Rettigheder for persondata

Rettigheder for persondata er er baseret på præmiset om, at hver enkelt person er ejer af sine egne personlige oplysninger. Som sådan har de ret til at bestemme, hvad der skal ske med deres personoplysninger. De har også ret til at få oplysninger om deres data og om, hvordan de anvendes.

I denne vejledning vil vi se på 8 rettigheder for registrerede personer, som er beskrevet i GDPR – en central del af EU’s datalovgivning. De fleste globale regler følger GDPR’s retningslinjer, når det gælder folks datarettigheder. Derfor er det vigtigt at kende og forstå de registreredes rettigheder, uanset hvor jeres virksomhed er beliggende, eller hvor jeres kunder befinder sig i verden.

Den registreredes rettigheder omfatter i henhold til GDPR, kapitel 3, bl.a. følgende:

• Retten til indsigt i, hvordan I vil indsamle og bruge deres data
• Retten til at få adgang til en kopi af de personoplysninger, I gemmer om dem, og oplysninger om dem
• Retten til at få urigtige personoplysninger rettet eller suppleret
• Retten til at blive glemt, dvs. til at få dig til at slette deres data (med visse undtagelser)
• Retten til at begrænse behandlingen af oplysninger under visse omstændigheder
• retten til dataportabilitet, dvs. retten til at få deres data videregivet til dem selv eller en tredjepart
• Retten til at gøre indsigelse mod databehandling under visse omstændigheder
• Retten til at gøre indsigelse mod automatiseret beslutningstagning og profilering

Lad os se på hver af disse rettigheder for de registrerede, og hvordan I kan overholde dem.

Retten til indsigt/information betyder, at I skal lade folk vide, hvilke personoplysninger der indsamles om dem, og til hvilket formål.

Gør det klart, hvem der indsamler dataene, og hvor længe de vil blive opbevaret. Hvis I vil dele personens data med andre, skal I oplyse om det. Endelig skal Ifortælle folk, hvordan de kan indgive en klage, hvis de ønsker det.

De oplysninger, I giver, skal være klare og lette at forstå. Vi foreslår, at I anfører følgende i jeres privatlivspolitik:

• Oplysninger om jeres virksomhed og kontaktoplysninger
• Jeres formål med indsamling og behandling af data
• Jeres retsgrundlag for indsamling og behandling af data
• Oplysninger og kontaktoplysninger om enhver tredjepart, som I deler oplysninger med
• Om oplysningerne vil blive anvendt til automatiseret beslutningstagning
• Jeres opbevaringsperiode for data
• en liste over deres rettigheder som registrerede
• Sådan indgiver I en klage

Folk har ret til at indsende anmodninger om aktindsigt for at få oplysninger fra jer om, hvorvidt deres personlige oplysninger behandles. Hvis I får denne type anmodning, skal I svare inden for 30 dage. I bør give en kopi af de personoplysninger, de har om personen, samt yderligere oplysninger, herunder:

• Formålet med behandlingen
• De kategorier af personoplysninger, I behandler
• Hvem I deler deres data med (herunder tredjelande eller internationale organisationer)
• Hvor længe I vil opbevare deres data
• Oplysninger om deres rettigheder i henhold til GDPR om registrerede personer
• Om I bruger oplysningerne til automatiseret beslutningstagning og profilering
• Kilden til dataene (hvis data ikke er indsamlet hos den enkelte person)

Forhåbentlig er alle disse oplysninger om, hvordan I behandler deres data i praksis, i overensstemmelse med det, I allerede har anført i jeres privatlivspolitik.

Retten til berigtigelse giver folk mulighed for at bede dig om at opdatere eller rette eventuelle unøjagtige eller ufuldstændige oplysninger, som I har om dem.

Hvis I får denne type anmodning, skal I svare inden for 30 dage. Først skal I kontrollere, om dataene virkelig er unøjagtige. Når I har bekræftet, at der faktisk er behov for ændringer, skal I foretage dem. Derefter skal I svare på personens anmodning med en bekræftelse af de foretagne ændringer.

Retten til at blive glemt er retten til at få personoplysninger slettet. Det gælder f.eks. under visse omstændigheder:

• Personoplysningerne er ikke længere nødvendige til det formål, hvortil de blev indsamlet.
• Personen trækker sit samtykke tilbage
• Personoplysningerne er blevet behandlet ulovligt
• Personen gør indsigelse mod behandlingen, og I har ingen juridisk grund til at fortsætte behandlingen
• Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU eller en medlemsstats lovgivning, som I er omfattet af

Der er også nogle undtagelser, hvor I kan afvise en persons anmodning om at blive glemt. F.eks. hvis oplysningerne anvendes i offentlighedens interesse eller til juridiske formål.

Man skal svare på anmodninger om at blive glemt inden for 30 dage med en bekræftelse på, at personens data er blevet slettet.Man bør også underrette eventuelle tredjeparter eller yderligere databehandlere, som man har delt oplysningerne med, og anmode dem om også at slette dem. Kan man bevise, at det er umuligt eller ville kræve en uforholdsmæssig stor indsats at slette personens oplysninger? I så fald kan datatilsynsmyndighederne fritage én for denne forpligtelse.

Folk kan bede jer om at begrænse den måde, I bruger deres personlige oplysninger på. I dette tilfælde kan I beholde dataene, men I bør ikke bruge dem.

I skal efterkomme anmodninger om at begrænse behandlingen i følgende situationer:

• Dataene er unøjagtige
• Behandlingen er ulovlig
• I har ikke længere brug for at bruge oplysningerne, men personen ønsker, at oplysningerne bevares med henblik på et retskrav
• I træffer foranstaltninger til at verificere en anmodning om sletning af data

I bør svare på anmodninger om at begrænse databehandlingen inden for 30 dage. Når I begrænser behandlingen, må I ikke bruge oplysningerne, med visse undtagelser. Medmindre I f.eks. har brug for dem i forbindelse med juridiske krav eller for at beskytte andre personers rettigheder.

Hvis I vil bruge personens oplysninger igen, skal I informere dem og få deres samtykke på forhånd.

Dataportabilitet skal gøre det let for folk at få/videresende en kopi af deres egne personoplysninger. Personen kan bede jer om at overføre sine oplysninger direkte til en anden person.

Når I får en anmodning om dataportabilitet, skal I levere dataene i et struktureret, almindeligt anvendt og maskinlæsbart format. Sørg for at gøre det inden for 30 dage. Dette gælder for alle digitale data, som personen har givet jer ved samtykke eller kontrakt. Det omfatter data relateret til den enkeltes adfærd: deres søgninger, lokaliseringsdata, browserhistorik og meget mere.

De registreredes rettigheder omfatter retten til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, hvis den har retsvirkninger eller påvirker dem væsentligt på andre måder.

Nogle eksempler på profilering baseret på personoplysninger kan være: Analyse eller forudsigelse af en persons arbejdspræstationer og pålidelighed, økonomiske situation, helbred eller personlige præferencer, interesser, adfærd og placering. Folk har ret til at anmode om menneskelig indgriben, når der anvendes automatiseret behandling til at træffe beslutninger, der kan påvirke dem. De har også ret til at give udtryk for deres synspunkter eller anfægte sådanne beslutninger.

I bør altid respektere en persons indsigelse mod automatiseret beslutningstagning, med visse undtagelser. F.eks. hvis I har brug for at bruge dem til at opfylde en kontrakt, hvis det er tilladt ved lov, eller hvis behandlingen er baseret på udtrykkeligt samtykke.Når I anvender automatiseret beslutningstagning, skal I være opmærksom på, hvordan det kan påvirke andre. Indføre passende foranstaltninger for at beskytte folks rettigheder, frihedsrettigheder og legitime interesser.