GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 12-22 GDPR

Åtte viktige rettigheter for registrerte i henhold til GDPR

Personer hvis personopplysninger behandles av et selskap, kalles «registrerte personer». Under GDPR er det flere rettigheter som de registrerte har i forhold til deres personopplysninger.

Denne siden gir informasjon om de åtte (8) sentrale rettighetene som de registrerte har under GDPR. Nemlig den registrertes rett til:

  • Opplysninger (artikkel 12, 13 og 14)
  • Tilgang (artikkel 15)
  • Rettelse (artikkel 16)
  • Sletting (artikkel 17)
  • Begrensning av behandling (artikkel 18)
  • Dataportabilitet (artikkel 20)
  • Innvendinger (artikkel 21), og
  • Rettigheter knyttet til automatisert beslutningstaking og profilering (artikkel 22)

I tillegg til informasjonen om rettighetene som er angitt i de respektive relevante artiklene i GDPR, kan du også finne mer informasjon i betraktning 58 til 73 i GDPR. 

Før vi utdyper de ovennevnte 8 rettighetene som de registrerte har under GDPR, er det viktig å forstå hvordan selskapet skal handle når en registrert sender inn en forespørsel om å få en rett opprettholdt. Derfor starter vi med å beskrive prosessen nedenfor og de relaterte reglene. Dette etterfølges av et sammendrag av de viktigste 8 rettighetene som de registrerte har under GDPR.

What breaches of the GDPR can lead to an administrative fine?

Hvor lenge et selskap må overholde når en registrert ber om tilfredsstillelse av en rettighet

Når et selskap mottar en forespørsel fra en registrert som påberoper seg sine rettigheter, skal selskapet behandle forespørselen uten unødig forsinkelse. For eksempel når en registrert ber om sletting av hans eller hennes personopplysninger i henhold til artikkel 17 GDPR. Det er viktig å huske på at selskapet må håndtere forespørselen innen en (1) måned etter mottak. Dette er hovedregelen. 

Forlengelse av fristen for å svare på de registrertes anmodninger om deres rettigheter

I noen tilfeller kan det være mulig for et selskap å få en forlengelse av tid. I slike tilfeller må imidlertid den registrerte informeres om forlengelsen innen den første måneden. Maksimumsfristen kan forlenges med ytterligere to måneder, noe som gir selskapet totalt tre måneder til å behandle forespørselen. 

Vær oppmerksom på at selskapet må kunne begrunne sin beslutning om utvidelsen og gi begrunnelsen til den registrerte. Et eksempel på når en forlengelse kan vurderes er hvis selskapet har mottatt et svært stort antall forespørsler samtidig. Svært få selskaper kan imidlertid rettferdiggjøre en gyldig forlengelse av fristen.

Kostnad for registrerte å utøve sine rettigheter

Det skal ikke koste de registrerte å få sine rettigheter i henhold til GDPR respektert. I henhold til den generelle regelen har de registrerte derfor rett til å få tilgang gratis til informasjon, deres personopplysninger rettet, slettet, etc. Det er imidlertid noen unntak fra denne generelle regelen. For eksempel kan selskaper kreve et gebyr hvis den registrerte er åpenbart ubegrunnet eller overdreven, for eksempel i tilfelle flere gjentatte forespørsler fra samme person.

Identifisere registrerte som ber om tilfredsstillelse av en rettighet

Bedrifter må kunne identifisere de registrerte som ber om tilfredsstillelse av en rettighet. Hvis ikke, er det en risiko for at selskapet vil videreformidle informasjonen til uautoriserte personer. I slike tilfeller vil det utgjøre et brudd på personopplysningssikkerheten. På den annen side må identifikasjonen utføres på en måte som er forholdsmessig og rimelig. For eksempel kan det være utillatelig for et selskap å be om en kopi av et ID-dokument når de identifiserer en person.

Et selskap måtte betale en bot fordi det blant annet hadde bedt om en kopi av pass i en sak der det ikke var forholdsmessig. Passet inneholdt mer informasjon enn det som er nødvendig for å bevise identiteten til den registrerte. 

I stedet kan selskaper vurdere å identifisere den registrerte ved å stille andre verifiseringsspørsmål. For eksempel ved å stille spørsmål om den registrertes historie og tidligere kommunikasjon med selskapet, verifisere kontaktopplysninger registrert av selskapet, etc.

Selskaper kan nekte å oppfylle rettigheter i visse tilfeller

I noen tilfeller kan selskaper få lov til å nekte å tilfredsstille en rettighet forespurt av en registrert. For eksempel, hvis de ikke kan identifisere den registrerte. Det samme gjelder dersom det kan utgjøre en risiko for andres friheter og rettigheter. 

Bruk tekniske og organisatoriske tiltak for å oppfylle rettighetene

For å være godt forberedt på å oppfylle de registrertes rettigheter, er det viktig å lære opp ansatte i gjeldende lov. Det er også en fordel for bedrifter å utarbeide følgende dokumentasjon og blant annet ta følgende skritt:

Personvernerklæring som inneholder informasjon om behandling av peronedata

De registrerte har rett til informasjon om selskapets behandling av deres personopplysninger. Informasjonen skal være skriftlig og inneholdt i en såkalt «personvernmelding». Det er fordelaktig for bedrifter å publisere deres personvernerklæring online på deres offisielle nettside. Den er vanligvis tilgjengelig i bunnteksten på et selskaps nettsted. 

Det er viktig å vite når informasjonen om behandlingen vil bli presentert for den registrerte. Dette bør alltid gjøres på tidspunktet for innsamling av personopplysninger, der det er mulig. Artikkel 13 og 14 i GDPR regulerer innholdet i personvernerklæringen for å overholde minimumskravene. I tillegg må meldingen utformes på en måte som mottakeren forstår og på det nasjonale språket. Det må ikke bli for komplisert.

Measures that companies need to take to comply with GDPR

Forutsatt mangelfull informasjon i forhold til flere rettigheter

Et selskap i Sverige måtte betale en bot på 7,5 millioner svenske kroner for blant annet å ha gitt mangelfull informasjon til de registrerte om deres rettigheter under GDPR. Opplysningene var for eksempel mangelfulle med hensyn til innsigelsesrett mv.

Interne prosedyrer som skal følges av ansatte i foretaket ved behandling av personopplysninger

Bedrifter bør også etablere skriftlige interne prosedyrer som skal implementeres av ansatte ved behandling av personopplysninger. For eksempel prosedyrer for tynning av personopplysninger og håndtering av brudd på personopplysninger. 

I tillegg til rutiner kan et selskap også utvikle ferdige modellsvarskjemaer for å lette bevaring når en registrert påberoper seg sine rettigheter.

Et selskap må også implementere og implementere ulike tekniske løsninger, både for å beskytte personopplysninger og for å sikre rettighetene til de registrerte.    

Her er et sammendrag av de åtte kjernerettighetene som de registrerte har under GDPR:

Rett til informasjon (artikkel 12, 13 og 14 GDPR)

Når et selskap behandler personopplysninger, skal det informere de registrerte om behandlingen. Dette bør gjøres før selskapet starter behandlingen (hvis mulig) og bør være gratis. I tillegg har den registrerte rett til å be om å få vite informasjonen under behandlingen. I noen tilfeller må selskapene også informere de registrerte når et brudd på personopplysninger oppstår.

Eksempler på informasjon som skal gis om behandlingen: 

  • Formål: formålene med behandlingen. 
  • Rettslig grunnlag: det rettslige grunnlaget som benyttes av foretaket. 
  • Oppbevaringstid: Hvor lenge selskapet vil lagre personopplysningene. 
  • Rettigheter: De registrertes rettigheter i henhold til GDPR. 
  • Klager: muligheten for den registrerte til å sende inn en klage til den nasjonale tilsynsmyndigheten.
  • Kontaktopplysninger: kontaktopplysningene til den behandlingsansvarlige, I tillegg skal selskapet inkludere kontaktinformasjonen til databeskyttelsesansvarlig, hvis utnevnt. 

Rett til innsyn (artikkel 15 GDPR)

Når et selskap behandler personopplysninger, har de registrerte rett til å kontakte selskapet for å få vite om de behandler personopplysninger som tilhører dem eller ikke. Artikkel 15 i GDPR regulerer dette, som utgjør «adgangsretten». I slike tilfeller har den registrerte rett til å få en kopi av personopplysningene som behandles av selskapet som tilhører den registrerte. 

Eksempler på informasjon som skal gis av selskapet til den registrerte:

  • Kopi av: En kopi eller et sammendrag av den registrertes personopplysninger som behandles av selskapet.
  • Formål: formålet med behandlingen. 
  • Kategorier: Kategoriene av personopplysninger som behandles av foretaket.
  • Oppbevaringstid: Perioden hvor selskapet behandler personopplysningene.
  • Overføringer: Partene som personopplysningene er overført til; For eksempel prosessorer.
  • Utseende: Informasjon om hvordan selskapet fikk tilgang til personopplysningene. For eksempel, om det er den registrerte som har gitt informasjonen eller en tredjepart.

Rett til korrigering (artikkel 16 GDPR)

Selskaper skal ikke behandle unøyaktige eller ufullstendige personopplysninger. Hvis selskapet oppdager at personopplysningene er unøyaktige eller ufullstendige, skal de rette eller fullføre dem. Alternativt skal selskapet slette de aktuelle personopplysningene. 

I tillegg har de registrerte rett til å be selskapet om å rette opp personopplysninger som er unøyaktige i henhold til artikkel 16 i GDPR, som regulerer retten til korrigering. Korreksjonen skal deretter utføres uten unødig forsinkelse. Vær oppmerksom på at selskapet også må informere de registrerte etter at de har korrigert.

Rett til sletting (artikkel 17 GDPR)

I henhold til GDPR har en registrert rett til å be et selskap om å slette sine personopplysninger som behandles av selskapet. Dette følger av artikkel 17 i GDPR, som regulerer retten til sletting. Denne retten kalles også «retten til å bli glemt». Dette betyr imidlertid ikke alltid at selskapet må stoppe behandlingen og utføre slettingen. Faktisk er det visse unntak som tillater det aktuelle foretaket å ha rett til å fortsette behandlingen av personopplysninger. 

Her er noen eksempler på når selskaper bør slette personopplysninger i tilfelle en datasubjektforespørsel: 

  • Når personopplysningene ikke lenger er nødvendige for det formålet de ble samlet inn for. 
  • Hvis det juridiske grunnlaget er samtykke og den registrerte trekker det tilbake. 
  • Når formålet med behandlingen er direkte markedsføring og den registrerte ber om at virksomheten opphører. 
  • Om foretaket har foretatt en interesseavveining og har konkludert med at foretaket har en berettiget interesse, Vær oppmerksom på at selskapet kan rebalansere interesser etter å ha mottatt en forespørsel om sletting. Hvis selskapet da fortsatt konkluderer med at det har en legitim interesse, kan de fortsette behandlingen. På den annen side må selskapet begrunne interesseavveiningen og beslutningen og informere den registrerte.

Rett til begrensning av behandling (artikkel 18 GDPR)

I noen tilfeller har de registrerte rett til å be et selskap om å begrense behandlingen av personopplysninger. For eksempel når en registrert ber om korrigering av hans eller hennes personopplysninger. I slike tilfeller har den registrerte rett til å be selskapet om å begrense behandlingen til de har fastslått om personopplysningene er nøyaktige eller ikke. Vær oppmerksom på at selskapet må informere den registrerte når begrensningen opphører. 

Rett til dataportabilitet (artikkel 20 GDPR)

Denne retten innebærer at de registrerte i noen tilfeller har rett til å få sine personopplysninger overført til et annet selskap. For eksempel hvis en registrert person har en konto på en sosial medietjeneste og ønsker å opprette en konto på en annen lignende tjeneste. Kravet om rett til dataportabilitet er at det lovlige grunnlaget for behandlingen er enten: 

  • Samtykke, eller 
  • Kontrakt med den registrerte. 

Rett til å protestere (artikkel 21 GDPR)

Denne retten gjør det mulig for de registrerte å protestere mot behandling av sine personopplysninger til selskapet som behandler dem. Dette betyr imidlertid ikke alltid at selskapet må stoppe behandlingen. Dersom foretaket for eksempel kan påvise en berettiget interesse ved å utføre en ny utjevningsøvelse, har de rett til å fortsette behandlingen.  

Her er tre situasjoner der de registrerte har rett til å protestere: 

  • Offentlig interesse: når formålet med behandlingen er å utføre en oppgave i allmennhetens interesse. 
  • Utøvelse av offentlig myndighet: når behandlingen utføres under utøvelse av offentlig myndighet.
  • Berettiget interesse: Hvor behandlingen utføres etter en interesseavveining med en legitim interesse som lovlig grunnlag. 

Automatiserte avgjørelser (artikkel 22 GDPR)

En registrerts rett i henhold til GDPR skal ikke være underlagt automatiserte beslutninger. Med andre ord, beslutninger tatt av en maskin uten personlig kontakt. Et eksempel på en automatisert beslutning er når et selskap bestemmer seg for å nekte tildeling av et kredittlån ved hjelp av en algoritme. 

To tilfeller der automatiserte avgjørelser er tillatt: 

  • Hvor formålet er utførelsen av en kontrakt. 
  • Når et selskap får uttrykkelig samtykke fra den registrerte.
Flere rettigheter

I tillegg til ovenstående, som beskriver 8 sentrale rettigheter en registrert har under GDPR, er det også flere rettigheter i GDPR. Disse inkluderer retten til å sende inn en klage til tilsynsmyndigheten (artikkel 77 i GDPR), retten til skader (artikkel 82 i GDPR) og retten til å trekke tilbake samtykke (artikkel 7 (3) i GDPR). 

Flere prinsipper i GDPR

Rettslig grunnlag under GDPR

Det finnes juridiske grunnlag for lovlig behandling av personopplysninger i henhold til GDPR. Hver enkelt behandling av personopplysninger må utføres på grunnlag av et rettslig grunnlag. For eksempel samtykke eller utførelse av en kontrakt med den registrerte. Hvis et selskap ikke har et juridisk grunnlag for en behandling, er behandlingen ulovlig og skal ikke gjennomføres. Det er viktig å ha kunnskap om det rettslige grunnlaget for riktig behandling av personopplysninger. 

Lyst til å lære mer?

Les mer
Skroll til toppen