Ny vejledning om registreredes rettigheder

21 marts 2018

Datatilsynet har offentliggjort endnu en vejledning til reglerne i Databeskyttelsesforordningen ("GDPR") – denne gang om de registreredes rettigheder.

GDPR og de registreredes rettigheder

Reglerne om de registreredes rettigheder har til formål at skabe klarhed for de registrerede over, hvem der behandler deres oplysninger, til hvilke formål og hvilke oplysninger, der behandles. Derudover giver reglerne den registrerede indflydelse på behandlingen af sine personoplysninger, bl.a. ved at kunne kræve, at urigtige oplysninger slettes eller berigtiges, eller ved at gøre indsigelse mod en given behandling.

Nogle af de registreredes rettigheder skal efterkommes automatisk, dvs. på den dataansvarliges eget initiativ, mens andre kun skal iagttages efter anmodning fra den registrerede.

De registreredes rettigheder i GDPR omfatter bl.a.

  • oplysningspligt (artikel 13 og 14)
  • indsigtsret (artikel 15)
  • ret til berigtigelse (artikel 16)
  • ret til sletning (artikel 17)
  • ret til begrænsning af behandling (artikel 18)
  • underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling (artikel 19)
  • ret til dataportabilitet (artikel 20)
  • ret til indsigelse (artikel 21) og
  • ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering (artikel 22).

Datatilsynet gennemgår i vejledningen - som er meget udførlig - hver enkelt rettighed, dens indhold, og hvad den dataansvarlige bør være opmærksom på ved imødekommelse af rettighederne. Der gives endvidere nogle gode eksempler.

Procedurer og tidsfrister

Vejledningen indeholder bl.a. en beskrivelse af de processuelle krav en dataansvarlig skal overholde ved opfyldelsen af sine forpligtelser vedrørende de registreredes rettigheder. Det gælder f.eks. krav til, hvordan en organisation skal kommunikere med den registrerede, og hvilke krav til legitimation den datansvarlige skal stille, hvis en registreret beder om at få indsigt i sine oplysninger, eller at de slettes.

Vejledningen indeholder endvidere en beskrivelse af tidsfrister for imødekommelse af anmodninger fra de registrerede.

Grundløse anmodninger

I vejledningen gives eksempler på, hvornår der er tale om åbenbart grundløse eller overdrevne anmodninger fra registrerede. I sådanne tilfælde kan en organisation enten afvise en anmodning eller opkræve et rimeligt gebyr for besvarelsen.

Eksempler på opfyldelse af oplysningspligt og indsigtsret

Afslutningsvis giver Datatilsynet i Bilag A og B til vejledningen nogle konkrete bud på, hvordan en underretning om den dataansvarliges behandlingsaktiviteter, og hvordan en besvarelse af en anmodning om indsigt kan se ud.

> Læs mere om de registreredes rettigheder i Datatilsynets vejledning