Skip to main content

Hvad er persondata-rettigheder?

Rettigheder for persondata er baseret på den forudsætning, at hver enkelt person (dvs. den registrerede) er ejer af sine egne personlige oplysninger.

Som sådan har de ret til at bestemme, hvad der skal ske med deres personoplysninger. De har også ret til at få oplysninger om deres data og om, hvordan de anvendes.

I denne vejledning vil vi se på 8 rettigheder for registrerede personer, som er beskrevet i EU’s generelle forordning om databeskyttelse (GDPR). De fleste globale regler følger GDPR’s retningslinjer, når det gælder folks datarettigheder. Derfor er det vigtigt at kende og forstå de registreredes rettigheder, uanset hvor din virksomhed er beliggende, eller hvor dine kunder befinder sig i verden.

Den registreredes rettigheder

Den registreredes rettigheder omfatter i henhold til GDPR, kapitel 3, bl.a. følgende:

  • Retten til indsigt i, hvordan du vil indsamle og bruge deres data
  • Retten til at få adgang til en kopi af de personoplysninger, du gemmer om dem, og oplysninger om dem
  • Retten til at få urigtige personoplysninger rettet eller suppleret
  • Retten til at blive glemt, dvs. til at få dig til at slette deres data (med visse undtagelser)
  • Retten til at begrænse behandlingen af oplysninger under visse omstændigheder
  • retten til dataportabilitet, dvs. retten til at få deres data videregivet til dem selv eller en tredjepart
  • Retten til at gøre indsigelse mod databehandling under visse omstændigheder
  • Retten til at gøre indsigelse mod automatiseret beslutningstagning og profilering

Lad os se på hver af disse rettigheder for de registrerede, og hvordan du kan overholde dem.

Ret til indsigt/ret til at blive informeret

Retten til indsigt/information betyder, at du skal lade folk vide, hvilke personoplysninger der indsamles om dem, og til hvilket formål.

Gør det klart, hvem der indsamler dataene, og hvor længe de vil blive opbevaret. Hvis du vil dele personens data med andre, skal du oplyse om det. Endelig skal du fortælle folk, hvordan de kan indgive en klage, hvis de ønsker det.

De oplysninger, du giver, skal være klare og lette at forstå. Vi foreslår, at du anfører følgende i din privatlivspolitik:

  • Oplysninger om din virksomhed og kontaktoplysninger
  • Dit formål med indsamling og behandling af data
  • Dit retsgrundlag for indsamling og behandling af data
  • Oplysninger og kontaktoplysninger om enhver tredjepart, som du deler oplysninger med
  • Om oplysningerne vil blive anvendt til automatiseret beslutningstagning
  • Din opbevaringsperiode for data
  • en liste over deres rettigheder som registrerede
  • Sådan indgiver du en klage

Ret til adgang

Folk har ret til at indsende anmodninger om aktindsigt for at få oplysninger fra dig om, hvorvidt deres personlige oplysninger behandles.

Hvis du får denne type anmodning, skal du svare inden for 30 dage. Du bør give en kopi af de personoplysninger, de har om personen, samt yderligere oplysninger, herunder:

  • Formålet med behandlingen
  • De kategorier af personoplysninger, du behandler
  • Hvem du deler deres data med (herunder tredjelande eller internationale organisationer)
  • Hvor længe du vil opbevare deres data
  • Oplysninger om deres rettigheder i henhold til GDPR om registrerede personer
  • Om du bruger oplysningerne til automatiseret beslutningstagning og profilering
  • Kilden til dataene (hvis dataene ikke er indsamlet hos den enkelte person)

Forhåbentlig er alle disse oplysninger om, hvordan du behandler deres data i praksis, i overensstemmelse med det, du allerede har anført i din privatlivspolitik.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Ret til berigtigelse

    Retten til berigtigelse giver folk mulighed for at bede dig om at opdatere eller rette eventuelle unøjagtige eller ufuldstændige oplysninger, som du har om dem.

    Hvis du får denne type anmodning, skal du svare inden for 30 dage. Først skal du kontrollere, om dataene virkelig er unøjagtige. Når du har bekræftet, at der faktisk er behov for ændringer, skal du foretage dem. Derefter skal du svare på personens anmodning med en bekræftelse af de foretagne ændringer.

    Ret til at blive glemt

    Retten til at blive glemt er retten til at få personoplysninger slettet. Det gælder f.eks. under visse omstændigheder:

    • Personoplysningerne er ikke længere nødvendige til det formål, hvortil de blev indsamlet.
    • Personen trækker sit samtykke tilbage
    • Personoplysningerne er blevet behandlet ulovligt
    • Personen gør indsigelse mod behandlingen, og du har ingen juridisk grund til at fortsætte behandlingen
    • Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU eller en medlemsstats lovgivning, som du er omfattet af

    Der er også nogle undtagelser, hvor du kan afvise en persons anmodning om at blive glemt. F.eks. hvis oplysningerne anvendes i offentlighedens interesse eller til juridiske formål.

    Du skal svare på anmodninger om at blive glemt inden for 30 dage med en bekræftelse på, at personens data er blevet slettet.

    Du bør også underrette eventuelle tredjeparter eller yderligere databehandlere, som du har delt oplysningerne med, og anmode dem om også at slette dem.

    Kan du bevise, at det er umuligt eller ville kræve en uforholdsmæssig stor indsats at slette personens oplysninger? I så fald kan datatilsynsmyndighederne fritage dig for denne forpligtelse.

    Ret til at begrænse behandlingen

    Folk kan bede dig om at begrænse den måde, du bruger deres personlige oplysninger på. I dette tilfælde kan du beholde dataene, men du bør ikke bruge dem.

    Du skal efterkomme anmodninger om at begrænse behandlingen i følgende situationer:

    • Dataene er unøjagtige
    • Behandlingen er ulovlig
    • Du har ikke længere brug for at bruge oplysningerne, men personen ønsker, at oplysningerne bevares med henblik på et retskrav
    • Du træffer foranstaltninger til at verificere en anmodning om sletning af data

    Du bør svare på anmodninger om at begrænse databehandlingen inden for 30 dage. Når du begrænser behandlingen, må du ikke bruge oplysningerne, med visse undtagelser. Medmindre du f.eks. har brug for dem i forbindelse med juridiske krav eller for at beskytte andre personers rettigheder.

    Hvis du vil bruge personens oplysninger igen, skal du informere dem og få deres samtykke på forhånd.

    Ret til dataportabilitet

    Dataportabilitet skal gøre det let for folk at få/videresende en kopi af deres egne personoplysninger. Personen kan bede dig om at overføre sine oplysninger direkte til en anden person.

    Når du får en anmodning om dataportabilitet, skal du levere dataene i et struktureret, almindeligt anvendt og maskinlæsbart format. Sørg for at gøre det inden for 30 dage.

    Dette gælder for alle digitale data, som personen har givet dig ved samtykke eller kontrakt. Det omfatter data relateret til den enkeltes adfærd: deres søgninger, lokaliseringsdata, browserhistorik og meget mere.

    Ret til at gøre indsigelse mod behandling

    Retten til at gøre indsigelse giver folk mulighed for at gøre indsigelse mod behandlingen af personoplysninger til enhver tid og i visse situationer, afhængigt af formålet og det lovlige grundlag for behandlingen.

    Folk kan f.eks. altid gøre indsigelse mod, at deres data bruges til direkte markedsføring.

    De kan også gøre indsigelse mod, at deres oplysninger anvendes til formål, der normalt anses for at være acceptable retsgrundlag for behandling. En person kan f.eks. gøre indsigelse mod, at du bruger hans/hendes data til videnskabelige, historiske eller statistiske formål.

    GDPR’s ret til at gøre indsigelse svarer til CCPA’s ret til at fravælge oplysninger. Retten til opt-out giver specifikt folk mulighed for at gøre indsigelse mod salg af deres data, mens retten til at gøre indsigelse kan bruges under en bredere vifte af omstændigheder.

    Du skal svare på disse indsigelser inden for 30 dage.

    Rettigheder i forbindelse med automatisk behandling

    De registreredes rettigheder omfatter retten til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, hvis den har retsvirkninger eller påvirker dem væsentligt på andre måder.

    Nogle eksempler på profilering baseret på personoplysninger kan være: Analyse eller forudsigelse af en persons arbejdspræstationer og pålidelighed, økonomiske situation, helbred eller personlige præferencer, interesser, adfærd og placering.

    Folk har ret til at anmode om menneskelig indgriben, når der anvendes automatiseret behandling til at træffe beslutninger, der kan påvirke dem. De har også ret til at give udtryk for deres synspunkter eller anfægte sådanne beslutninger.

    Du bør altid respektere en persons indsigelse mod automatiseret beslutningstagning, med visse undtagelser. F.eks. hvis du har brug for at bruge dem til at opfylde en kontrakt, hvis det er tilladt ved lov, eller hvis behandlingen er baseret på udtrykkeligt samtykke.

    Når du anvender automatiseret beslutningstagning, skal du være opmærksom på, hvordan det kan påvirke andre. Indføre passende foranstaltninger for at beskytte folks rettigheder, frihedsrettigheder og legitime interesser.

    Rettigheder for registrerede og kundeservice

    Forstår hele dit team de registreredes rettigheder og respekterer de dem? Hvorfor ikke tage et par minutter til at gennemgå de registreredes rettigheder som en gruppe ved hjælp af denne vejledning?

    Her er nogle få skridt, du kan tage lige nu:

    • Gennemgå oplysninger om registreredes rettigheder med dit team
    • Opdater din privatlivspolitik for at holde de registrerede personer informeret
    • Oprettelse af et system til at besvare anmodninger om aktindsigt fra registrerede

    At reagere hurtigt på anmodninger om de registreredes rettigheder viser gennemsigtighed og god tro. Det er også bare god kundeservice.

    Sørg for, at du aldrig går glip af en anmodning om aktindsigt!

    Læs om, hvordan vores RequestManager kan hjælpe dig.

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR