Artikel 15 i GDPR
Ret til indsigt
Retten til indsigt betyder, at registrerede har ret til indsigt i deres personoplysninger, som en virksomhed behandler. Databeskyttelsesforordningens artikel 15 regulerer denne ret. Retten til indsigt er en af de otte (8) grundlæggende rettigheder, som registrerede har i henhold til GDPR.
Kopi af den registreredes personoplysninger, der behandles af virksomheden
Hvis en registreret kontakter en virksomhed for at finde ud af, hvilke personoplysninger om ham eller hende virksomheden behandler, skal virksomheden give den registrerede adgang til oplysningerne. Bl.a. ved at udlevere en kopi af de pågældende personoplysninger.
Virksomheden er dog ikke forpligtet til at udlevere de dokumenter, der indeholder de pågældende personoplysninger. Det er ofte tilstrækkeligt at give et resumé af alle de personoplysninger, der er indeholdt i dokumentet. Det er vigtigt, at virksomheden opretter en samling, der er forståelig for den registrerede. Den udformes på en sådan måde, at den registrerede kan kontrollere, om personoplysningerne er lovlige og korrekte.
Giv en kopi af personoplysningerne elektronisk
Bemærk venligst, at virksomheden skal levere kompileringen eller kopien af personoplysningerne elektronisk, hvis anmodningen er indgivet elektronisk. Dette forudsætter, at den registrerede ikke anmoder om indsigt i et andet format. Hvis den indgives elektronisk, skal den være i et generelt maskinlæsbart format.
Ud over en kopi af de behandlede personoplysninger skal virksomheden også give visse oplysninger om behandlingen.
Oplysninger, som registrerede har ret til indsigt i i henhold til retten til indsigt:
- Formålet med behandlingen.
- De kategorier af personoplysninger, som virksomheden behandler.
- Hvis virksomheden overfører personoplysningerne til en anden part eller et tredjeland (ikke-EU/EØS-land). Herunder oplysninger om, hvem modtagerne er.
- De organisatoriske og tekniske sikkerhedsforanstaltninger, som virksomheden har truffet i forbindelse med overførsel af personoplysninger til et tredjeland.
- Tidsrammen for behandlingen.
- At den registrerede har ret til at få personoplysninger berigtiget eller slettet.
- Den registrerede har ret til at indgive en klage til den nationale tilsynsmyndighed, hvis vedkommende mener, at virksomheden overtræder GDPR.
- Hvordan virksomheden indsamlede personoplysningerne, hvis den ikke gjorde det gennem den registrerede.
- Om selskabet anvender automatiseret beslutningstagning.
- De konsekvenser, som behandlingen kan have for de registrerede.
Virksomheder, der behandler personoplysninger og modtager en anmodning om indsigt fra en registreret, behandler sagen uden unødig forsinkelse. Ifølge hovedreglen skal virksomheden behandle sagen senest inden for en måned. Det er dog muligt at forlænge fristen i visse tilfælde. I så fald kan fristen forlænges med højst to yderligere måneder. Virksomheden skal dog kunne begrunde forlængelsen og underrette den registrerede herom inden for den første måned.
Der er dog meget få situationer, der kan retfærdiggøre en forlængelse. Anbefalingen er derfor altid at forsøge at overholde hovedreglen. Det vil sige at behandle sagen inden for en måned efter modtagelsen af anmodningen.
Afslag på den registreredes anmodning
En virksomhed kan i visse særlige tilfælde afvise en anmodning om indsigt i personoplysninger fra registrerede. Databeskyttelsesforordningens artikel 12, stk. 5, og artikel 15, stk. 4, regulerer dette. Hvis virksomheden beslutter at afvise den registreredes anmodning, skal virksomheden begrunde afgørelsen og underrette den registrerede. Dette skal ske senest en måned efter, at selskabet har modtaget anmodningen.
Eksempler på, hvornår en virksomhed kan nægte at give den registrerede denne ret
Involverer risiko
videregivelsen af personoplysningerne kan medføre en risiko for den registreredes andre rettigheder og frihedsrettigheder Eller hvis det kan udgøre en risiko eller ulempe for andre registrerede.
Tilbagevendende
når en registreret anmoder om regelmæssigt at få adgang til de samme oplysninger i en kort periode Det samme gælder, hvis det er klart ubegrundet. Eller hvis anmodningen er urimelig og ubegrundet. Vær opmærksom på, at virksomheden skal kunne dokumentere dette.
Beskyttelse af nationale interesser
Hvis de personoplysninger, som virksomheden behandler, kan udgøre en risiko for den nationale interesse, hvis en registreret får adgang til dem.
Omkostninger for registrerede til at udøve deres rettigheder i henhold til GDPR
Hovedreglen er, at det bør være gratis for registrerede at få deres ret til indsigt opfyldt. Der er dog undtagelser. Virksomheder kan f.eks. få lov til at opkræve et gebyr, hvis den registrerede anmoder om flere kopier af de samme oplysninger. Bemærk venligst, at gebyret skal være rimeligt til at dække de administrative omkostninger. Med andre ord kan det ikke være for højt et gebyr.
Styrkelse af identiteten
Det kan være nødvendigt for virksomheden først at bevise identiteten af den registrerede, der anmoder om adgang til personoplysninger. Hvis virksomheden videregiver personoplysningerne til den forkerte person, er der tale om et brud på persondatasikkerheden. Det er noget, virksomhederne skal forsøge at forhindre. Bevis for en registrerets identitet betyder ikke nødvendigvis, at virksomheden altid har ret til at anmode om en kopi af et ID-dokument. Det kan endda være forbudt. I stedet bør virksomheden overveje at stille andre typer kontrolspørgsmål.
Flere rettigheder i henhold til GDPR
Ret til berigtigelse
Virksomhederne skal sikre, at de personoplysninger, de behandler, er korrekte og fuldstændige. Der kan dog være ukorrekte eller ufuldstændige personoplysninger. Hvis virksomheden bemærker, at personoplysningerne er forkerte, skal de rette dem. Derudover har de registrerede ret til at kontakte virksomheden, hvis de mener, at personoplysningerne er ukorrekte eller ufuldstændige. I henhold til retten til berigtigelse i GDPR har en registreret ret til at anmode om berigtigelse eller færdiggørelse af sine personoplysninger. Bemærk venligst, at virksomheden skal informere den registrerede, efter at de har rettet personoplysningerne.