Persondataforordningen (GDPR) som trådte i kraft den 25. maj 2018, er en lov, der har til formål at beskytte den enkeltes persondata og give individet en række rettigheder i forhold til at kontrollere egne oplysninger hos organisationer. Samtidig er organisationerne underlagt en række krav i henhold til denne persondataforordning, når de behandler data, for at sikre, at persondata ikke misbruges eller videregives uden samtykke.
Vi har samlet både pligter og rettigheder i forbindelse med persondataordningen neden for, så du kan danne dig det forkromede overblik og forhåbentlig opdage, at du er helt på linje med de aktuelle krav.
LÆS OGSÅ: Har du styr på GDPR-loven? Tjek din viden her
Den registreredes rettigheder i persondataordningen
Når en organisation behandler personlige oplysninger, har den registrerede en række rettigheder, som organisationen skal overholde.
- Ret til oplysning: Den registrerede har krav på at blive oplyst om indsamlingen af personoplysninger i et kortfattet og letforståeligt format. Både omkring de oplysninger, som indsamles hos den registrerede selv - men også om de oplysninger, som indsamles hos andre end den registrerede.
- Ret til indsigt: Den registrerede har ret til at se, hvilke personoplysninger der behandles om vedkommende i organisationen. Den dataansvarlig har her en forpligtigelse til at tage stilling til og i de fleste tilfælde imødekomme dette indsigtsønske.
- Ret til berigtigelse: Den registrerede har ret til at få rettet forkerte oplysninger, og den dataansvarlige skal i et nødvendigt omfang sørge for at gøre urigtige oplysninger rigtige. I tilfælde hvor der er uenighed (mellem den registrerede og den dataansvarlige) om, hvorvidt personoplysningerne er forkerte, skal den dataansvarlige notere den registreredes uenighed.
- Ret til sletning: Den registrerede har ret til – med visse undtagelser - at få slettet sine personoplysninger. Hvis betingelserne for sletning er opfyldt, skal organisationen sørge for at oplysningerne slettes på sådan en måde, at de ikke kan genskabes.
- Ret til begrænsning af behandling: Den registrerede har ret til – i visse tilfælde - at få begrænset behandlingen af sine personoplysninger. Dette kan ske, hvis den registrerede eksempelvis finder, at personoplysningerne er urigtige eller behandles ulovligt.
- Ret til dataportabilitet: Den registrerede har ret til at modtage de tilgængelige personoplysninger, der opbevares om vedkommende i et anerkendt og læsevenligt format. Samtidig kan den registrerede under visse betingelser, og hvis det er teknisk muligt, anmode om, at personoplysningerne flyttes fra én dataansvarlig til en anden.
- Ret til indsigelse: Den registrerede har ret til at gøre indsigelse mod en ellers lovlig behandling af vedkommendes personoplysninger. Den dataansvarlige skal i sådanne tilfælde tage stilling til om indsigelsen er berettiget og muligvis genoverveje om databehandlingen er nødvendig.
- Ret til ikke at være genstand for automatisk afgørelse: Den registrerede har ret til ikke at være genstand for afgørelser baseret på udelukkede automatiske behandling – herunder profilering.
Organisationens forpligtelser i persondataforordningen
Et af de grundlæggende elementer i persondataordningen er, at den dataansvarlige skal have et lovligt grundlag for at behandle personoplysninger. Dette defineres som en behandlingshjemmel. En dataansvarlig skal ikke kun fastlægge, hvilken indsamling og hvordan databehandlingen kommer til at foregå. Organisationen skal også definere, hvilken hjemmel der gøres brug af.
Når den dataansvarlig skal vælge hjemmel, er der to ting, som spiller ind på valget:
-
Hvilken type af personoplysning er der tale om?
Persondataforordningen (GDPR) arbejder med to kategorier af personoplysninger: Almindelige og følsomme oplysninger (jf. Art. 6 og 9 i EU’s persondataforordningen). Herudover supplerer den danske databeskyttelseslov med sæt særlige regler for personoplysninger såsom CPR-numre, strafbare forhold og oplysninger om lovovertrædelser. En dataansvarlig skal derved også have denne type af persondata for øje, når der vælges behandlingshjemmel (Læs Databeskyttelsesloven). -
Hvad er situationen omkring databehandlingen?
Den dataansvarlige skal forholde sig til, hvad der ligger til grund for dataindsamlingen. Er det for at imødekomme en retlig forpligtelse eller for at opfylde en kontrakt? F.eks. skal en organisation bruge dens ansattes navne og bankoplysninger for at udbetale løn.
Den dataansvarlige skal foretage et bevidst valg, om hvilken eller hvilke behandlingshjemler, den ønsker at basere sin databehandling på. Det kan tit tider virke overskueligt og forvirrende, da flere af hjemlerne kan være en mulighed. Mange organisationer kan være tilbøjelige til at vælge ”samtykke”, da virker som en ligetil måde at sikre sig lovligt grundlag. Dette er dog ikke altid den mest hensigtsmæssige hjemmel. Den registrerede skal altid være i stand til at trække et samtykke tilbage, hvilket betyder, at databehandlingen skal stoppes. Og hvis behandlingen af disse persondata er central for det daglige arbejde i organisationen, vil det være kritisk.
Mange organisationer tænker dog ikke over dette, når de udvælger et behandlingshjemmel – og når man allerede har lagt sig fast på en hjemmel, kan organisationen ikke pludselig hoppe over på et andet, hvis det ikke dækkende mere – f.eks. hvis et samtykke trækkes tilbage. Det er derfor alfa og omega at der vælges rigtig i første omgang.
Som organisation handler det om at gøre det nemt for sig selv. Her er det vigtigt at have en risikobaseret tilgang til både de registreredes rettigheder, og hvad der er bedst for organisationen - både juridisk og ressourcemæssigt. Som dataansvarlig handler det således om at vælge det juridiske grundlag, som er stærkest og mest hensigtsmæssigt i forhold til databehandlingen.
Når samtykke er den rigtig form for hjemmel
Selvom samtykke ikke altid er den bedste behandlingshjemmel, vil det i nogen tilfælde være det rigtige behandlingsgrundlag. For at leve op til denne persondataforordning er der en række betingelser som skal være opfyldt for at gøre samtykket gyldig:
- Frivilligt – samtykket skal afgives frivilligt af medarbejder såvel som andre registrerede.
- Legitimt – der skal være et lovligt formål med at indhente personoplysningerne.
- Specifikt – det skal være tydeligt angivet, hvorfor du indhenter disse data, hvordan du bruger dem, hvem de deles med, og hvordan den registrerede kan tilgå oplysningerne samt klage.
- Informeret – et samtykke skal skrives i et enkelt og letforståeligt sprog, der ikke er til at misforstå, og det skal være adskilt fra andre emner. For eksempel må det ikke være en del af handelsbetingelserne eller andre dokumenter.
- Utvetydigt – stiltiende accept er ikke lovligt ved samtykke, hvorfor individet aktivt skal godkende behandlingen af personoplysninger ved f.eks. at krydse af i en checkboks.
Bliv GDPR-compliant
Det kan være svært at finde hoved og hale i pligter og rettigheder i persondataforordningen (GDPR), og mange organisationer kan ikke med sikkerhed sige, om de er GDPR-compliant eller ej. Faktum er dog, at hvis du ikke kan dokumentere din indsats inden for databeskyttelse, så eksisterer den ikke – i hvert fald ikke ifølge Datatilsynet.
Vil du sikre, at organisationen altid kan trække rapporter og dokumentere data og processer, kan du med fordel overveje at investere i GDPR-software. På den måde kan du effektivisere indsamlingen af informationer, synliggøre behandlingsaktiviteter og få overblik over kontrolarbejdet.
RISMAs GDPR-software er udviklet i samarbejde med Plesner Advokatpartnerselskab, som er branchens førende eksperter i persondatabeskyttelse, og systemet er udviklet, så det kan forstås og anvendes af brugere uden særlig uddannelse i GDPR. Er du nysgerrig, er du altid velkommen til at bestille en demo.
LÆS OGSÅ: 9 krav du bør stille til din leverandør af en GDPR-løsning
