Datatilsynet har offentliggjort endnu en vejledning til reglerne i Databeskyttelsesforordningen ("GDPR") – denne gang om de registreredes rettigheder.
GDPR og de registreredes rettigheder
Reglerne om de registreredes rettigheder har til formål at skabe klarhed for de registrerede over, hvem der behandler deres oplysninger, til hvilke formål og hvilke oplysninger, der behandles. Derudover giver reglerne den registrerede indflydelse på behandlingen af sine personoplysninger, bl.a. ved at kunne kræve, at urigtige oplysninger slettes eller berigtiges, eller ved at gøre indsigelse mod en given behandling.
Nogle af de registreredes rettigheder skal efterkommes automatisk, dvs. på den dataansvarliges eget initiativ, mens andre kun skal iagttages efter anmodning fra den registrerede.
De registreredes rettigheder i GDPR omfatter bl.a.
Datatilsynet gennemgår i vejledningen - som er meget udførlig - hver enkelt rettighed, dens indhold, og hvad den dataansvarlige bør være opmærksom på ved imødekommelse af rettighederne. Der gives endvidere nogle gode eksempler.
Procedurer og tidsfrister
Vejledningen indeholder bl.a. en beskrivelse af de processuelle krav en dataansvarlig skal overholde ved opfyldelsen af sine forpligtelser vedrørende de registreredes rettigheder. Det gælder f.eks. krav til, hvordan en organisation skal kommunikere med den registrerede, og hvilke krav til legitimation den datansvarlige skal stille, hvis en registreret beder om at få indsigt i sine oplysninger, eller at de slettes.
Vejledningen indeholder endvidere en beskrivelse af tidsfrister for imødekommelse af anmodninger fra de registrerede.
Grundløse anmodninger
I vejledningen gives eksempler på, hvornår der er tale om åbenbart grundløse eller overdrevne anmodninger fra registrerede. I sådanne tilfælde kan en organisation enten afvise en anmodning eller opkræve et rimeligt gebyr for besvarelsen.
Eksempler på opfyldelse af oplysningspligt og indsigtsret
Afslutningsvis giver Datatilsynet i Bilag A og B til vejledningen nogle konkrete bud på, hvordan en underretning om den dataansvarliges behandlingsaktiviteter, og hvordan en besvarelse af en anmodning om indsigt kan se ud.
> Læs mere om de registreredes rettigheder i Datatilsynets vejledning