Pligter og rettigheder i persondataforordningen (GDPR)

Persondataforordningen (GDPR) er en EU-forordning som trådte i kraft den 25. maj 2018. Fra da af fik privatpersoner en række rettigheder til at kontrollere deres personlige oplysninger. Imens blev virksomheder mødt med en række skærpede krav til måden, de behandler data på. Forordningen erstatter Persondataloven, og opdaterer dermed datalovgivningen, så den passer til den digitale tidsalder.

I denne artikel kan du læse mere om både rettigheder og pligter, som forordningen introducerer. Ønsker du mere grundlæggende information, findes det her.

Samtykke og pligten til give oplysninger om databehandling 

Persondataforordningen gør klart, at man som dataansvarlig skal have et behandlingsgrundlag for at bruge og opbevare persondata. I langt de fleste tilfælde giver det sig selv, eksempelvis når du skal bruge dine ansattes navn, adresse og bankoplysninger for at kunne udbetale dem løn. Andre gange kan det være nødvendigt at indhente privatpersoners samtykke. Bruger man samtykke som hjemmel for at behandle oplysninger, skal det være.

• Frivilligt: Samtykket kan blive erklæret ugyldigt, hvis du som arbejdsgiver direkte eller indirekte tvinger en ansat til deres samtykke.
• Legitimt: Der skal være et lovligt formål med at indhente deres data. Misbruger du folks data, bliver det ikke lovligt af, at de har givet dig samtykke.
• Specifikt: Du har pligt til at oplyse folk om, hvorfor du har deres data, hvad du præcis bruger det til, hvem du deler det med, hvordan de kan tilgå det og hvor de kan klage. I Danmark varetages klager over databehandling af Datatilsynet.
• Informeret: Når du skal bede om samtykke, skal du skrive i et simpelt sprog, som ikke er til at misforstå og du skal eftertrykkeligt oplyse folk om deres rettigheder. Når du indhenter samtykket, skal det samtidig være klart adskilt fra andre emner. Det kan altså ikke være gemt i en lang række andre handelsbetingelser.
• Utvetydigt: Samtykke må heller ikke gives ved stiltiende accept. Du må gerne lade folk afkrydse en boks, men den må ikke være udfyldt på forhånd. Folk skal aktivt tage stilling.  

Der er dog også andre måder, man kan indhente hjemme til behandling af data. Det kan være, at det er lovpligtigt, at det er  den enkeltes interesse eller at det er nødvendigt for at kunne yde den service, som bliver udbudt. Samtykke er derfor ikke nødvendigvis den bedste måde at sikre sig hjemmel til behandling af personlige oplysninger, da det altid kan trækkes tilbage.

Hvad er retten til at blive glemt? 

Artikel 17 i persondataforordningen beskriver retten til at blive glemt eller retten til sletning. Her tydeliggøres det, at EU-borgere kan kræve at få personoplysninger slettet, hvis deres oplysninger ikke tjener noget formål (enten fordi det er irrelevant eller forældet) eller hvis oplysningerne kan skade personen. Man kan også udløse retten til at blive glemt, hvis man oplever, at ens oplysninger bliver behandlet ulovligt. Det skal generelt være lige så nemt at tilbagetrække samtykke, som det er at give det. En tidligere ansat i et firma vil eksempelvis have ret til at få sin persondata slettet fra alle virksomhedens arkiver, hvis de ikke tjener et formål.
‍
En virksomhed må eksempelvis gerne opbevare dem, hvis de eksempelvis skal bruges til bogføring og skattebetaling – også selvom vedkommende ikke længere er ansat. En virksomhed kan være undtaget fra retten til at blive glemt, hvis man vurderer, at oplysningerne har særlig historisk eller forskningsmæssig betydning, eller hvis det har offentligheden interesse.
‍
Hvis man som virksomhed bruger en databehandler til at opbevare persondata, skal man som dataansvarlig sørge for, at databehandlere omgås data efter privatpersonens henvisninger, blandet andet sletter forældet data. Retten til at blive glemt nødvendiggør et organiseret arkiv, der kan hjælpe med at opbevare din dokumentationen på en struktureret og digitaliseret måde, som vil gøre det let at administrere din datahåndtering samt at sikre løbende vedligeholdelse af din compliance. På den måde kan du altid danne dig et overblik over din datahåndtering. Samtidig vil du være i stand til at reagere hurtigt ved at følge opskrevne politikker, når folk håndhæver deres ret til at blive glemt, eller hvis din organisation skulle opleve et databrud.

Artikel 16 beskriver yderligere, at man har ret til berigtigelse. Altså har man ret til at få sine oplysninger ændret, hvis de ikke længere er korrekte.

Hvad er retten til indsigt? 

Retten til indsigt beskrives i persondataforordningens Artikel 15. Her fremgår det, at man som privatperson har ret til at få indsigt i behandlingen af sit persondata. En person skal altid have ret til at få at vide, om deres data bliver behandlet, hvilke oplysninger der behandles, hvem der behandler dem (eksempelvis eventuelle tredjeparter der fungerer som databehandlere), hvor disse behandles (er det eksempelvis opbevaret på Amazons servere i Frankfurt?) og til hvilket formål de enten opbevares eller behandles.
‍
Privatpersoner har i øvrigt ret til at få at vide, hvor de eventuelt kan klage, hvis der er brud på sikkerheden eller de ikke føler sig ordenligt behandlet. I Danmark varetages klager af Datatilsynet. Hvis en privatperson beder om det, skal en virksomhed altid kunne udlevere en gratis kopi af privatpersonens data i et maskinlæsbart format. I bedste fald bør privatpersoner have direkte adgang til oplysningerne. Det betyder i øvrigt, at du gerne skal have et digitalt arkiv med konstant overblik over dine processer og datahåndtering,

Hvad er dataportabilitet? 

I persondataforordningens Artikel 20 beskrives retten til dataportabilitet. Denne ret er helt ny og betyder, at man har ret til modtage sine oplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format. Data skal kunne overleveres og transmitteres uden hindring mellem databehandlere eller fra et IT-system til et andet. Altså skal det være muligt at få sin bank eller sit lønsystem til at levere persondata til en anden bank eller lønsystem.
‍
Hvis du vil læse mere om, hvordan databeskyttelsesforordningen, og hvordan du sikrer compliance, kan du downloade vores e-bog GDPR for begyndere