De registreredes rettigheder 2

tilsyn-persondataforordningen

Hovedelementet i EU's Persondataforordning er beskyttelsen af de registrerede borgere, medarbejdere, kunder, leverandører mv. Ideen bag forordningen er, at der skal skabes en tillid til og balance i, at der bliver passet på ens personoplysninger, så der kan ske en fri udveksling af data på tværs af landegrænser, hvilket bl.a. vil betyde, at E-handelen styrkes. Den enkelte person bliver med forordningens ikrafttræden udstyret med en lang række rettigheder, som det herefter er den dataansvarliges og databehandlerens opgave at sikre. Som dataansvarlig virksomhed handler det om, at finde den mest effektive måde at overholde forordningen på. Denne artikel giver dig indsigt i de krav, der skal opfyldes i sammenhæng med de registreredes rettigheder.

Vi har allerede uddybet kravet ”Ret til at blive oplyst” om, at der indsamles og behandles personoplysninger i den pågældende virksomhed. Det er virksomhedens ansvar at oplyse om dette ved første kontakt, og det kan du læse om i artiklen ”De registreredes rettigheder 1”.

I det følgende gennemgår vi de øvrige rettigheder. Alle rettigheder, hvor den registrerede selv skal tage et initiativ til at få sin ret gjort gældende. Rettighederne er:

  • Ret til løbende at få indsigt i, hvordan ens oplysninger behandles.
  • Ret til at få berigtiget urigtige data og begrænset behandlingen.
  • Ret til at få slettet data.
  • Ret til at gøre indsigelse over at ens oplysninger behandles og videregives til fx. markedsføringsformål.
  • Ret til at kunne få udleveret sine data, så de kan overflyttes til anden udbyder (dataportabilitet).
  • Ret til at tilbagekalde samtykke.
  • Ret til at klage til Datatilsynet.

Ret til løbende at få indsigt i, hvordan ens oplysninger behandles

Den registrerede har mulighed for at sikre sig, at alt går rigtigt til, når data behandles. Dette kaldes for ”indsigtsretten". Hvis en registreret retter henvendelse til dig som dataansvarlig, skal du først be- eller afkræfte, at der behandles data om vedkommende og i givet fald oplyse hvilke data, det drejer sig om. Dernæst skal den registrerede have adgang til disse data. Dette kan ske elektronisk gennem et sikkert system, på papir eller f.eks. i et PDF-format. Hvis det drejer sig om mange oplysninger, kan den dataansvarlige bede den registrerede specificere, hvad denne ønsker indsigt i, men den registrerede har ret til at bede om alle oplysningerne. Til gengæld er der mulighed for, at man kan forlange et rimeligt gebyr, hvis den registrerede ønsker mere end én kopi af oplysningerne.

I forbindelse med henvendelsen skal den dataansvarlige give den registrerede oplysning om følgende:

  • Formålet med behandlingen
  • Hvilke kategorier af oplysninger, der er tale om
  • Hvilke modtagere, der er tale om – herunder også hvis der er tale om modtagere i 3. land
  • Hvor længe dataene forventes opbevaret
  • Retten til at anmode om berigtigelse eller sletning, retten til begrænsning af behandling og retten til indsigelse mod behandling
  • Retten til at klage til Datatilsynet eller anden tilsynsmyndighed
  • Om kilden til dataene, hvis dette ikke er den registrerede selv
  • Om dataene behandles automatiseret, f.eks. til profilering.

Inden oplysningerne udleveres er det vigtigt, at sikre, at andre personer ikke får krænket deres rettigheder ved fx at nævne et andet navn i dokumenterne, eller at der videregives forretningshemmeligheder.

Ret til at få berigtiget urigtige data og begrænset behandlingen

Hvis den registrerede finder fejl i dataene, skal disse rettes og eventuelt suppleres. Endvidere skal alle modtagere af de pågældende data informeres om berigtigelsen. Kan den dataansvarlige dokumentere at det er en uforholdsmæssig stor byrde at informere alle modtagere, er der en undtagelsesmulighed.

Den registrerede kan også kræve, at behandlingen af personoplysningerne begrænses. Dette betyder faktisk, at man kun må opbevare oplysningerne. Sker en behandling, fordi den dataansvarlige har et behov for at fastlægge, forsvare eller gøre et retskrav gældende, kan behandlingen finde sted uden samtykke. Al anden behandling kan kun ske med et specifikt samtykke fra den registrerede. Igen skal alle andre modtagere informeres. I de fleste tilfælde vil behandlingen blive sat på ”stand by” indtil berigtigelsen er gennemført.

Ret til at få slettet data

Dette kaldes også retten til at blive glemt og er en konsekvens af EU's dom over Google i 2012. Det betyder, at den dataansvarlige skal slette oplysninger, hvis en registreret ønsker det. Det er ikke nok at læne sig tilbage og vente på en henvendelse fra en registreret. Den dataansvarlige skal også selv holde øje med, om betingelserne for en sletning er til stede. Betingelser for at slette er følgende:

  • Oplysningerne er ikke længere er nødvendige for opfyldelse af formålet for behandlingen
  • Behandlingen er ulovlig
  • Sletningen er lovpligtig
  • Oplysningerne er indsamlet fra børn under 16 år, og deres værge begærer sletning
  • Den registrerede tilbagekalder sit samtykke
  • Den registrerede gør indsigelse og oplysningerne behandles til markedsføring.

Igen skal alle andre modtagere af oplysningerne informeres. Der skal være en opmærksomhed på, at hvis oplysningerne er blevet offentliggjort, skal den dataansvarlige så vidt det er muligt forsøge at fjerne links mm. til oplysningerne! Der kan dog være en undtagelse i sammenhængen med ytrings- og informationssikkerheden, som generelt vejer tungere end den registreredes interesse i at få slettet sine data.

Ret til at gøre indsigelse over at ens oplysninger behandles og videregives til fx. markedsføringsformål

Den registrerede har ret til at gøre indsigelse mod behandling, hvis den dataansvarlige hævder, at behandlingen sker i samfundets interesse eller opgaven er pålagt af det offentlige. Det er i den sammenhæng den dataansvarlige, der skal dokumentere en væsentlig grund til behandlingen.

Endvidere kan den registrerede gøre indsigelse mod brug af personoplysninger til markedsføring og enhver behandling skal da straks standses. Markedsføring gælder både direkte markedsføring og brug af profilering! Husk, at den registrerede skal gøres opmærksom på sin indsigelsesret ved første kontakt, og rent praktisk kan denne information indgå i et ”oplysningsbrev”.

Ret til at kunne få udleveret sine data, så de kan overflyttes til anden udbyder (dataportabilitet)

Der kan opstå situationer, hvor en registreret har et ønske om at skifte job, eller leverandør og dermed også skifte dataansvarlig. Hvis en registreret ønsker at overføre sine data til en ny dataansvarlig, er det kun de data, som den registrerede selv har afgivet, der er omfattet af denne ret. Data skal udleveres på en måde, så de let kan anvendes af en anden dataansvarlig. Det kan derfor være en fordel at tænke i kompatible dataformater, når der skal registreres oplysninger.

Ret til at tilbagekalde samtykke

I nogle behandlingssituationer er det et krav, at der indhentes et samtykke fra den registrerede for at kunne behandle oplysningerne. Den registrerede har dog en ret til at ændre sin mening og til at tilbagekalde sit samtykke. Denne ret skal den dataansvarlige informere om, når samtykket gives. Samtidig skal den dataansvarlige gøre det let at tilbagekalde samtykket, eksempelvis på samme måde, som når man trykker på et link for at afmelde et nyhedsbrev. Herefter skal oplysningerne straks slettes.

Ret til at klage til Datatilsynet

Såfremt der opstår uoverensstemmelser omkring de beskrevne rettigheder, har den registrerede altid mulighed for at klage til Datatilsynet. Også denne ret skal den registrerede have information om ved første kontakt.

Hvad nu?

Godt så. Hvordan stiller det så dig som dataansvarlig eller databehandler? Det stiller dig i en situation, hvor du ikke bare kan vente på, at en registreret retter henvendelse til dig om sine rettigheder. Du skal være forberedt og have politikker, procedurer og værktøjer på plads, inden en registreret henvender sig, og dit ansvar begynder allerede ved den første kontakt med den registrerede.

Kontakt os, når du får brug for mere viden om emnet ”De registreredes rettigheder”. Vi kan også hjælpe dig med, hvordan det praktisk skal håndteres.

Per løkken PersondataSupport
SALG OG PROJEKTLEDELSE

Per Løkken

TLF.: 2331 5014
MAIL: pl@pds.as

Lene Lundquist PersondataSupport
PROJEKTLEDELSE OG IMPLEMENTERING

Lene Lundquist

TLF.: 2463 9591
MAIL: llu@pds.as