Datatilsynet oplever, at ganske mange virksomheder er udfordret mht. at varetage registreredes (borgerne/kundernes) rettigheder.
De har derfor udgivet en vejledning om de registreredes rettigheder. Den skal hjælpe virksomhederne med at overholde reglerne.
– Hent vejledning om de registreredes rettigheder
Oplysningspligt
Først og fremmest slår Datatilsynet fast, at man som dataansvarlig har pligt til aktivt at give den registrerede besked, når man indsamler personoplysninger om dem.
Når de skriver aktivt, betyder det, at det ikke er nok blot at have oplysningerne liggende et eller andet sted på ens hjemmeside.
I stedet skal man sørge for at brugerne aktivt får besked i løbet af den proces, hvor de afgiver deres personoplysninger.
Det kan f.eks. være via et pop-up vindue med en standardtekst, når en kunde el. lign. udfylder et skema med diverse kontaktinformationer.
Indsamler du personoplysningerne fra f.eks. en anden dataansvarlig eller fra offentligt tilgængelige kilder, kan man ikke give den registrerede direkte besked. Der skal man i stedet typisk give den pågældende person besked inden for 10 dage.
Uanset hvad skal man huske at fortælle den registrerede, hvem man er, hvordan man kan kontaktes, hvad formålet med dataindsamlingen er, og om det er mulighed for at gøre indsigelser.
Indsigtsret
Har du indhentet personoplysninger om en person, har denne person som udgangspunkt altid ret til at se, hvilke oplysninger du har indsamlet om ham/hende.
Normalt vil det som minimum indbære alle de personoplysninger, man har om den pågældende i sine it-systemer, men det kan også inkludere f.eks. videoovervågning og teletrafik.
Samtidig skal man også kunne oplyse om, hvilken form for databehandling de har været brugt i.
Det skyldes, at personen altid skal kunne tjekke, om personoplysningerne er korrekte og om de behandles på lovlig vis.
Ret til berigtigelse
Har man indtastet forkerte oplysninger om en person, eller glemt væsentlige personoplysninger, har personen ret til at få de urigtige oplysninger rettet.
Er der uenighed om, at oplysningerne er forkerte, skal man som virksomhed sørge for, at der bliver lavet en tilføjelse til de omstridte oplysninger, hvor det fremgår, at den registrerede ikke er enig i oplysningernes rigtighed.
Man er dog ikke forpligtet til at rette oplysningerne, hvis man som virksomhed har en saglig opfattelse af, at personoplysningerne er korrekte.
Har du videregivet urigtige oplysninger til tredjemand, skal man på eget initiativ kontakte dem og fortælle, hvilke oplysninger der ikke var rigtige, og skrive de korrekte oplysninger til dem, så tredjemand også kan rette oplysningerne.
Ret til sletning
Ifølge Datatilsynet har den registrerede ret til at få sine personoplysninger slettet uden unødig forsinkelse, når ét af følgende forhold gør sig gældende:
- Det er ikke længere nødvendigt for dig at have oplysningerne om den registrerede af hensyn til de formål, hvormed du indsamlede oplysningerne.
- Du har baseret din behandling på et samtykke, og den registrerede trækker nu sit samtykke tilbage, og du har samtidig ikke en anden hjemmel for behandlingen.
- Du behandler oplysningerne ulovligt.
- Du er forpligtet til at slette oplysningerne som følge af EU-lovgivning eller national lovgivning i en medlemsstat.
- Du er forpligtet til at slette oplysningerne som konsekvens af, at den registrerede udøver sin ret til indsigelse.
- Du er udbyder af en informationssamfundstjeneste (f.eks. et socialt netværk), og du har baseret din behandling af personoplysninger om en registreret på et samtykke givet af den registreredes forældremyndighedsindehavere, og den registrerede tilbagekalder nu selv samtykket efter at være fyldt 13 år.
Ret til begrænsning af behandling
Den registrerede har ret til at få begrænset sine personoplysninger, hvis han/hun ikke er enig i rigtigheden af personoplysningerne.
Man skal skal i dette tilfælde begrænse behandlingen af oplysningerne, indtil man har haft mulighed for at fastslå, om personoplysningerne er korrekte.
Har man som virksomhed ikke længere brug for personoplysningerne til en databehandling, men de er stadig nødvendige for at f.eks. et retskrav kan fastlægges, gøres gældende eller forsvares, så kan man også begrænse behandlingen.
Begrænsning af behandling af personoplysninger kan f.eks. ske ved, at oplysningerne gøres utilgængelige for brugerne af dit system.
Det bør i den forbindelse tydeligt angives i dit system, at oplysningerne er blevet begrænset.
Begrænsning af behandling kan også ske ved, at oplysningerne midlertidigt flyttes over i et andet system, eller at oplysningerne midlertidigt fjernes fra hjemmesiden.
Ret til dataportabilitet
Dataportabilitet betyder, at den registrerede har ret til at modtage alle de personoplysninger man som virksomhed har indsamlet om den pågældende, og at disse oplysninger skal kunne overføres fra en dataansvarlig til en anden.
Det kan du læse mere om i vores artikel Nu kan dine konkurrenter snart få dine kundedata.
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Datatilsynet har i deres Vejledning om de registreredes rettigheder flere gode eksempler på, hvordan loven skal tolkes ligesom de har to brugbare skabeloner til f.eks. Underretning om indsamling af oplysninger.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.
