Sådan overholder du de registreredes GDPR-rettigheder

Indsigt
10.11.2022

Databeskyttelsesforordningen giver en lang række rettigheder til de personer, du behandler oplysninger om. Læs her, hvordan du sikrer, at din virksomhed eller organisation overholder reglerne.

Databeskyttelsesforordningen, eller GDPR, handler om at beskytte personers oplysninger. Det er et krav, at den enkelte kan gennemskue blandt andet, hvem der behandler oplysninger om vedkommende, hvorfor oplysningerne behandles, og hvor længe oplysningerne behandles.

 

Derfor har de registrerede fået en række rettigheder, som det er vigtigt, at du overholder, når du behandler personoplysninger. Uanset om det er kunder, borgere, medlemmer, ansatte eller nogle helt andre, oplysningerne vedrører.

 

Rettighederne er:

 

  • Ret til at få oplysning om behandlingen (oplysningspligt)
  • Ret til indsigt
  • Ret til berigtigelse og sletning
  • Ret til begrænsning af behandlingen
  • Ret til dataportabilitet
  • Ret til indsigelse
  • Ret til ikke at være genstand for automatiske afgørelser, herunder profilering

 

Fordi de registreredes rettigheder er helt grundlæggende for GDPR, risikerer din virksomhed en stor bøde, hvis I ikke lever op til kravene. Overtrædelse af de registreredes rettigheder kan kost op til 20 mio. EUR eller 4 % af virksomhedens samlede globale omsætning.

 

Herunder kan du læse nærmere om nogle af de mest anvendte rettigheder. Du finder de registreredes rettigheder i databeskyttelsesforordningens artikel 12-22.

 

Oplysningspligt

Når du behandler oplysninger om en person, skal du oplyse vedkommende om det. Det skal du gøre på det tidspunkt, hvor du indsamler personoplysningerne hos den registrerede. Hvis oplysningerne indsamles hos andre end den registrerede selv, f.eks. hos en myndighed, så skal du sende et oplysningsbrev senest efter 1 måned.

 

Grunden til at du skal oplyse personen om indsamlingen er, at vedkommende skal have mulighed for at gøre brug af de øvrige rettigheder i GDPR. Det kan vedkommende kun, hvis du har fortalt, at du nu er i besiddelse af oplysningerne.

 

Der er en række krav til, hvad et oplysningsbrev skal indeholde. Du skal bl.a. oplyse

  • hvem du er,
  • hvilke oplysninger, du har indsamlet og til hvilke formål,
  • hvem du evt. videregiver oplysningerne til,
  • om oplysningerne sendes til lande uden for EU/EØS,
  • hvor længe du vil beholde oplysningerne og
  • om personen vil blive omfattet af automatiske afgørelser, herunder profilering.

 

Oplysningsbrevet skal skrives på en måde, så personen kan forstå, hvad det er, du skriver. Det betyder, at du skal bruge et sprog og eventuelt billeder eller andet, der passer til den målgruppe, du skriver til.

 

Du finder alle krav til oplysningsbrevet i artikel 13 og artikel 14 i GDPR.

 

Ret til indsigt

Netop fordi GDPR handler om, at den enkelte person skal have kontrol over egne oplysninger, har den registrerede også ret til indsigt. Retten til indsigt knytter sig til reglerne om aktindsigt i den offentlige forvaltning, men gælder altså også private virksomheder og organisationer.

 

Hvis en person ønsker indsigt, skal du bl.a. oplyse vedkommende om, hvilke oplysninger, du behandler, hvilket formål du har med behandlingen, eventuelle modtagere af oplysningerne, hvor længe du behandler oplysningerne, hvor oplysningerne stammer fra og om oplysningerne anvendes til automatiske afgørelser, herunder profilering.

 

Personen har desuden krav på at få en kopi af oplysningerne.

 

Berigtigelse og sletning - ”retten til at blive glemt”

Hvis de oplysninger, du har om en person er forkerte, så har vedkommende ret til at få oplysningerne berigtiget.

 

I nogle tilfælde har personen også ret til at få slettet oplysninger om sig selv. Det er den rettighed, der også er kendt som retten til at blive glemt. Du skal her særligt være opmærksom på, at offentlige myndigheder som hovedregel ikke må slette oplysninger. Det skyldes reglerne om notat- og journaliseringspligt. Den offentlige myndighed skal i stedet udarbejde et notat om at oplysningerne er forkerte og herefter notere de korrekte oplysninger.

 

Retten til sletning er kun gældende i særlige tilfælde. Det er f.eks.

 

  • Hvis oplysningerne ikke længere er nødvendige for at opfylde formålet med behandlingen
  • Hvis behandlingen sker, fordi personen har givet samtykke, men nu trækker sit samtykke tilbage
  • Hvis behandlingen er ulovlig

 

Hvis du får en anmodning om at slette oplysninger om en person, skal du derfor gennemgå reglerne i artikel 17 for at vurdere, om betingelserne for sletning er opfyldt.

 

Ret til dataportabilitet

Retten til dataportabilitet handler om, at en person, der selv har skabt lister eller viden om f.eks. egne præferencer eller handlemønstre, har ret til at få disse oplysninger udleveret eller flyttet til en anden tjenesteudbyder. Det kan f.eks.  være en liste over indkøb, som personen har foretaget eller lister over sete tv-programmer. Det kan også være spillelister eller kontaktlister, som en person har oprettet.

 

Der er dog nogle betingelser for at kunne anvende retten til dataportabilitet:

 

  • Personen skal selv have givet dig oplysningerne
  • Behandlingen skal ske med hjemmel i samtykke eller kontrakt
  • Behandlingen skal foretages automatisk

 

Formålet med retten til dataportabilitet er at give personen øget kontrol over egne oplysninger. En virksomhed kan derfor ikke lovligt gøre det besværligt for personen at skifte tjenesteudbyder, fordi personen f.eks. vil miste sine lister, hvis der skiftes til en ny udbyder.

 

Hvis betingelserne for dataportabilitet er opfyldt, skal virksomheden udlevere oplysningerne i et struktureret, almindeligt anvendt format og må ikke hindre personen i at transmittere oplysningerne til en anden udbyder.

 

Hvis det er teknisk muligt, kan personen også kræve at virksomheden selv overfører oplysningerne til den nye udbyder.

 

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål til de registreredes rettigheder eller andre dele af GDPR, så er du altid velkommen til at kontakte vores specialister i databeskyttelse.