GDPR-reglerne giver den registrerede nogle rettigheder, som enhver virksomhed skal efterleve, hvis de behandler personoplysninger.
Disse rettigheder er meget komplekse, og indeholder mange muligheder for undtagelser.
I denne artikel gennemgår vi kort rettighederne med et mål om at skabe et overblik. Hvis du ønsker en dybere forståelse for reglerne, så kan du klikke dig videre til lovgivningen undervejs, som du læser artiklen.
Tydelig kommunikation og oplysningspligt
Som dataansvarlig skal du give oplysninger til den registrerede om behandlingen af dennes personoplysninger på en gennemsigtig, kortfattet, letforståelig og lettilgængelig facon. Hvis dette kan bestrides, så har du ikke efterlevet reglerne, da du skal kunne dokumentere, at du efterlever disse regler.
Med oplysningspligten som er introduceret i artikel 13 og artikel 14, så har den registrerede ret til at blive informeret om behandlingen af personoplysninger i det øjeblik indsamlingen af personoplysninger foretages. Oplysningspligten sætter desuden nogle krav til den type af informationer, som du skal give til den registrerede.
Disse krav kan du læse mere om herunder.
Indsigt
Med indsigtsretten, så har du pligt til at bekræfte hvorvidt at personoplysninger behandles om den registrerede, så denne kan benytte sig af sine rettigheder. Herudover, så har du også pligt til at give den registrerede indsigt i de specifikke personoplysninger, som du behandler om vedkommende.
Inden du giver indsigt i en behandling af personoplysninger til fx en kunde, så skal du sikre dig dennes identitet, så du ikke giver personoplysningerne til uvedkommende. Dette vil være en overtrædelse af GDPR-reglerne at udlevere personoplysningerne til uvedkommende.
Du kan læse mere retten til indsigt i GDPR-reglernes artikel 15.
Berigtigelse
Du har pligt til at rette oplysninger om fx en kunde, som måtte være forkerte. Dette kan også indebære at tilføje oplysninger til en sag, hvis de nuværende oplysninger fremstår ufuldkomne.
Du kan læse mere retten til berigtigelse i GDPR-reglernes artikel 16.
Sletning
Den registrerede har i nogle tilfælde ret til at få slettet sine personoplysninger, og derfor bør du være i stand til at foretage sådan en sletning. Du bør fx slette personoplysningerne om en registreret, hvis et samtykke trækkes tilbage eller hvis din behandling af personoplysninger ikke længere er nødvendige til dit oprindelige formål.
Du kan læse mere retten til sletning i GDPR-reglernes artikel 17.
Begrænsning
Den registrerede kan have ret til at få behandlingen af sine personoplysninger begrænset, hvis der fx er slået tvivl om rigtigheden af personoplysningerne.
Retten til begrænsning bruges typisk i kombination med andre rettigheder fx kan man gøre brug af retten til indsigt i sine personoplysninger, hvorefter at man beder om at behandlingen begrænses.
Du kan læse mere retten til begrænsning i GDPR-reglernes artikel 18.
Underretningspligt
Hvis du har videregivet personoplysninger om en registreret til en anden dataansvarlig fx kommunen eller en samarbejdspartner, så har du pligt til at underette disse modtagere, hvis at den registrerede gør brug af sine rettigheder omkring berigtigelse, sletning eller begrænsning af behandlingen.
Dine partnere behandler jo også disse oplysninger, og derfor skal det sikres, at alle er vidende om, at der er sket ændringer i forhold til behandlingen af personoplysningerne.
Du kan læse mere retten til underretningspligt i GDPR-reglernes artikel 19.
Dataportabilitet
Dine kunder eller medarbejdere (registrerede) har ret til at få udleveret en kopi af deres persondata i en læsbar fil, som de altså herefter kan læse i fx excel.
Der er masser af undtagelser til denne regel, og fx gælder reglen ikke, hvis du udelukkende har foretaget manuel behandling af vedkommendes personoplysninger.
Retten til dataportabilitet og retten til indsigt har et stort overlap, og derfor bør du overveje om du faktisk bør efterleve begge rettighederne, hvis du modtager en henvendelse fra en registreret.
Du kan læse mere retten til dataportabilitet i GDPR-reglernes artikel 20.
Indsigelse
Hvis du fx har brugt artikel 6, stk. 1, litra f) “legitim interesse”, som dit grundlag til at behandle personoplysninger om en registreret, så har den registrerede mulighed for at gøre indsigelse mod dette.
Når du påbegynder din behandling af personoplysninger, så skal du allerede have vurderet og dokumenteret, at du forfølger en legitim interesse. Den registrerede kan dog have tungtvejende grunde for, at behandlingen ikke bør finde sted, og at den “legitime interesse” ikke er legitim alligevel.
Du kan læse mere retten til indsigelse i GDPR-reglernes artikel 21.
Automatiske individuelle afgørelser
De færreste virksomheder benytter sig af automatiske individuelle afgørelser, og derfor er denne regel ikke relevant for en almindelig dansk virksomhed.
Eksempel på en virksomhed, der foretager individuelle afgørelser.
Et forsikringsselskab profilerer en kunde med udgangspunkt i vedkommendes persondata, og træffer automatisk en afgørelse om en forsikringssag.
I dette eksempel har kunden hos forsikringsselskabet ret til “menneskelig indgriben”. Forsikringsselskabet har altså pligt til at efterkomme en forsikringstagers ønske om at en medarbejder evaluerer afgørelsen.
Du kan læse mere om retten til menneskelig indgriben i GDPR-reglernes artikel 22.
Opsummering
Denne artikel indeholder en gennemgang af de registreredes rettigheder, samt hvad du skal gøre i din virksomhed for at efterleve disse rettigheder.
GDPR-reglerne giver den registrerede øget magt i relationen med den dataansvarlige, og disse rettigheder er et vigtigt element i den store betydning, som GDPR-reglerne har fået.
Det er særligt vigtigt, at medarbejdere som har kundekontakt er bevidste om disse rettigheder, således at de kan identificere forespørgsler fra kunderne.