GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Artikel 12, 13 & 14 i GDPR

Ret til information

Når en virksomhed behandler personoplysninger, har de registrerede ret til at modtage oplysninger om behandlingen, indsamlingen og brugen. Artikel 12, 13 og 14 i EU’s generelle forordning om databeskyttelse (GDPR) regulerer denne ret. Dette er en af de otte (8) grundlæggende rettigheder, som registrerede har i henhold til GDPR. 

Grundlæggende rettigheder - ret til information

Hvis virksomheden har modtaget personoplysninger om den registrerede direkte fra den registrerede selv, finder artikel 13 i GDPR anvendelse. Hvis virksomheden har modtaget personoplysningerne fra en anden end den registrerede, finder artikel 14 i GDPR anvendelse. Disse artikler regulerer minimumsindholdet af oplysningerne.

Tidspunkt for underretning af de registrerede

  • Artikel 13 GDPR: Hvis virksomheden har modtaget personoplysningerne direkte fra den registrerede, skal virksomheden informere om behandlingen, når virksomheden modtager personoplysningerne. 
  • Artikel 14 GDPR: Hvis virksomheden indsamler personoplysningerne fra en anden kilde end den registrerede, skal virksomheden give oplysningerne:
  1. Inden for en rimelig frist fra datoen for modtagelsen, men ikke mere end 1 måned. Ved vurderingen af den rimelige frist tager virksomheden hensyn til de særlige omstændigheder ved behandlingen af de personoplysninger, der findes. Der er således behov for en specifik vurdering i hvert enkelt tilfælde.
  2. Hvis Selskabet skal behandle personoplysningerne for at kommunikere med den registrerede, skal oplysningerne om behandlingen gives senest, når den første kommunikation finder sted, eller
  3. Hvis virksomheden har til hensigt at videregive personoplysningerne til en anden modtager, skal oplysningerne om behandlingen gives senest første gang personoplysningerne videregives.
What breaches of the GDPR can lead to an administrative fine?

Hvis de registrerede er børn

I nogle tilfælde har virksomheder lov til at behandle personoplysninger, der tilhører børn, uden samtykke fra værgen. Reglerne er imidlertid strengere, når det drejer sig om behandling af personoplysninger, der tilhører børn. Virksomheden skal f.eks. sikre, at oplysningerne om behandlingen er let forståelige for de registrerede børn. Desuden skal meddelelsen om beskyttelse af privatlivets fred affattes på samme sprog som den nationale meddelelse. En stor international virksomhed, der driver en mobilapplikation med mange børn som brugere, informerede brugerne om behandlingen af personoplysninger på engelsk i Holland. Dette var ikke tilladt, og virksomheden måtte derfor betale en bøde.

Informere de registrerede via en meddelelse om beskyttelse af personlige oplysninger

Det er vigtigt at sikre, at virksomheden giver de oplysninger, som GDPR kræver mindst. Oplysningerne bør formuleres skriftligt i en såkaldt “privacy notice”. Det er almindeligt for virksomheder at offentliggøre deres meddelelse om beskyttelse af personlige oplysninger på deres officielle hjemmeside. Denne type meddelelse offentliggøres ofte i bunden af et websted, så det er altid nemt at finde. Bemærk venligst, at virksomheden skal have sin meddelelse om beskyttelse af personlige oplysninger adskilt fra andre dokumenter. Det betyder, at en meddelelse om beskyttelse af personlige oplysninger ikke bør indgå i f.eks. generelle vilkår og betingelser eller lignende. 

Indholdet af en meddelelse om beskyttelse af personlige oplysninger

En meddelelse om beskyttelse af personoplysninger bør f.eks. indeholde oplysninger om følgende til de registrerede om virksomhedens behandling af personoplysninger:

Controller og processor

Hvem er den dataansvarlige og kontaktoplysninger. Desuden skal det oplyses, om virksomheden ansætter en person, der behandler personoplysninger.

Retsgrundlag

det retsgrundlag, som virksomheden baserer behandlingen på For eksempel samtykke, aftaler med registrerede eller legitim interesse.

Formål

Hvad er formålet med behandlingen? Formålet skal være specifikt og klart for de registrerede.

Opbevaringsperiode

Hvor længe virksomheden vil behandle og gemme personoplysningerne. Det er vigtigt at huske på, at virksomheder bør slette personoplysningerne, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet.

Tredjeland

hvis virksomheden overfører personoplysninger til et tredjeland Med andre ord et land uden for EU-EØS-området. Når en virksomhed overfører personoplysninger til et tredjeland, er reglerne strengere.

Rettigheder

de registreredes rettigheder F.eks. retten til indsigt i oplysninger og retten til at slette oplysninger.

Kilde

Virksomheder, der modtager personoplysninger på anden måde end direkte fra den registrerede, underretter de registrerede om, hvordan de har indsamlet personoplysningerne.

En virksomhed behøver ikke altid at give oplysninger til de registrerede

Her er eksempler på nogle situationer, hvor en virksomhed ikke behøver at videregive oplysninger om behandlingen til registrerede: 

  • Hvis en registreret allerede har adgang til oplysningerne. Hvis oplysningerne f.eks. vises, hver gang en person logger ind på sin konto på en betalingstjeneste. 
  • Hvis virksomheden indsamler personoplysninger fra en anden kilde, og det ville være uforholdsmæssigt eller alternativt umuligt at give adgang til oplysningerne. Dette gælder især, når behandlingen af personoplysninger finder sted til videnskabelige forskningsformål, historiske forskningsformål eller arkiveringsformål, der er i samfundets interesse.
  • Hvis videregivelsen eller indhentningen af personoplysninger udtrykkeligt er baseret på en lov, som den registrerede er underlagt, forudsat at denne lov fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser, eller
  • I tilfælde af at en virksomhed er forpligtet til at holde de pågældende personoplysninger fortrolige på grund af en lov, som virksomheden er underlagt. Det vil sige, at virksomheden er bundet af en retlig forpligtelse til at respektere fortroligheden af de pågældende personoplysninger, der behandles. 

Flere rettigheder i henhold til GDPR

Ret til indsigt 

En person har ret til at anmode om adgang til sine personoplysninger, som en virksomhed behandler. Efter en sådan anmodning skal virksomheden give en sådan adgang. Virksomheden skal bl.a. oplyse, hvilke kategorier af personoplysninger virksomheden behandler, formålet med behandlingen, hvor længe opbevaringsperioden er, og hvordan indsamlingen har fundet sted. Virksomheden skal desuden fremlægge en kopi af de behandlede personoplysninger om den registrerede, der indgav anmodningen om indsigt.

Vil du lære mere?

Læs mere
Scroll to Top