Skip to main content

Hvad er persondata-rettigheder?

Rettigheder for persondata er er baseret på præmiset om, at hver enkelt person er ejer af sine egne personlige oplysninger. Som sådan har de ret til at bestemme, hvad der skal ske med deres personoplysninger. De har også ret til at få oplysninger om deres data og om, hvordan de anvendes.

I denne vejledning vil vi se på 8 rettigheder for registrerede personer, som er beskrevet i GDPR – en central del af EU’s datalovgivning. De fleste globale regler følger GDPR’s retningslinjer, når det gælder folks datarettigheder. Derfor er det vigtigt at kende og forstå de registreredes rettigheder, uanset hvor jeres virksomhed er beliggende, eller hvor jeres kunder befinder sig i verden.

Den registreredes rettigheder

Den registreredes rettigheder omfatter i henhold til GDPR, kapitel 3, bl.a. følgende:

  • Retten til indsigt i, hvordan I vil indsamle og bruge deres data
  • Retten til at få adgang til en kopi af de personoplysninger, I gemmer om dem, og oplysninger om dem
  • Retten til at få urigtige personoplysninger rettet eller suppleret
  • Retten til at blive glemt, dvs. til at få dig til at slette deres data (med visse undtagelser)
  • Retten til at begrænse behandlingen af oplysninger under visse omstændigheder
  • retten til dataportabilitet, dvs. retten til at få deres data videregivet til dem selv eller en tredjepart
  • Retten til at gøre indsigelse mod databehandling under visse omstændigheder
  • Retten til at gøre indsigelse mod automatiseret beslutningstagning og profilering

Lad os se på hver af disse rettigheder for de registrerede, og hvordan I kan overholde dem.

Ret til indsigt/ret til at blive informeret

Retten til indsigt/information betyder, at I skal lade folk vide, hvilke personoplysninger der indsamles om dem, og til hvilket formål.

Gør det klart, hvem der indsamler dataene, og hvor længe de vil blive opbevaret. Hvis I vil dele personens data med andre, skal I oplyse om det. Endelig skal Ifortælle folk, hvordan de kan indgive en klage, hvis de ønsker det.

De oplysninger, I giver, skal være klare og lette at forstå. Vi foreslår, at I anfører følgende i jeres privatlivspolitik:

  • Oplysninger om jeres virksomhed og kontaktoplysninger
  • Jeres formål med indsamling og behandling af data
  • Jeres retsgrundlag for indsamling og behandling af data
  • Oplysninger og kontaktoplysninger om enhver tredjepart, som I deler oplysninger med
  • Om oplysningerne vil blive anvendt til automatiseret beslutningstagning
  • Jeres opbevaringsperiode for data
  • en liste over deres rettigheder som registrerede
  • Sådan indgiver I en klage

Ret til adgang

Folk har ret til at indsende anmodninger om aktindsigt for at få oplysninger fra jer om, hvorvidt deres personlige oplysninger behandles. Hvis I får denne type anmodning, skal I svare inden for 30 dage. I bør give en kopi af de personoplysninger, de har om personen, samt yderligere oplysninger, herunder:

  • Formålet med behandlingen
  • De kategorier af personoplysninger, I behandler
  • Hvem I deler deres data med (herunder tredjelande eller internationale organisationer)
  • Hvor længe I vil opbevare deres data
  • Oplysninger om deres rettigheder i henhold til GDPR om registrerede personer
  • Om I bruger oplysningerne til automatiseret beslutningstagning og profilering
  • Kilden til dataene (hvis data ikke er indsamlet hos den enkelte person)

Forhåbentlig er alle disse oplysninger om, hvordan I behandler deres data i praksis, i overensstemmelse med det, I allerede har anført i jeres privatlivspolitik.

Vil du vide mere om persondata?

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Ret til berigtigelse

Retten til berigtigelse giver folk mulighed for at bede dig om at opdatere eller rette eventuelle unøjagtige eller ufuldstændige oplysninger, som I har om dem.

Hvis I får denne type anmodning, skal I svare inden for 30 dage. Først skal I kontrollere, om dataene virkelig er unøjagtige. Når I har bekræftet, at der faktisk er behov for ændringer, skal I foretage dem. Derefter skal I svare på personens anmodning med en bekræftelse af de foretagne ændringer.

Ret til at blive glemt

Retten til at blive glemt er retten til at få personoplysninger slettet. Det gælder f.eks. under visse omstændigheder:

  • Personoplysningerne er ikke længere nødvendige til det formål, hvortil de blev indsamlet.
  • Personen trækker sit samtykke tilbage
  • Personoplysningerne er blevet behandlet ulovligt
  • Personen gør indsigelse mod behandlingen, og I har ingen juridisk grund til at fortsætte behandlingen
  • Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU eller en medlemsstats lovgivning, som I er omfattet af

Der er også nogle undtagelser, hvor I kan afvise en persons anmodning om at blive glemt. F.eks. hvis oplysningerne anvendes i offentlighedens interesse eller til juridiske formål.

Man skal svare på anmodninger om at blive glemt inden for 30 dage med en bekræftelse på, at personens data er blevet slettet.Man bør også underrette eventuelle tredjeparter eller yderligere databehandlere, som man har delt oplysningerne med, og anmode dem om også at slette dem. Kan man bevise, at det er umuligt eller ville kræve en uforholdsmæssig stor indsats at slette personens oplysninger? I så fald kan datatilsynsmyndighederne fritage én for denne forpligtelse.

Ret til at begrænse behandlingen

Folk kan bede jer om at begrænse den måde, I bruger deres personlige oplysninger på. I dette tilfælde kan I beholde dataene, men I bør ikke bruge dem.

I skal efterkomme anmodninger om at begrænse behandlingen i følgende situationer:

  • Dataene er unøjagtige
  • Behandlingen er ulovlig
  • I har ikke længere brug for at bruge oplysningerne, men personen ønsker, at oplysningerne bevares med henblik på et retskrav
  • I træffer foranstaltninger til at verificere en anmodning om sletning af data

I bør svare på anmodninger om at begrænse databehandlingen inden for 30 dage. Når I begrænser behandlingen, må I ikke bruge oplysningerne, med visse undtagelser. Medmindre I f.eks. har brug for dem i forbindelse med juridiske krav eller for at beskytte andre personers rettigheder.

Hvis I vil bruge personens oplysninger igen, skal I informere dem og få deres samtykke på forhånd.

Ret til dataportabilitet

Dataportabilitet skal gøre det let for folk at få/videresende en kopi af deres egne personoplysninger. Personen kan bede jer om at overføre sine oplysninger direkte til en anden person.

Når I får en anmodning om dataportabilitet, skal I levere dataene i et struktureret, almindeligt anvendt og maskinlæsbart format. Sørg for at gøre det inden for 30 dage. Dette gælder for alle digitale data, som personen har givet jer ved samtykke eller kontrakt. Det omfatter data relateret til den enkeltes adfærd: deres søgninger, lokaliseringsdata, browserhistorik og meget mere.

Ret til at gøre indsigelse mod behandling

Retten til at gøre indsigelse giver folk mulighed for at gøre indsigelse mod behandlingen af personoplysninger til enhver tid og i visse situationer, afhængigt af formålet og det lovlige grundlag for behandlingen.

Folk kan f.eks. altid gøre indsigelse mod, at deres data bruges til direkte markedsføring. De kan også gøre indsigelse mod, at deres oplysninger anvendes til formål, der normalt anses for at være acceptable retsgrundlag for behandling. En person kan f.eks. gøre indsigelse mod, at I bruger hans/hendes data til videnskabelige, historiske eller statistiske formål. GDPR’s ret til at gøre indsigelse svarer til CCPA’s ret til at fravælge oplysninger. Retten til opt-out giver specifikt folk mulighed for at gøre indsigelse mod salg af deres data, mens retten til at gøre indsigelse kan bruges under en bredere vifte af omstændigheder. I skal svare på disse indsigelser inden for 30 dage.

Start GDPR-oprydningen hvor det trænger mest

Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.

Rettigheder i forbindelse med automatisk behandling

De registreredes rettigheder omfatter retten til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, hvis den har retsvirkninger eller påvirker dem væsentligt på andre måder.

Nogle eksempler på profilering baseret på personoplysninger kan være: Analyse eller forudsigelse af en persons arbejdspræstationer og pålidelighed, økonomiske situation, helbred eller personlige præferencer, interesser, adfærd og placering. Folk har ret til at anmode om menneskelig indgriben, når der anvendes automatiseret behandling til at træffe beslutninger, der kan påvirke dem. De har også ret til at give udtryk for deres synspunkter eller anfægte sådanne beslutninger.

I bør altid respektere en persons indsigelse mod automatiseret beslutningstagning, med visse undtagelser. F.eks. hvis I har brug for at bruge dem til at opfylde en kontrakt, hvis det er tilladt ved lov, eller hvis behandlingen er baseret på udtrykkeligt samtykke.Når I anvender automatiseret beslutningstagning, skal I være opmærksom på, hvordan det kan påvirke andre. Indføre passende foranstaltninger for at beskytte folks rettigheder, frihedsrettigheder og legitime interesser.

Rettigheder for registrerede og kundeservice

Forstår jeres medarbejder de registreredes rettigheder og respekterer de dem? Gør jer selv en tjeneste og gennemgå de registreredes rettigheder sammen med denne vejledning i hånden.

Her er nogle få skridt, I kan tage lige nu:

  • Gennemgå oplysninger om registreredes rettigheder med jeres medarbejdere
  • Opdater jeres privatlivspolitik for at holde de registrerede personer informeret
  • Oprettelse af et system til at besvare anmodninger om aktindsigt fra registrerede

At reagere hurtigt på anmodninger om de registreredes rettigheder viser gennemsigtighed og god tro. Det er også bare god kundeservice.

Sådan kan I let overholde rettigheder for persondata

I Safe Online har vi udviklet en række værktøjer til at håndtere persondata, som sikrer de registredes rettigheder.

DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler let

Sebastian Allerelli

Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn