Få styr på hvordan du håndterer persondataretlige anmodninger
Efter Databeskyttelsesforordningens ikrafttræden er der flere og flere kunder og ansatte, der er blevet bevidste om de rettigheder, som forordningen giver dem – herunder anmodningsadgangen. Det er dog ikke altid, at de dataansvarlige ved, hvad de skal stille op med disse anmodninger. Dette kan skyldes, at reglerne er komplicerede og mens svarfristerne er korte og generelt formulerede.
Databeskyttelsesforordningen giver de personer, hvis personoplysninger andre behandler, retten til indsigt, retten til berigtigelse, retten til sletning, retten til begrænsning samt retten til indsigelse mv.
Hvis man har styr på hvordan rettighederne håndteres, vil en afvist anmodning ikke give Datatilsynet anledning til at indlede en sag eller undersøgelse. Rettighedsbehandlingen er derfor på mange måder essentiel.
LOU Advokatfirma har fornemmet et behov for og ønske om oplæring af virksomheder i de registreredes rettigheder. LOU Advokatfirma inviterer derfor til kursus, som kan give det overblik, der skal til, for at man kan håndtere anmodninger korrekt. Kurset giver en større indsigt i, hvordan man undgår at handle i strid med loven – både når man imødekommer anmodninger, såvel som når man ikke imødekommer disse.
Du kan læse mere om kurset, og tilmelde dig til kurset her: KURSUS I DE REGISTREREDES RETTIGHEDER. Kurset giver en faglig viden om rettighederne, men vinkler denne, så den er praktisk anvendelig.
Retten til indsigt
Ser man på retten til indsigt, som er hjemlet i Databeskyttelsesforordningens artikel 15, skal de registrerede for det første gives adgang til personoplysninger. Adgang kan opnås på flere måder. Det kan eksempelvis være en login-funktion til et sikkert system, som en hjemmeside, der tillader den registrerede at se, hvilke personoplysninger der behandles. Adgang kan også opnås ved at printe en kopi af personoplysningerne eller gemme disse digitalt i et læsbart format, såsom en PDF-fil. Man skal dog altid tage højde for andres rettigheder og huske at anonymisere personoplysninger, når det er nødvendigt.
I de tilfælde hvor en dataansvarlig behandler mange personoplysninger, kan den dataansvarlige anmode den registrerede om at specificere hvilke personoplysninger, der ønskes indsigt i.
Såfremt der anmodes om mere end én kopi af personoplysningerne, kan den dataansvarlige kræve et rimeligt gebyr, som skal udmåles ud fra de administrative omkostninger, som den dataansvarlige har haft til kopieringen.
Den dataansvarlige, som modtager en anmodning om indsigt, skal angive en række informationer. For det første skal formålet med behandlingen altid oplyses, når en registreret anmoder om indsigt. Der er et krav om udtrykkelighed, for så vidt angår formålet med behandlingen. Formålet skal ikke være komplet udpenslet, men det må samtidig ikke være for generelt. Eksempelvis vil et formål som ”til brug for virksomhedens drift” ikke være tilstrækkeligt specificeret.
For det andet skal de kategorier af personoplysninger, der behandles, oplyses. Det vil sige, at den registrerede, der anmoder om indsigt, får adgang, som nævnt ovenfor, ved at få en kopi af dennes navn og adresse, men det skal ligeledes oplyses hvilke kategorier af personoplysninger, der behandles. Disse kategorier kan f.eks. specificeres til navn og adresse.
For det tredje skal modtagere angives. Hvis man har haft, eller har intentioner om at videreføre personoplysninger, skal identiteten på modtagerne eller kategorierne af modtagere oplyses. Modtagere kan bl.a. være andre selvstændigt dataansvarlige, databehandlere og repræsentanter.
I nogle tilfælde vil sådanne modtagere befinde sig i såkaldte tredjelande. Tredjelande er ethvert land, som ikke er omfattet af EU eller EØS. Andre modtagere kan være internationale organisationer. Såfremt der videreføres, eller det forventes, at der vil blive videreført personoplysninger til sådanne, skal dette oplyses sammen med oplysninger om, hvordan den dataansvarlige har sikret den registreredes rettigheder i forbindelse med videreførelsen.
For det fjerde skal personoplysningernes opbevaringsperiode oplyses. Hvis det ikke er muligt at fastsætte en præcis periode, kan kriterierne for udmålingen af denne oplyses i stedet. I nogle tilfælde hjemler loven en slettepligt efter en given periode eller en minimumsperiode for opbevaring. I disse tilfælde kan lovbestemmelserne følges eller anvendes som en vejledning. I andre tilfælde må man henholde sig til forældelsesfrister sammenholdt med bl.a. formålet med behandlingen.
For det femte skal den dataansvarlige iagttage sin oplysningspligt om den registreredes rettigheder. Rettighederne, der skal oplyses om, omfatter: Ret til sletning, ret til begrænsning, ret til indsigelse og ret til at klage.
For det sjette skal enhver tilgængelig oplysning, om hvorfra personoplysningerne stammer, oplyses, medmindre personoplysningerne er indsamlet hos den registrerede. Heri ligger en pligt til at skaffe de fornødne kontaktinformationer, der dog er betinget af, at disse oplysninger er tilgængelige.
Endeligt skal det oplyses, såfremt der afsiges automatiske afgørelser. Et eksempel på automatiske afgørelser kan være, når man ønsker at tegne forsikring eller optage et lån, og dette kan gøres uden menneskelig indblanding, ved at man giver en række oplysninger, og så vurderer et program, hvilken rente eller ydelse man skal betale. Der skal tillige oplyses om logikken bag anvendelsen af den automatiske afgørelse, samt hvilken betydning denne forventes at have, for den hvis personoplysninger behandles.
Der findes naturligvis undtagelser til retten til indsigt, ligesom der gør ved de øvrige. Man skal ikke efterkomme en anmodning, hvis indsigt ville krænke andres rettigheder og friheder eller i de tilfælde hvor private og offentlige interesser vejer tungere end den registreredes.
Vil du lære at håndtere retten til indsigt og de øvrige rettigheder i praksis, så læs mere om kurset i ”de registreredes rettigheder” via ovenstående link.
Har du spørgsmål i relation til persondataret er du velkommen til at kontakte LOU Advokater på telefon 70 300 500 eller personadata@lou.dk.
31. oktober 2018