Vejledning om de registreredes rettigheder

Når oplysningerne indsamles hos den registrerede (artikel 13)

Den registrerede giver dig oplysningerne selv – enten på din opfordring eller uopfordret. Som udgangspunkt skal du give oplysningerne samtidig med, at du indsamler oplysninger fra den registrerede. Hvis det drejer sig om en ansøgning, blanket eller lignende kan oplysningerne med fordel gives i selve ansøgningen eller blanketten.

Hvis den registrerede selv henvender sig til dig, skal du give oplysningerne hurtigst muligt, normalt inden for 10 dage.

Den registrerede skal informeres om:

• Den dataansvarliges identitet og kontaktoplysninger
• Eventuelle legitime interesser
• Formålene med og retsgrundlaget for behandlingen
• Videregivelse af personoplysninger, hvis de skal gives til andre myndigheder eller virksomheder
• Tredjelande, hvis oplysningerne skal videregives hertil

Det er op til den dataansvarlige at vurdere, om der skal gives yderligere oplysninger f.eks. hvor længe oplysningerne bevares, retten til anmode om indsigt, at få berigtiget eller slettet oplysningerne og at indgive klage til en tilsynsmyndighed. Det kræver, at du tager stilling til de specifikke omstændigheder og forhold, du behandler personoplysningerne under og herfra vurderer hvilke oplysninger, der er nødvendige for at sikre en gennemsigtig behandling. Hvis behandlingen af personoplysninger er baseret på et samtykke, skal den registrerede altid have oplyst, at samtykket kan trækkes tilbage. En konkret vurdering kan også handle om, hvorvidt den registrerede som følge af lov, kontrakt eller lignende er forpligtet til at give disse oplysninger, og om der er konsekvenser for den registrerede, hvis ikke oplysningerne gives.

I tilfælde af, at du benytter automatiske afgørelser, herunder profilering, bør du konkret vurdere, om du skal give den registrerede meningsfulde oplysninger om hvordan automatikken eller profileringen foregår i praksis, og hvad betydning og konsekvenser det kan have for den registrerede.

Undtagelser

Du skal ikke opfylde oplysningspligten, hvis den registrerede allerede er bekendt med oplysningerne. Det er dog en betingelse, at du er i stand til at dokumentere, hvilke oplysninger den registrerede allerede har, hvordan og hvornår de har modtaget oplysningerne, samt at der ikke er sket nogen ændringer i oplysningerne, siden den registrerede sidst modtog dem.

Når oplysningerne ikke indsamles hos den registrerede (artikel 14)

Du har fået oplysninger fra andre dataansvarlige, offentligt tilgængelige kilder, andre registrerede m.fl. Du i disse tilfælde give oplysningerne så tidligt som muligt efter du har fået dem, normalt inden for 10 dage og ikke senere end en måned.

Sker indsamling af oplysninger via en tredjepart, skal den registrerede informeres om:

• Den dataansvarliges identitet og kontaktoplysninger
• Formålene med og retsgrundlaget for behandlingen
• De berørte kategorier af personoplysninger. Er der tale om almindelige personoplysninger, følsomme personoplysninger eller oplysninger om strafbare forhold?
• Videregivelse af personoplysninger, hvis de skal gives til andre myndigheder eller virksomheder
• Tredjelande, hvis oplysningerne skal videregives hertil

Som dataansvarlig skal du vurdere, om der skal gives yderligere oplysninger som beskrevet ovenfor, når oplysningerne indsamles hos den registrerede.

Hvis du som dataansvarlig, eller en tredjemand forfølger legitime interesser, skal du vurdere om den registrerede skal gives oplysninger om disse legitime interesser. Du skal ligeledes vurdere, om du skal give den registrerede oplysninger om kilder, og hvis det ikke er muligt kan du give den registrerede mere generelle oplysninger.

Undtagelser

Du skal ikke opfylde oplysningspligten, hvis den registrerede allerede er bekendt med oplysningerne. Det er dog en betingelse, at du er i stand til at dokumentere, hvilke oplysninger den registrerede allerede har, hvordan og hvornår de har modtaget oplysningerne, samt at der ikke er sket nogen ændringer i oplysningerne, siden den registrerede sidst modtog dem.

Indsigtsret (artikel 15)

Den registrerede skal have mulighed for at få oplyst hvilke personoplysninger, der behandles om vedkommende og hvordan. Ofte er det oplysninger, som behandles i IT-systemer, men det kan også være tv-overvågningsbilleder, teletrafik mv.

Den dataansvarlige må ikke afvise en anmodning om indsigt fra en registreret, men må gerne bede den registrerede om at præcisere sin anmodning, hvis den dataansvarlige har en stor mængde oplysninger om personen. Hvis dette ikke sker, så skal indsigt fortsat besvares.

Den registrerede skal have indsigt i indholdet af de personoplysninger, der behandles om vedkommende. F.eks. ved at:

• udlevere kopier af originale dokumenter, sagsmapper, tv-overvågningsoptagelser mv.
• kopiere oplysningerne om den registrerede over i et nyt dokument eller lignende.

Den registrerede skal have en egentlig kopi af selve oplysningerne for bedst at kunne forvisse sig om, hvorvidt oplysningerne er korrekte og lovlige. Kopien skal udleveres gratis, men hvis personen beder om yderligere kopier, kan der opkræves et rimeligt gebyr.

Vær opmærksom på at sløre eller på anden vis fjerne oplysninger om andre personer, før kopien udleveres.

Den registrerede skal have oplysninger om:

• Formålene med behandlingen
• De berørte kategorier af personoplysninger. Er der tale om almindelige personoplysninger, følsomme personoplysninger eller oplysninger om strafbare forhold?
• Modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, især hvis modtagerne findes i tredjelande eller er internationale organisationer. Oplysningerne skal være så konkrete som muligt, og det er derfor ikke nok at benytte betegnelsen ”offentlige myndigheder”, hvis det kan præciseres.
• Tidsrummet, du opbevarer personoplysningerne i, eller kriterierne for at fastlægge dette tidsrum.
• Retten til at anmode om berigtigelse, sletning eller begrænsning af behandlingen. Den registrerede har ret til at gøre indsigelse mod behandlingen i særlige situationer, og at indgive klage over behandlingen til en tilsynsmyndighed (Datatilsynet eller Domstolsstyrelsen).
• Personoplysningernes oprindelse, hvis de er indsamlet hos andre end den registrerede selv – altså “kilden”.
• Automatiske afgørelser, herunder profilering, hvis du benytter det. Det gælder en orientering af behandling samt logikken i de automatiske afgørelser, bl.a. en beskrivelse af, hvilke overvejelser, der ligger til grund for denne behandling og hvordan ”systemet” kommer frem til afgørelserne.
• Usikre tredjelande eller internationale organisationer, hvis du overfører personoplysninger hertil samt oplysninger om fastsatte fornødne garantier for databeskyttelsen.

Vær opmærksom på indsigt i oplysninger om børn. Ifølge datatilsynet er det ofte ubetænkeligt at give indsigt til børn og unge under 18 år, men det er svært at opstille generelle regler for en nedre aldersgrænse for, hvornår indsigt bør gives. Normalt må unge selvstændigt kunne bede om indsigt, fra de er omkring 15 år, men du bør tage udgangspunkt i en konkret bedømmelse af barnets modenhed.

Imødekommer du en anmodning om indsigt fra et barn, så udelukker det ikke at forældremyndighedsindehaveren kan anmode om indsigt på barnets vegne.

Du kan afvise at imødekomme en anmodning om indsigt fra en registreret, hvis det vil krænke andre menneskers rettigheder og friheder, f.eks. forretningshemmeligheder eller immaterielle rettigheder. Anvender du denne undtagelse, så må du kun undtage de oplysninger, der kan indebære en krænkelse, og du skal give den registrerede en kopi af alle andre personoplysninger m.m.

Du kan også undlade at imødekomme en anmodning om indsigt, hvis der er afgørende hensyn til private interesser, (f.eks. hensynet til den registrerede selv eller offentlige interesser), der overstiger hensynet til den registreredes interesser om indsigt. Du må kun undlade at give indsigt i netop de oplysninger, der omfatter de private eller offentlige interesser.

Retten til indsigt gælder ikke, hvis du udelukkende behandler oplysningerne i videnskabeligt eller statistisk øjemed.

Ret til berigtigelse (artikel 16)

Den registrerede har ret til at få rettet urigtige (forkerte) personoplysninger om sig selv. Desuden har den registrerede ret til at få fuldstændiggjort ufuldstændige personoplysninger ved f.eks. at give en supplerende erklæring. Den dataansvarlige må ikke afvise at supplere en sag med yderligere oplysninger, hvis det vil gøre sagen mere fuldstændig og/eller ajourført.

Hvis der modtagers en anmodning fra en registreret, om at rette urigtige personoplysninger, skal de rettes uden unødig forsinkelse. Hvis du har videregivet forkerte eller ufuldstændige personoplysninger, har du pligt til at underrette diverse tredjeparter. Hvis den registrerede ønsker at vide, hvem tredjeparterne er, skal du give den registrerede disse oplysninger.

Den registrerede har ret til at få berigtiget oplysninger om sig selv, hvis de er forkerte. Det kan imidlertid være svært at afklare, om det er tilfældet. Datatilsynet oplever typisk et af følgende tre scenarier:

1. Begge parter er enige om, at oplysningerne er forkerte

Oplysningerne rettes til. Det kan f.eks. dreje sig om faktuelle oplysninger som navn, alder, bopæl, indkomst osv. der er registreret forkert.

Private virksomheder skal blot rette forkerte oplysninger, mens offentlige myndigheder har pligt til at dokumentere det grundlag, som afgørelsen i sin tid blev truffet på. I praksis betyder det, at offentlige myndigheder ikke bare må ændre eller fjerne oplysninger, der indgår i en sag, men skal rette de forkerte personoplysninger ved at tilføje den korrekte information.

2. Parterne er uenige om, hvorvidt oplysningerne er rigtige

Du ikke forpligtet til at rette oplysningerne, hvis du ikke er enig med den registrerede i, at der er tale om forkerte oplysninger. Det kan f.eks. være notater om, hvad der er sagt eller sket på et møde.

Du skal sørge for lave en tilføjelse til de omstridte oplysninger, hvor du noterer, at den registrerede ikke er enig i oplysningerne, samt hvad den registrerede mener, er korrekt.

3. Oplysningerne har karakter af enten en subjektiv eller faglig vurdering

Skoleledere og lærere kan f.eks. henvende sig til kommunen, hvis de er er bekymrede for en elev ud fra en faglig vurdering. En registreret kan være uenig i indhold og konklusioner i sagen, men kan ikke få indberetningen slettet. I stedet er løsningen normalt at tilføje oplysninger om, at den registrerede er uenig samt dennes synspunkter.

Ret til sletning (artikel 17)

Også kaldet retten til at blive glemt.

Den registrerede ret til at få slettet sine personoplysninger uden unødig forsinkelse hvis :

• Det er ikke længere nødvendigt at have oplysningerne om den registrerede af hensyn til de formål, hvormed du indsamlede oplysningerne
• Du har baseret din behandling på et samtykke, og den registrerede trækker nu sit samtykke tilbage, og du har samtidig ikke en anden hjemmel for behandlingen
• Du behandler oplysningerne ulovligt (uden hjemmel i databeskyttelsesforordningens kapitel II) eller anden lovgivning
• Du er forpligtet til at slette oplysningerne som følge af EU-lovgivning eller national lovgivning i en medlemsstat
• Du er forpligtet til at slette oplysningerne som konsekvens af, at den registrerede udøver sin ret til indsigelse
• Du er udbyder af en informationssamfundstjeneste (f.eks. et socialt netværk, chat- eller diskussionsforum), og du har baseret din behandling af personoplysninger om en registreret på et samtykke givet af den registreredes forældremyndighedsindehavere, og den registrerede tilbagekalder nu selv samtykket efter at være fyldt 13 år.

At du er forpligtet til at slette personoplysningerne betyder, at oplysningerne skal slettes på en sådan måde, at det ikke er muligt at genskabe dem. Det betyder, at du også skal slette de pågældende oplysninger fra din backup m.m. hvis det er muligt. Du skal under alle omstændigheder sikre dig, at du får fjernet denne data, hvis du laver en genetablering af data fra din backup.

Det er en god idé at fastsætte slettefrister for dine behandlinger af personoplysninger, f.eks. om stillingsansøgere og ansatte og ved sagsbehandling. I praksis får den registreredes ret til sletning kun betydning, hvis en registreret anmoder om sletning før din egen slettefrist. Husk at underrette eventuelle tredjeparter.

Husk at du som dataansvarlig altid er forpligtet til at slette personoplysninger, når de ikke længere tjener de formål, hvormed de blev behandlet.

Ret til begrænsning af behandling (artikel 18)

Den registrerede har i visse tilfælde ret til at få begrænset behandlingen af sine personoplysninger til kun at gælde opbevaring, hvis:

• Den registrerede bestrider rigtigheden af personoplysningerne. Behandlingen af oplysningerne i perioden skal begrænses, til du har haft mulighed for at undersøge, om personoplysningerne er korrekte
• Du behandler oplysningerne ulovligt, og den registrerede ikke ønsker sletning af oplysningerne, men begrænsning af anvendelsen. F.eks. hvis den registrerede ønsker dokumentation om behandlingen af en sag
• Du ikke længere har brug for personoplysningerne, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares
• Den registrerede har gjort indsigelse mod din behandling af personoplysninger. Du skal begrænse behandlingen af oplysningerne, mens det kontrolleres om dine legitime interesser går forud for den registreredes

Du skal lave en mærkning af de opbevarede personoplysninger, så det er tydeligt, at de som udgangspunkt ikke må behandles, bruges eller videregives, så længe de er under begrænsning.

Anden behandling end opbevaring, må kun finde sted, hvis den registrerede har givet sit samtykke, behandlingen sker i forbindelse med et retskrav eller det er nødvendigt for at beskytte vigtige samfundsinteresser. Det gælder også offentlighedslovens regler om aktindsigt, hvor du skal informere tredjeparten om, at oplysningerne er underlagt begrænset behandling samt begrundelsen herfor.

Du har pligt til at underrette den registrerede, inden du ophæver en begrænsning af behandling.

Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling (artikel 19)  

Hvis du berigtiger, sletter eller begrænser behandlingen af den registreredes personoplysninger, så har du pligt til at underrette alle de modtagere af oplysningerne, som du har sendt dem til. Se også afsnittene “Ret til berigtigelse”, “Ret til sletning” og “Ret til begrænsning af behandling”.

Ret til dataportabilitet (artikel 20)

Den registrerede har ret til at modtage egne personoplysninger, som denne har givet til dig og til at overføre disse til en ny databehandler. Personoplysningerne skal derfor kunne flyttes, kopieres og overføres fra ét IT-miljø til et andet, hvis det er teknisk muligt.

Formålet med retten til dataportabilitet er, at den registrerede har en øget kontrol over sine personoplysninger.

Den registrerede har ret til at modtage og flytte sine personoplysninger, hvis:

• Din behandling af oplysningerne foretages automatisk, er baseret på et samtykke eller er nødvendig for at opfylde en kontrakt
• Den registrerede selv har givet dig personoplysninger, du behandler. Det gælder både oplysninger, der er givet direkte til dig, og oplysninger, der er genereret ved brug af elektroniske anordninger, som du er dataansvarlig for. Altså alle persondata, som du ikke har modtaget fra tredjepart.

Retten til dataportabilitet gælder ikke, når behandlingen er nødvendig for samfundets interesse og må ikke krænke andres rettigheder eller frihedsrettigheder. Hvis der indgår personoplysninger om en tredjepart, må den nye dataansvarlige kun benytte oplysningerne til de samme formål, som den oprindelige dataansvarlige brugte dem til.

Fordi dataportabiliteten skal gøre det nemt for den registrerede at administrere og anvende sine egne personoplysninger,  bør oplysningerne gives i et struktureret, almindeligt anvendt og maskinlæsbart format f.eks. JSON, XML, CSV eller lignende.

Oplysningerne skal gives uden hindring, gebyrer og unødig forsinkelse.

Inden du overfører personoplysninger til en ny dataansvarlig, bør du sikre dig, at du har forstået anmodning fra den registrerede korrekt. Du har ansvaret for, at personoplysningerne overføres sikkert,  men det er ikke dit ansvar at sikre, at den nye dataansvarlige overholder reglerne.

Hvis du som dataansvarlig skal modtage oplysninger om den registrerede, så skal du sikre dig, at du behandler oplysningerne lovligt. Du bør f.eks. ikke beholde flere oplysninger, end du har brug for, medmindre den registrerede specifikt ønsker det.

Ret til indsigelse (artikel 21)

Den registrerede har til enhver tid har ret til at gøre indsigelse mod lovlig behandling af sine personoplysninger, hvis det vedrører en særlig situation. Du skal i sådanne tilfælde vurdere, om indsigelsen er berettiget, også selvom om din behandling af oplysningerne er lovlig. Det gælder hvis:

• Behandlingen er nødvendig af hensyn til samfundets interesse eller er under offentlig myndighedsudøvelse, som du er pålagt som dataansvarlig
• Behandlingen er nødvendig for at forfølge en legitim interesse (medmindre den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder, går forud for behandlingen. Det gælder navnlig, hvis den registrerede er et barn)

Når du modtager en indsigelse fra den registrerede, vil du således allerede én gang have vurderet, at din behandling er nødvendig af hensyn til udførelsen af en offentlig myndighedsopgave, eller at de legitime interesser, som gør behandlingen nødvendig, overstiger den registreredes interesse i ikke at få sine personoplysninger behandlet. Men netop den indsigende registrerede kan have særlige forhold, så afvejningen falder ud til dennes fordel.

Ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering (artikel 22)

Den registrerede har ret til ikke at blive underlagt en afgørelse, hvis den alene er baseret på automatisk behandling, som har retsvirkning eller på anden vis betydeligt påvirker vedkommende.

Den registrerede har ligeledes ret til ikke at blive underlagt en automatisk behandling af personoplysninger, hvis det handler om at anvende oplysningerne til at evaluere bestemte personlige forhold om den registrerede. Især for at analysere eller forudsige forhold om:

• den registreredes arbejdsindsats
• økonomiske situation
• helbred
• personlige præferencer
• interesser
• pålidelighed
• adfærd
• geografisk position eller bevægelser

Som udgangspunkt må du som dataansvarlig ikke træffe afgørelser, der alene baserer sig på en automatisk behandling eller profilering, hvis:

1. Afgørelsen eller profileringen har retsvirkning for eller betydelig påvirkning af den registrerede

(f.eks. afslag på at rejse over en grænse, at få en social ydelse, eller at tegne en forsikring). En betydelig påvirkning dækker også over den registreredes forventninger til afgørelsen, øvrige ønsker eller specielle sårbarheder hos den registrerede

2. Afgørelsen eller profileringen indebærer evaluering af den registreredes personlige forhold.

”Hårde” værdier (som et beløb på beløb en bankkonto) er ikke omfattet af rettigheden.

En automatisk behandling er, når behandlingen af personoplysninger sker uden menneskelig indgriben. Børn eller unge under 18 år bør ikke underlægges afgørelser, der alene er baseret på automatisk behandling eller profilering.