Grundlæggende har den registrerede følgende rettigheder:
- Ret til oplysning og indsigt (gennemsigtighed)
- Ret til berigtigelse, sletning og begrænsning
- Ret til at gøre indsigelse mod behandling
- Ret til dataportabilitet
- Ret til at få en afgørelse truffet af en fysisk person
Rettighederne skal i vidt omfang opfyldes af virksomheden af egen drift, men den registrerede kan også udøve dem ved at rette henvendelse. Nægter man at opfylde den registreredes rettigheder, kan man ifalde bødestraf eller erstatningsansvar.
Ret til oplysning og indsigt (gennemsigtighed)
Gennemsigtighed er en forudsætning for, at den registrerede overhovedet kan varetage sine andre rettigheder. Gennemsigtigheden sikres på to måder: Ved opfyldelse af orienteringspligten og ved opfyldelse af indsigtsretten.
- Oplysningspligten: Ved indsamling af personoplysninger, skal den registrerede orienteres om forskellige forhold. Oplysningspligten er beskrevet i nyhedsbrev 6.
- Indsigtsretten: Indsigtsretten går ud på, at enhver registreret kan henvende sig til virksomheden og kræve at få at vide, hvilke oplysninger virksomheden har om personen, og hvilke behandlinger, der foretages. De fleste anmodninger om indsigt skal imødekommes, men det kan nægtes, hvis det er tydeligt, at den registrerede chikanerer virksomheden ved at bede om indsigt adskillige gange uden grund.
En anmodning om indsigt skal som udgangspunkt imødekommes inden for en måned. Besvarelsen af anmodningen skal dog ske hurtigst muligt. Som besvarelse skal virksomheden give den registrerede en fysisk eller elektronisk kopi (den registrerede har valgfrihed) af oplysningerne, virksomheden har. Derudover skal virksomheden give informationer om behandlingen, der nogenlunde svarer til de informationer, man skal give efter oplysningspligten. Virksomheden må ikke videregive oplysninger, der krænker andres rettigheder. Det vil betyde, at virksomheden som udgangspunkt ikke må give personoplysninger om tredjemand, når man giver den registrerede indsigt.
Ret til berigtigelse, sletning (retten til at blive glemt) eller begrænsning
Den registrerede har endvidere ret til at få oplysninger om ham berigtiget, slettet eller begrænset i visse tilfælde. Sådanne henvendelser skal dog ikke altid imødekommes. Fx behøver man ikke at slette en oplysning, hvor man er forpligtet til at behandle den efter gældende ret, eller behandlingen er nødvendig for at et retskrav kan gøres gældende, fastlægges eller forsvares. En henvendelse om en sletning skal dog imødekommes, hvis behandlingen ikke længere er nødvendig, samtykket er trukket tilbage (og der ikke er andre behandlingsgrundlag), eller oplysningerne bruges til direkte markedsføring. Begrænsning går ud på, at virksomheden beholder oplysningen, men ellers ikke må behandle den.
Ret til at gøre indsigelse mod behandling
Den registrerede har ret til at gøre indsigelse mod en lovlig behandling under nærmere omstændigheder. Dette betyder, at virksomheden bliver afskåret fra at foretage en bestemt behandling af en oplysning, som den ellers ville være berettiget til at foretage. Den registrerede kan gøre indsigelse, når:
- Grundlaget for behandlingen er interesseafvejningsmodellen (den dataansvarliges legitime interesse i behandlingen overstiger den registreredes interesse i, at behandlingen ikke sker)
- Personoplysningerne bruges til direkte markedsføring
Når en registreret gør indsigelse mod behandling, skal den dataansvarlige straks standse alle behandlinger af den pågældende oplysning. Den dataansvarlige må dog gerne behandle oplysninger, hvis der kan påvises vægtige legitime grunde, der klart overstiger den registreredes interesse, eller det er nødvendigt for at fastlægge, forsvare eller gøre et retskrav gældende.
Ret til dataportabilitet
Der er ikke tale om en egentlig beskyttelse af den registrerede, men snarere en forbrugerrettighed, en ret til en bestemt (gratis) service fra visse virksomheder. Dataportabilitet går ud på, at den registrerede har ret til at få oplysninger om ham selv transmitteret i maskinlæsbar, elektronisk form fra den dataansvarlige til en tredjemand. Rettigheden finder kun anvendelse, hvis det retlige grundlag for behandlingen er samtykke eller opfyldelse af en kontrakt, og kun hvis det er teknisk muligt for den dataansvarlige, hvilket ikke er tilfældet for de fleste.
Ret til at få en afgørelse truffet af en fysisk person
Hvis en afgørelse påvirker en registreret betydeligt, har han ret til at få afgørelsen truffet af en fysisk person, i stedet for en automatisk afgørelse af en computer. På det nuværende teknologiske niveau bruges rene automatiske afgørelser af stor betydning ikke i særligt stort omfang, men det vil formentlig få større udbredelse fremover.
Gratis kurser om persondataforordningen
Hos Leoni Advokater afholder vi gratis kurser i, hvordan man i praksis implementerer forordningen i en virksomhed. Kurserne er både rettet til ledelsen, der skal stå for implementeringen, og til de medarbejdere, der skal behandle personoplysninger. Korrekt implementering kræver, at hele virksomheden løfter i flok – både i toppen og i bunden.