Det korte svar: Med GDPR har man otte grundlæggende rettigheder, som giver en person kontrol over sine personoplysninger. Man har ret til indsigt, rettelse, sletning, dataportabilitet og mere – og som virksomhed har man pligt til at respektere og reagere på individers personanmodninger inden for 30 dage.
Hvad er rettigheder for persondata?
Rettigheder over personoplysninger bygger på princippet om, at det er individet – og ikke virksomheden – der ejer sine egne data. Som dataansvarlig har man derfor pligt til at respektere, at den enkelte har ret til at bestemme, hvad der sker med deres personoplysninger. Det gælder både retten til at give og trække samtykke tilbage, og retten til indsigt i, hvordan data bliver brugt, delt og opbevaret.
I denne guide gennemgår vi de 8 rettigheder for persondata der er under GDPR – den centrale datalovgivning i EU. Mange andre landes regler læner sig op ad de samme principper, og derfor er det afgørende at forstå og respektere disse rettigheder, uanset hvor jeres virksomhed eller brugere befinder sig.
Hvilke rettigheder har man ifølge GDPR?
Den registreredes rettigheder omfatter i henhold til GDPR, kapitel 3, bl.a. følgende:
- Retten til indsigt
- Retten til adgang
- Retten til at få personoplysninger rettet eller suppleret
- Retten til at blive glemt
- Retten til at begrænse behandlingen af oplysninger
- Retten til dataportabilitet
- Retten til at gøre indsigelse
- Retten til at gøre indsigelse mod automatiseret beslutningstagning
Lad os se på hver af disse rettigheder for de registrerede, og hvordan I kan overholde dem.
GDPR-overtrædelser kan give en bøde på op til 20 millioner euro eller 4% af virksomhedens globale årlige omsætning - alt efter hvad der er højest.
- Europa-Kommisionen
1. Ret til indsigt/ret til at blive informeret
Retten til indsigt/information betyder, at I skal lade folk vide, hvilke personoplysninger der indsamles om dem, og til hvilket formål.
Gør det klart, hvem der indsamler dataene, og hvor længe de vil blive opbevaret. Hvis I vil dele personens data med andre, skal I oplyse om det. Endelig skal Ifortælle folk, hvordan de kan indgive en klage, hvis de ønsker det.
De oplysninger, I giver, skal være klare og lette at forstå. Vi foreslår, at I anfører følgende i jeres privatlivspolitik:
- Oplysninger om jeres virksomhed og kontaktoplysninger
- Jeres formål med indsamling og behandling af data
- Jeres retsgrundlag for indsamling og behandling af data
- Oplysninger og kontaktoplysninger om enhver tredjepart, som I deler oplysninger med
- Om oplysningerne vil blive anvendt til automatiseret beslutningstagning
- Jeres opbevaringsperiode for data
- en liste over deres rettigheder som registrerede
- Sådan indgiver I en klage
2. Ret til adgang
Folk har ret til at indsende anmodninger om aktindsigt for at få oplysninger fra jer om, hvorvidt deres personlige oplysninger behandles. Hvis I får denne type anmodning, skal I svare inden for 30 dage. I bør give en kopi af de personoplysninger, de har om personen, samt yderligere oplysninger, herunder:
- Formålet med behandlingen
- De kategorier af personoplysninger, I behandler
- Hvem I deler deres data med (herunder tredjelande eller internationale organisationer)
- Hvor længe I vil opbevare deres data
- Oplysninger om deres rettigheder i henhold til GDPR om registrerede personer
- Om I bruger oplysningerne til automatiseret beslutningstagning og profilering
- Kilden til dataene (hvis data ikke er indsamlet hos den enkelte person)
Forhåbentlig er alle disse oplysninger om, hvordan I behandler deres data i praksis, i overensstemmelse med det, I allerede har anført i jeres privatlivspolitik.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
3. Ret til berigtigelse
Retten til berigtigelse giver folk mulighed for at bede dig om at opdatere eller rette eventuelle unøjagtige eller ufuldstændige oplysninger, som I har om dem.
Hvis I får denne type anmodning, skal I svare inden for 30 dage. Først skal I kontrollere, om dataene virkelig er unøjagtige. Når I har bekræftet, at der faktisk er behov for ændringer, skal I foretage dem. Derefter skal I svare på personens anmodning med en bekræftelse af de foretagne ændringer.
4. Ret til at blive glemt
Retten til at blive glemt er retten til at få personoplysninger slettet. Det gælder f.eks. under visse omstændigheder:
- Personoplysningerne er ikke længere nødvendige til det formål, hvortil de blev indsamlet.
- Personen trækker sit samtykke tilbage
- Personoplysningerne er blevet behandlet ulovligt
- Personen gør indsigelse mod behandlingen, og I har ingen juridisk grund til at fortsætte behandlingen
- Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU eller en medlemsstats lovgivning, som I er omfattet af
Der er også nogle undtagelser, hvor I kan afvise en persons anmodning om at blive glemt. F.eks. hvis oplysningerne anvendes i offentlighedens interesse eller til juridiske formål.
Man skal svare på anmodninger om at blive glemt inden for 30 dage med en bekræftelse på, at personens data er blevet slettet.Man bør også underrette eventuelle tredjeparter eller yderligere databehandlere, som man har delt oplysningerne med, og anmode dem om også at slette dem. Kan man bevise, at det er umuligt eller ville kræve en uforholdsmæssig stor indsats at slette personens oplysninger? I så fald kan datatilsynsmyndighederne fritage én for denne forpligtelse.
5. Ret til at begrænse behandlingen
Folk kan bede jer om at begrænse den måde, I bruger deres personlige oplysninger på. I dette tilfælde kan I beholde dataene, men I bør ikke bruge dem.
I skal efterkomme anmodninger om at begrænse behandlingen i følgende situationer:
- Dataene er unøjagtige
- Behandlingen er ulovlig
- I har ikke længere brug for at bruge oplysningerne, men personen ønsker, at oplysningerne bevares med henblik på et retskrav
- I træffer foranstaltninger til at verificere en anmodning om sletning af data
I bør svare på anmodninger om at begrænse databehandlingen inden for 30 dage. Når I begrænser behandlingen, må I ikke bruge oplysningerne, med visse undtagelser. Medmindre I f.eks. har brug for dem i forbindelse med juridiske krav eller for at beskytte andre personers rettigheder.
Hvis I vil bruge personens oplysninger igen, skal I informere dem og få deres samtykke på forhånd.
6. Ret til dataportabilitet
Dataportabilitet skal gøre det let for folk at få/videresende en kopi af deres egne personoplysninger. Personen kan bede jer om at overføre sine oplysninger direkte til en anden person.
Når I får en anmodning om dataportabilitet, skal I levere dataene i et struktureret, almindeligt anvendt og maskinlæsbart format. Sørg for at gøre det inden for 30 dage. Dette gælder for alle digitale data, som personen har givet jer ved samtykke eller kontrakt. Det omfatter data relateret til den enkeltes adfærd: deres søgninger, lokaliseringsdata, browserhistorik og meget mere.
FAQ om rettigheder under GDPR
1. Hvem har disse rettigheder?
Alle fysiske personer, som har data liggende hos en virksomhed – fx kunder, ansatte og brugere.
2. Hvor hurtigt skal en virksomhed reagere på en anmodning?
Senest 30 dage efter modtagelsen – og virksomheden skal bekræfte både modtagelse og håndtering.
3. Kan virksomheden nægte at efterkomme en anmodning?
I visse tilfælde ja, fx hvis anmodningen er urimelig, grundløs eller kompromitterer andres rettigheder. Men det kræver en konkret vurdering og dokumentation.
4. Skal det være gratis at udøve sine rettigheder?
Som udgangspunkt ja – dog kan der opkræves et gebyr ved åbenlyst overdrevne eller gentagne anmodninger.
7. Ret til at gøre indsigelse
Retten til at gøre indsigelse giver folk mulighed for at gøre indsigelse mod behandlingen af personoplysninger til enhver tid og i visse situationer, afhængigt af formålet og det lovlige grundlag for behandlingen.
Folk kan f.eks. altid gøre indsigelse mod, at deres data bruges til direkte markedsføring. De kan også gøre indsigelse mod, at deres oplysninger anvendes til formål, der normalt anses for at være acceptable retsgrundlag for behandling. En person kan f.eks. gøre indsigelse mod, at I bruger hans/hendes data til videnskabelige, historiske eller statistiske formål. GDPR’s ret til at gøre indsigelse svarer til CCPA’s ret til at fravælge oplysninger. Retten til opt-out giver specifikt folk mulighed for at gøre indsigelse mod salg af deres data, mens retten til at gøre indsigelse kan bruges under en bredere vifte af omstændigheder. I skal svare på disse indsigelser inden for 30 dage.
8. Rettigheder i forbindelse med automatisk behandling
De registreredes rettigheder omfatter retten til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, hvis den har retsvirkninger eller påvirker dem væsentligt på andre måder.
Nogle eksempler på profilering baseret på personoplysninger kan være: Analyse eller forudsigelse af en persons arbejdspræstationer og pålidelighed, økonomiske situation, helbred eller personlige præferencer, interesser, adfærd og placering. Folk har ret til at anmode om menneskelig indgriben, når der anvendes automatiseret behandling til at træffe beslutninger, der kan påvirke dem. De har også ret til at give udtryk for deres synspunkter eller anfægte sådanne beslutninger.
I bør altid respektere en persons indsigelse mod automatiseret beslutningstagning, med visse undtagelser. F.eks. hvis I har brug for at bruge dem til at opfylde en kontrakt, hvis det er tilladt ved lov, eller hvis behandlingen er baseret på udtrykkeligt samtykke.Når I anvender automatiseret beslutningstagning, skal I være opmærksom på, hvordan det kan påvirke andre. Indføre passende foranstaltninger for at beskytte folks rettigheder, frihedsrettigheder og legitime interesser.
Mangler I hjælp til at overholde rettigheder for persondata?
Hos Safe Online har vi udviklet en række værktøjer, der gør det langt nemmere at håndtere personoplysninger på en måde, der respekterer og beskytter de registreredes rettigheder. Uanset om det handler om at finde og forstå jeres persondata, dele data sikkert eller håndtere anmodninger fra borgere og medarbejdere, kan vores løsninger hjælpe jer med at skabe overblik, dokumentation og fuld compliance. Vores værktøjer er:
DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler effektivt
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
