De registreredes rettigheder 1

Persondata-sikkerhed

I takt med den teknologiske udvikling og stigningen i udvekslingen af digitale data i både Danmark og på tværs landegrænser, øges risikoen samtidig for svindel og misbrug af persondata. Et af de grundlæggende formål med EU's Persondataforordning er netop at beskytte den registrerede borger, medarbejder, kunde, leverandør mv.

 

Få begreberne på plads

I denne artikel arbejdes der med en række grundlæggende begreber, som anvendes i Persondataforordningen omkring den registreredes rettigheder og om oplysningspligten. Begreberne vil herunder i kort form blive defineret.

 

Personoplysninger/
persondata:

Enhver form for information om en identificerbar person, dvs. oplysninger som kan henføres til den registrerede. Det kan fx være navn, adresse, e-mail, telefon, fødselsdato, uddannelse, løn mv.

Den registrerede:

Den person, hvis personoplysninger bliver behandlet af en dataansvarlig.

Behandling:

I personretslig forstand er enhver aktivitet, som personoplysninger gøres til genstand for en behandling uanset om den sker elektronisk eller manuel. Det kan fx. være indsamling, systematisering, opbevaring, ændring, søgning i, anvendelse af, videregivelse, overladelse, samkøring, sletning.

Dataansvarlig:

Den fysiske eller juridiske person i en virksomhed, offentlige myndighed, institution, forening, der afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger – dvs. at vedkommende har dispositionsretten over de pågældende personoplysninger.

Den nuværende lov og ændringerne

Den eksisterende Persondatalov yder den registrerede en række rettigheder til bl.a. at få indsigt i den behandling, som foretages af den registreredes data. Forordningen skærper de eksisterende rettigheder og tilføjer samtidig nye rettigheder bl.a. ”Retten til at blive glemt” og ”Retten til samlet at kunne overflytte sine elektronisk behandlede data fra en udbyder til en anden udbyder (dataportabilitet).

 

Oversigt over rettighederne

I den nye EU persondataforordning er de registreredes rettigheder kort fortalt følgende:

  • Ret til at blive oplyst om, at der indsamles og behandles personoplysninger i den pågældende virksomhed.
  • Ret til løbende at få indsigt i, hvordan ens oplysninger behandles.
  • Ret til at få berigtiget urigtige data og begrænset behandlingen.
  • Ret til at få slettet data.
  • Ret til at gøre indsigelse over at ens oplysninger behandles og videregives til fx markedsføringsformål.
  • Ret til at kunne få udleveret sine data, så de kan overflyttes til anden udbyder (dataportabilitet).
  • Ret til at tilbagekalde samtykke.
  • Ret til at klage til Datatilsynet.

 

Rettigheder og pligter

Med en ret følger der også en pligt. Så når fx en kunde eller en medarbejder benytter sig af sin rettighed, vil det altid betyde brug af ressourcer hos den dataansvarlige virksomhed. Den dataansvarlige skal jfr. forordningen træffe passende foranstaltninger for at sikre at den registreredes rettigheder overholdes. En sådan passende foranstaltning kunne fx være at implementere en procedure for hvordan man i virksomheden håndterer sine persondata.

 

Bortset fra oplysningspligten som vi behandler her, er alle øvrige rettigheder betinget af en anmodning fra den registrerede. Denne forudsætning om et initiativ fra den registrerede betyder på nuværende tidspunkt, at det kun er ganske få personer, der udnytter sine rettigheder. PersondataSupport er dog af den overbevisning at opmærksomheden på dette vil blive styrket i takt med udbredelsen af kendskabet til den nye Persondataforordning. Hvilket betyder, at så kan virksomhederne få travlt med at efterkomme forespørgsler fra en registreret.

Oplysningspligten

En dataansvarlig virksomhed, myndighed eller forening mv. har som sagt pligt til at oplyse en medarbejder, kunder, borger eller medlem om, at der indsamles og behandles oplysninger om personen. Denne orientering skal bl.a. indeholde oplysninger om:

  • Hvem den dataansvarlige er, herunder kontaktoplysninger på denne person.

  • Hvad formålet med behandlingen af personoplysningen er, herunder skal den juridiske lovhjemmel for behandlingen også oplyses. Hjemlen kan fx være: samtykke, opfyldelse af kontrakt, retslig forpligtelse, vitale interesser, opgaver i samfundets tjeneste og interesseafvejning.

  • Hvilken kategorier af personoplysninger der behandles. Persondataforordningen skelner generelt mellem 2 typer af oplysninger – almindelige oplysninger og følsomme oplysninger. Der kan dog også være tale om en tredje form for oplysninger, nemlig oplysninger om straffedomme og lovovertrædelser. Disse skal der kun oplyses om, hvis de er indsamlet fra tredjemand – dvs. er de afgivet af den registrerede selv, er de ikke omfattet af oplysningspligten.

  • Hvem der modtager personoplysningerne, hvis disse bliver videregivet til andre. Det kunne fx være til et lønbureau, SKAT eller en IT-leverandør.

  • Hvis oplysningerne overføres til andre lande et såkaldt tredjeland. Her er der forskellige krav til overførsel til lande i EU og til lande udenfor EU.

  • Hvor lang tid oplysningerne bliver opbevaret. De må ikke opbevares længere tid end det er nødvendigt til det angivne formål.

  • Den registreredes øvrige rettigheder, herunder retten til indsigt, berigtigelse, sletning, begrænsning af behandling og retten til at kunne flytte sine personoplysninger (dataportabilitiet).

  • At man som registreret har ret til at tilbagekalde sit samtykke, hvis hjemlen er baseret på et samtykke.

  • Hvem kilden til oplysningerne er – dvs. hvem der har leveret oplysningerne til den dataansvarlige.

  • At den registrerede har ret til at klage til Datatilsynet.

  • Om der ligger et lovkrav til grund for indsamling og behandling af oplysningen. Herunder også hvad konsekvensen vil være, hvis ikke oplysningerne afgives.

  • Hvorvidt der foretages en automatiseret behandling, herunder også om logikken og betydningen bag dette. Eksempler på dette kendes evt. fra e-rekrutterings systemer, hvor en maskine udvælger alle kandidater, der fx. opfylder de uddannelseskrav, der er opstillet i jobannoncen, og lader dem gå videre i rekrutteringsprocessen. Derefter udsendes automatiske afslag til de kandidater, der ikke opfylder kravene.

  • Der vil dog i visse situationer være undtagelser, hvor oplysningspligten ikke er gældende. Fx. hvis politiet efterforsker en straffesag og indsamler oplysninger om mistænkte.

Hvad gør man som dataansvarlig?

Rent praksis vil man som dataansvarlig skulle udarbejde en procedure for, hvordan det skal sikres og kontrolleres, at den registrerede får ovenstående oplysninger første gang og i umiddelbar tilknytning til man er i kontakt med vedkommende.

Ud fra proceduren udformes der en standard oplysningsskabelon, der tilpasses den enkelte registrerede. Denne udleveres til vedkommende, der i en eller anden form kvitterer for modtagelsen. Det er vigtigt, at huske at det er den dataansvarlige, der skal kunne dokumentere, at den registrerede har modtaget en orientering og, at den dataansvarlige hermed opfylder sin oplysningspligt.

Har du brug for hjælp til udformning af oplysningsskabelon eller andet i sammenhæng med implementering af Persondataforordningen, kan du kontakte os på:

Per løkken PersondataSupport
SALG OG PROJEKTLEDELSE

Per Løkken

TLF.: 2331 5014
MAIL: pl@pds.as

Lene Lundquist PersondataSupport
PROJEKTLEDELSE OG IMPLEMENTERING

Lene Lundquist

TLF.: 2463 9591
MAIL: llu@pds.as