De registreredes rettigheder

De registreredes rettigheder

Når en organisation behandler personoplysninger, har de registrerede, som oplysningerne vedrører, en række rettigheder. Det er den dataansvarlige organisations forpligtelse at sørge for, at de registrerede kan udleve deres rettigheder. I denne artikel ser vi på, hvilke rettigheder de registrerede har, når en organisation behandler deres personoplysninger.

Den dataansvarlige har pligt til at sikre de registreredes rettigheder

De registrerede har en række rettigheder, som er præciseret i persondataforordningens artikel 12-22. Rettighederne gør sig som hovedregel altid gældende, men de kan sættes ud af kraft under særlige omstændigheder – fortrinsvist, når personoplysningerne behandles af den offentlige sektor – mere herom senere.

Grundlæggende må en organisation ikke se bort fra de registreredes rettigheder – herunder reagere på henvendelser fra de registrerede. Der skal kommunikeres kortfattet, gennemsigtig, letforståelig, på en lettilgængelig form og i et klart og enkelt sprog, når der kommunikeres med registrerede. Man skal typisk svare på henvendelser, der vedrører rettighederne indenfor en måned. Endelig er den service, der ydes i forbindelse med rettighederne, gratis for de registrerede.

Oplysningspligten

En organisation skal sikre, at de registrerede er oplyst om, at der foregår behandling. Dette gør sig gældende uanset om oplysningerne stammer direkte fra de registrerede, eller om oplysningerne om de registrerede stammer fra tredjemand. I praksis sker oplysningen typisk ved at henvise til en privacy notice, som er tilgængelig via en hjemmeside, eller som vedlægges en kontrakt.

Oplysningen omfatter en række præcist definerede forhold som omfatter:

  • Identitet på og kontaktoplysninger på den dataansvarlige
  • Kontaktoplysninger på en eventuel DPO (selv om det ikke er et krav for organisationer, der ikke har en DPO, er det nyttigt at signalere, at der er et kontaktpunkt, som de registrerede kan tage fat i)
  • Formålene med behandlingen
  • Retsgrundlaget for behandlingen:
    Hvis retsgrundlaget er interesseafvejning, skal der redegøres for afvejningen af interesser
    Hvis retsgrundlaget er samtykke, skal der redegøres for retten til at trække samtykket tilbage
    Om behandlingen følger af kontrakt eller lovgivning
  • Eventuelle modtagere af oplysningerne
  • Eventuel overførsel til tredjelande
  • Tidsrummet for behandlingen
  • Oplysninger om de registreredes rettigheder: indsigt, berigtigelse, sletning, begrænsning, indsigelse og dataportabilitet
  • Retten til at klage over behandlingen til Datatilsynet
  • Forekomsten af automatiske afgørelser – herunder profilering
  • Eventuel oplysning om viderebehandling til andre formål 

Hvis oplysningerne ikke er indsamlet direkte hos den registrerede, skal organisationen desuden indenfor en måned oplyse om:

  • Hvilke kategorier af personoplysninger, der behandles
  • Kilden til oplysningerne.

Indsigtsretten

Ved oplysningsretten er det organisationen, der tager initiativ til at oplyse aktivt – f.eks. gennem en privacy notice på hjemmesiden. Ved indsigtsretten er det den registrerede, der er aktiv og henvender sig til organisationen for at gøre sig bekendt med, hvad den har af personoplysninger, og til hvilke formål de behandles m.v.

Indsigtsretten er en rettighed, som det er vigtigt at organisationen på forhånd har overvejet, om den kan efterleve. Det betyder, at organisationen skal kunne finde ALLE de oplysninger, den har om de registrerede. Det kan man kun, hvis man på forhånd har lavet en kortlægning og ved, hvor data kan befinde sig – inkl. i cloud-tjenester. Det kan anbefales at prøve at lave en beredskabsøvelse, hvor man afprøver, om man faktisk kan finde data.

Når man modtager en henvendelse fra en registreret, skal man sikre sig at identiteten på den som afsender indsigtsbegæringen, faktisk er den samme som den registrerede eller repræsenterer den registrerede. Hvis organisationen kommer til at udlevere oplysningerne til en uvedkommende, er det et brud på sikkerheden. I praksis kan man bede den registrerede sende en mail signeret med digital signatur, forsøge at verificere vedkommende i egne systemer og søge oplysninger om vedkommende på internettet – f.eks. vedkommendes adresseoplysninger. Alt sammen for at sikre sig bedst muligt i forhold til, at den der laver indsigtsbegæringen er den, som hun giver sig ud for at være.

Indsigtsretten betyder, at man til de registrerede skal kunne levere to ting:

  • For det første skal man give en kopi af alle de personoplysninger organisationen er i besiddelse af. Det er ikke nok at give navn og adresse. F.eks. en kunde skal også have sin ordrehistorik, login-på-hjemmeside-historik, oplysninger videregivet til sociale medier m.v. Alt hvad der kan relateres til vedkommende.
  • Desuden skal den registrerede have en række oplysninger tilknyttet personoplysningerne – basalt set de samme oplysninger, som under oplysningspligten – altså f.eks. formålet med behandlingen af en personoplysning, og de(t) retlige grundlag herfor.

Hvis man ikke kan henføre en given oplysning til den registrerede, skal man ikke udlevere den. Man skal således ikke sætte en masse tiltag i værk for at forsøge at identificere en registreret, hvor det er grænsende til umuligt at identificere vedkommende. Man kan desuden bede den registrerede om supplerende oplysninger, hvis man skal bruge disse for at kunne identificere den registrerede yderligere.

Det er også centralt at vurdere, hvad der skal udleveres af data. Visse data kan evt. krænke andre individers rettigheder, og i givet fald skal personoplysningerne ikke udleveres. Man kan nøjes med at gøre opmærksom på, at man er i besiddelse af data uden at udlevere disse. Tilsvarende skal man også tænke på organisationens egne rettigheder. Hvis en udlevering af personoplysninger f.eks. kan krænke organisationens intellektuelle rettigheder, kan man tilbageholde oplysningerne. Den registrerede kan altid klage til Datatilsynet.

De øvrige rettigheder

Oplysningspligten og indsigtsretten er de vigtigste rettigheder i og med, at de er grundlaget for at den registrerede kan udøve sine øvrige rettigheder. De øvrige rettigheder omfatter:

  • Berigtigelse:
    De registrerede har ret til at få rettet oplysninger, som de mener er forkerte. Organisationen har en pligt til at undersøge, om der skal foretages berigtigelse og i givet fald rette oplysningerne.
  • Sletning:
    Den registrerede kan begære oplysningerne slettet. Det gør sig især gældende, hvis der ikke længere forligger et retligt grundlag for behandlingen. Omvendt er sletteretten ikke absolut. F.eks. kan en borger ikke kræve at blive slettet hos SKAT, fordi det fremgår af skattereglerne, at SKAT har ret og pligt til at behandle vedkommendes personoplysninger. En kunde kan tilsvarende ikke kræve at få slettet en et år gammel faktura, fordi det kræves i bogføringsloven, at virksomheden skal kunne tilvejebringe grundlaget for sit regnskab. Videre gælder det, at retten til sletning skal afvejes mod retten til ytringsfrihed. Et individ, som er omtalt på en hjemmeside, kan således ikke med persondataretten i hånden kræve at blive slettet, hvis det krænker et andet individs ytringsfrihed.
  • Begrænsning:
    Den registrerede kan kræve begrænsning af behandlingen. Det betyder, at behandlingen ikke må anvendes til de givne formål, men i stedet alene må opbevares, og kun må tilgås af en meget snæver kreds. Begrænsning understøttes ikke af alle it-systemer. Desuden anvendes dette oftest i den offentlige forvaltning, hvor sletning måske er ulovlig eller i situationer, hvor den registrerede ikke ønsker sletning.
  • Underretning:
    Hvis der foretages berigtigelse, sletning eller begrænsning skal organisationen orientere de parter, som personoplysningerne er overladt eller videregivet til, således at disse parter ligeledes er i stand til at foretage berigtigelse, begrænsning eller sletning. Det betyder i praksis, at organisationen skal vide, hvilke tredjemænd, der måtte have modtaget oplysningerne. Det bør indgå i kortlægen af organisationens personoplysninger.
  • Dataportabilitet:
    Under forudsætning af at personoplysninger behandles på grundlag af samtykke eller kontrakt, og at behandlingen foretages automatisk, har den registrerede ret til at udbede sig oplysninger, som de selv har afgivet, i et struktureret, almindeligt anvendt maskinlæsbart format og få disse transmitteret til en anden organisation. Tanken er, at det skal være let for de registrerede at skifte udbyder af forskellige tjenester. Anvendelsesområdet er forholdsvist snævert givet de opstillede forudsætninger, men må tænkes at omfatte bl.a. adresselister hos mailserviceprovidere og spillelister hos online musiktjenester. Når det retlige grundlag er udførelse af opgaver i samfundets interesse eller hører under offentlig myndighedsudøvelse, har den registrerede ikke denne ret.
  • Indsigelse:
    Under forudsætning af at personoplysninger behandles på grundlag af udførelse af opgaver i samfundets interesse eller hører under offentlig myndighedsudøvelse eller behandles som interesseafvejning, kan de registrerede i særlige situationer gøre indsigelse mod behandlingen. Tanken er, at en person, der f.eks. forfølges, kan kræve, at en organisation undlader at offentliggøre oplysninger på en hjemmeside så længe forfølgelsen foregår – også selv om offentliggørelsen måske med rimelighed kunne finde sted med interesseafvejning. Desuden vil den registrerede altid kunne gøre indsigelse mod behandling til direkte markedsføring, hvorefter organisationen skal stoppe med behandling til dette formål.
  • Automatiske afgørelse/profilering:
    Den registrerede har ret til ikke at være genstand for afgørelser, som har retsvirkning eller på tilsvarende vis væsentlig påvirker den registrerede, når disse afgørelser alene er baseret på automatisk behandling. Der er ikke tale om et generelt forbud mod profilering! Det er alene væsentlige afgørelser, som beskrevet der er omfattet. Desuden bortfalder retten til ikke at blive profileret, hvis det er afgørende for kontrakten, hvis der er afgivet samtykke, eller hvis profileringen i øvrigt fremgår af lovgivning.

Undtagelser til de registreredes rettigheder

Ingen af de registreredes rettigheder er absolutte. I persondataforordningens artikel 23 er der fastsat en række undtagelser, som betyder, at man via national lovgivning kan tilsidesætte rettighederne. Denne ret er i vidt omfang udnyttet for så vidt angår den offentlige sektors behandling af personoplysninger. I Databeskyttelseslovens § 22 og § 23 findes således en række danske undtagelser: Oplysningspligten og indsigtsretten kan således næsten generelt bortfalde af hensyn til offentlige interesser. Når oplysninger behandles til administrativ sagsbehandling i den offentlige forvaltning gælder således heller ikke en videre ret til indsigt end efter offentlighedslovens regler. En række af rettighederne er videre undtaget behandlinger i videnskabeligt og statistisk øjemed. Endelig skal der som hovedregel ikke oplyses, når offentlige myndigheder viderebehandler personoplysninger til andre formål end det, hvortil oplysningerne blev indsamlet. Der er således ganske vide rammer for den offentlige forvaltning til at tilsidesætte væsentlige dele af borgernes rettigheder.

Links

Datatilsynets vejledning om de registreredes rettigheder:
https://www.datatilsynet.dk/media/6893/registreredes-rettigheder.pdf 

Datatilsynets skabelon til at opfylde oplysningsforpligtelsen og indsigtsretten:
https://www.datatilsynet.dk/media/6889/bilag_a_og_b_-_skabeloner_til_oplysningspligt_og_indsigtsret.docx

EDPBs vejledning om profilering:
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053

EDPBs vejledning om dataportabilitet:
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233 

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin