den fysiske person, hvis personoplysninger behandles. For eksempel kunder, medarbejdere, patienter eller andre personer.
Definition af personoplysninger
Når det er muligt at knytte en data, direkte eller indirekte, til en person, der er i live, er der tale om personoplysninger i henhold til GDPR. For eksempel et navn, CPR-nummer, hjemmeadresse, IP-adresse, telefonnummer eller lignende. Jo vigtigere personoplysningerne er, jo højere er sikkerhedskravene. Der er fire grupper af personoplysninger, der er følsomme over for privatlivets fred, hvoraf den ene er følsomme personoplysninger. Privatlivsfølsomme personoplysninger skal behandles med større sikkerhed end f.eks. “almindelige personoplysninger, f.eks. et navn. Bemærk venligst, at GDPR ikke gælder for personoplysninger om afdøde personer.
Registrerede har en række grundlæggende rettigheder i henhold til GDPR
I henhold til GDPR har registrerede en række rettigheder, som virksomheder skal kunne opfylde. Derfor skal virksomhederne bl.a. etablere rutiner for at gøre det. Når en registreret anmoder om at få tildelt en rettighed, skal dette ske inden for en måned. Virksomheden kan dog i visse undtagelsestilfælde forlænge fristen med højst to måneder. Nedenfor er en oversigt over de vigtigste rettigheder, som registrerede har i henhold til GDPR.
Grundlæggende rettigheder
Ret til information (artikel 12, 13 og 14 i GDPR)
Når en virksomhed behandler personoplysninger, skal de registrerede informeres om behandlingen. Blandt andet hvad formålet med behandlingen er, hvor længe behandlingen finder sted, om personoplysninger overføres til et tredjeland osv. Desuden skal de registrerede informeres i tilfælde af visse typer brud på persondatasikkerheden, der berører dem og deres personoplysninger.
Ret til indsigt (artikel 15 i GDPR)
En registreret ønsker måske at vide, om en virksomhed behandler deres personoplysninger eller ej. I sådanne tilfælde kan den registrerede anmode om indsigt i de behandlede personoplysninger, der tilhører den pågældende. I nogle tilfælde har den registrerede dog ikke ret til at få udleveret de originale dokumenter. Hvis det f.eks. kan medføre en ulempe for en anden registreret.
Ret til berigtigelse (artikel 16 i GDPR)
Hvis en virksomhed behandler personoplysninger, der er ukorrekte eller ufuldstændige, skal de rettes eller suppleres. Dette gælder både, hvis en registreret anmoder om det, eller hvis virksomheden selv opdager det. I nogle tilfælde kan en registreret dog tage fejl, når vedkommende anser personoplysningerne for at være ukorrekte. Derfor bør virksomheden først kontrollere, om de faktisk er ukorrekte eller ej. Bemærk venligst, at Selskabet skal informere modtagerne af de personoplysninger, der er genstand for berigtigelsen, forudsat at dette ikke er umuligt eller for vanskeligt (omfattende indsats).
Ret til sletning (artikel 17 i GDPR)
Virksomheder skal slette personoplysninger på visse forskellige tidspunkter. For eksempel, hvis personoplysningerne ikke længere er nødvendige for at behandle til det formål, hvortil de blev indsamlet. Det samme gælder, hvis en registreret anmoder om sletning af sine personoplysninger. Virksomheder kan dog være nødt til at behandle visse personoplysninger på grund af f.eks. andre love. Sletningen af personoplysninger finder også sted, når en registreret f.eks. trækker sit samtykke til behandlingen tilbage.
Ret til begrænsning af behandling (artikel 18 GDPR)
Hvis en registreret anmoder om at få sine unøjagtige personoplysninger berigtiget, kan vedkommende også anmode virksomheden om at begrænse behandlingen under undersøgelsen, indtil berigtigelsen er afsluttet. Når begrænsningen ophører, underrettes de registrerede herom af virksomheden.
Ret til dataportabilitet (artikel 20 i GDPR)
Hvis en virksomhed behandler den registreredes personoplysninger på grundlag af samtykke eller kontrakt, har den registrerede ret til at modtage dem i et struktureret, maskinlæsbart format. Derudover har den registrerede ret til at få dem overført til en anden dataansvarlig, hvor det er teknisk muligt. Formålet med bestemmelsen er at gøre det let for privatpersoner at skifte mellem konkurrerende tjenesteydere.
Ret til indsigelse (artikel 21 i GDPR)
Hvis en virksomhed behandler personoplysninger for at udføre en opgave, der er i samfundets interesse, og dette sker efter en interesseafvejning eller som led i udøvelsen af offentlig myndighed, har de registrerede ret til at gøre indsigelse mod behandlingen. Hvis en virksomhed f.eks. ønsker at udsende reklame-e-mails, efter at de har afvejet deres interesser og konkluderet, at de har en legitim interesse i behandlingen, kan de registrerede anmode om, at virksomheden stopper. Med andre ord skal virksomheder stoppe direkte markedsføring til folk, der har anmodet om det.
Automatiserede afgørelser (artikel 22 i GDPR)
Registrerede har ret til ikke at være genstand for afgørelser, der udelukkende er baseret på automatisk behandling, herunder profilering, hvis afgørelsen i væsentlig grad påvirker den registrerede. Undtagelser gælder, hvis beslutningen er nødvendig for en kontrakt eller påkrævet ved lov. I sådanne tilfælde har den registrerede ret til at anmode om menneskelig prøvelse af afgørelsen. I nogle tilfælde har virksomheder dog lov til at træffe beslutninger baseret på automatiseret beslutningstagning. F.eks. hvis den registrerede giver sit udtrykkelige samtykke, eller hvis det er nødvendigt for opfyldelsen/indgåelsen af en kontrakt.
Forskellige roller i GDPR
Registreret
Den fysiske person, hvis personoplysninger behandles
Den registeransvarlige
Den organisation, der bestemmer midlerne til og formålet med behandlingen af personoplysninger, er den dataansvarlige. F.eks. et aktieselskab. Det er derfor ikke en bestemt person i virksomheden, medmindre det er en enkeltmandsvirksomhed, og han eller hun er den dataansvarlige.
Forarbejdningsvirksomhed
Når en virksomhed behandler personoplysninger på vegne af en dataansvarlig i henhold til dennes instrukser, finder behandlingen sted i rollen som databehandler. For eksempel et revisionsfirma, der behandler sine kunders personoplysninger, når det udfører regnskabet for sine kunder.
Databeskyttelsesrådgiver
Nogle virksomheder har brug for en databeskyttelsesrådgiver. Det er en person, der arbejder for at kontrollere, at virksomheden overholder GDPR og hjælper med f.eks. rådgivning i forbindelse med udførelsen af en konsekvensanalyse. Registrerede og ansatte i virksomheden har ret til at kontakte den databeskyttelsesansvarlige for spørgsmål vedrørende behandlingen af deres personoplysninger. Virksomheder, der ikke er forpligtet til at have en databeskyttelsesrådgiver, kan vælge at udpege en repræsentant frivilligt.
Identifikation af den registrerede
For at opfylde den ret, som en registreret anmoder om, skal virksomheden først identificere den registrerede, der fremsætter anmodningen. Hvis virksomheden ikke er i stand til at identificere den registrerede, men stadig sletter personoplysninger efter anmodning, og sidstnævnte viser sig at være den forkerte person, der anmodede om sletningen, er det et brud på persondatasikkerheden. Dette er noget, virksomheder bør forhindre gennem tekniske og organisatoriske sikkerhedsforanstaltninger. Bemærk dog, at identifikationen og tilgangen skal være forholdsmæssig. Det kan f.eks. være uforholdsmæssigt at anmode om en kopi af et pas, hvis der findes andre mindre privatlivsfølsomme måder at identificere en person på.
Frist for besvarelse af en registrerets anmodning om at få en rettighed opfyldt
Når en registreret anmoder om at få en rettighed opfyldt, skal virksomheden efterkomme anmodningen inden for en måned efter modtagelsen af anmodningen. På den anden side er det i visse tilfælde muligt at forlænge fristen med yderligere to måneder. Det er derefter vigtigt at underrette den registrerede om forlængelsen og begrundelsen for afgørelsen. Et eksempel, hvor en forlængelse af fristen kan tillades, er, når en virksomhed modtager et usædvanligt stort antal komplekse anmodninger på samme tid.
Behandling af personoplysninger af hensyn til den offentlige sikkerhed
GDPR finder ikke anvendelse, når myndighederne foretager en behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger. Det samme gælder, hvis en myndighed håndhæver retlige sanktioner. For eksempel, hvis en person er dømt for en forbrydelse i retten og er idømt fængselsstraf. I sådanne tilfælde skal fængslet behandle den dømtes personoplysninger.
En virksomheds virksomheds identitetsnummer er normalt ikke en persons personoplysninger
I de fleste tilfælde er en virksomheds registreringsnummer ikke personoplysninger. Men det kan det være. Det er f.eks. personoplysninger, hvis der er tale om en enkeltmandsvirksomhed, hvor virksomhedsidentifikationsnummeret er det samme som ejerens personidentifikationsnummer. Derudover er info@corporate.com ikke personoplysninger.
Registrerede kan modtage erstatning for overtrædelser af GDPR
Hvis en organisation overtræder GDPR, er det muligt for en registreret at modtage erstatning i visse tilfælde. På den anden side er dette ikke noget, som en tilsynsmyndighed anmoder om tilsyn eller i sine afgørelser. I stedet skal den registrerede anlægge et civilt søgsmål mod virksomheden i sin egen særskilte retssag. Hvis en tilsynsmyndighed udsteder en bøde til en virksomhed, der overtræder GDPR, er det et beløb, der betales til staten, ikke til de berørte registrerede. Vær dog opmærksom på, at det kan være fordelagtigt i en civil sag, hvis organisationen har modtaget en bøde for tilsynsmyndighedens overtrædelse af GDPR.
Registrerede kan have ret til erstatning i tilfælde af frygt for, at personoplysninger kan blive misbrugt i fremtiden
Efter at registrerede, der var blevet berørt af et cyberangreb mod skattemyndigheden i Bulgarien, valgte nogle af dem at sagsøge de bulgarske skattemyndigheder og kræve erstatning. De frygtede, at personoplysningerne kunne blive misbrugt i fremtiden. Med andre ord krævede de registrerede erstatning for den immaterielle skade, der var forårsaget af bruddet på persondatasikkerheden. Sagen gik helt op til Korkein hallinto-oikeus (øverste domstol i forvaltningsretlige sager) i Bulgaren, som anmodede Den Europæiske Unions Domstol om en præjudiciel afgørelse om ansvar. EU-Domstolen fandt, at registrerede kan have ret til erstatning, hvis der er en velbegrundet frygt for, at personoplysningerne kan blive misbrugt i fremtiden.
Persondatabehandlere kan også være erstatningsansvarlige
Hvis en databehandler behandler personoplysninger i strid med den dataansvarliges instrukser og overtræder GDPR, kan databehandleren være ansvarlig over for den registrerede. Dette fremgår af databeskyttelsesforordningens artikel 82.
Flere oplysninger om ROOLES
Regulerende myndigheder
Hvert land i EU har en national tilsynsmyndighed, der behandler GDPR-sagen. De har blandt andet beføjelse til at udstede bøder til virksomheder, der overtræder GDPR. Derudover offentliggør de publikationer og andre oplysninger om GDPR, der kan være nyttige at vide. En registreret, der ønsker at indgive en klage vedrørende behandlingen af sine personoplysninger, kan altid indgive den til den nationale tilsynsmyndighed i sit eget bopælsland, hvis den er i EU, selv om den ikke er den ledende tilsynsmyndighed for virksomheden. For eksempel, hvis det er en stor international virksomhed. Hvis tilsynsmyndigheden finder, at en anden national tilsynsmyndighed er mere hensigtsmæssig eller ansvarlig, kan den henvise sagen til den.