Menu

De registreredes rettigheder

Din guide til GDPR’s registreredes rettigheder. styr processerne med praktiske tips og en skabelon.

righttobeinformed-cover

Introduktion

I GDPR bruges betegnelsen "registrerede" om de personer, hvis personoplysninger behandles. Det kan eksempelvis være kunder, borgere, besøgende på hjemmesiden eller andre personer, hvis data din virksomhed håndterer.

Det er et af de vigtigste områder i regelsættet, da det vedrører rettighederne til dem, som du behandler oplysninger omkring.  

Denne artikel indeholder en dybdegående gennemgang af disse rettigheder og forklarer, hvordan din virksomhed kan sikre, at de registreredes rettigheder bliver respekteret og overholdt.

Vi gennemgår hver enkelt rettighed og ser nærmere på, hvad de betyder for din virksomhed. Har du brug for en dybere forståelse, anbefales det, at du selv læser lovteksten grundigt.  

Den første halvdel af artiklen gennemgår rettighederne i detaljen, og den sidste halvdel indeholder praktiske tips til at håndtere de registreredes rettigheder i din organisation.

De registreredes rettigheder  

Vi vil først gennemgå de registreredes rettigheder, som de er fastlagt i GDPR, og samtidig forklare, hvordan din organisation kan håndtere dem i praksis. Det er dog vigtigt at være opmærksom på, at der findes visse begrænsninger for de registreredes rettigheder. Disse begrænsninger er beskrevet i databeskyttelseslovens §22 og kan være relevante afhængigt af den konkrete situation og formålet med behandlingen af personoplysninger.

Gennemsigtig oplysning (artikel 12)

Kommunikationskrav

Det første krav i artikel 12 handler om, hvordan du kommunikerer med de registrerede, hvis personoplysninger du behandler.

I GDPR står det klart, at al information, der gives til de registrerede i forbindelse med behandlingen af deres personoplysninger, jf. kravene i artikel 13-22 og 34, skal præsenteres "kortfattet, gennemsigtigt, letforståeligt og lettilgængeligt i et klart og enkelt sprog." Informationen skal tilpasses modtagerens forudsætninger for at forstå den. For eksempel skal information målrettet børn være formuleret klart, tydeligt og på en måde, der er tilpasset dem.

Som udgangspunkt skal informationen gives skriftligt, men den kan også gives mundtligt, hvis den registrerede ønsker det.

Artiklerne 13-22 og 34 specificerer de krav, en organisation skal opfylde i sin kommunikation med de registrerede. Artikel 12 fastlægger de generelle formkrav til denne kommunikation.

Identitet

Hvis du modtager en anmodning om de registreredes rettigheder, men ikke kan bekræfte identiteten på personen, har du ret til at anmode om yderligere oplysninger. Dette er afgørende for at undgå, at oplysninger videregives til en forkert modtager, hvilket ville udgøre et brud på persondatasikkerheden.

Tidsfrister

Når du modtager en anmodning fra en registreret i henhold til deres rettigheder i artikel 15-22, skal du behandle anmodningen inden for 1 måned. Hvis det ikke er muligt at efterleve anmodningen inden for denne tidsramme, kan fristen forlænges med op til 2 måneder.

Hvis du gør brug af forlængelsen, skal du informere den registrerede om dette så hurtigt som muligt og senest 1 måned efter, at anmodningen er modtaget. Samtidig skal du give en begrundelse for, hvorfor anmodningen ikke kan behandles inden for den oprindelige tidsfrist.

Afvisning

Hvis du vælger ikke at imødekomme en registrerets anmodning, skal du informere den registrerede om dette senest inden for 1 måned efter modtagelsen af anmodningen, og med en begrundelse herfor. Desuden skal denne afvisning indeholde information omkring den registreredes klagemulighed.

Gratis

Det skal være gratis for den registrerede at udøve sine rettigheder.

Kun i tilfælde, hvor den registrerede vurderes at misbruge sin ret, kan det overvejes at opkræve et gebyr for at behandle anmodningen eller alternativt afvise den. I sådanne situationer er det din organisations ansvar at kunne dokumentere, at der er tale om misbrug.

Oplysningspligt (artikel 13 og 14 )

Inden du påbegynder behandling af personoplysninger om en registreret, har du pligt til at informere den registrerede om denne behandling. Artikel 13 og 14 præciserer, hvordan du skal foretage denne oplysning, og denne oplysningspligt er allerede beskrevet grundigt i denne artikel.

Indsigtsret (artikel 15)

Den registrerede har ret til at anmode om indsigt i behandlingen af deres personoplysninger, som din organisation foretager. Hvis en sådan anmodning modtages, skal din organisation udlevere en kopi af de oplysninger, der behandles om den registrerede.  

Sammen med denne kopi skal den registrerede oplyses om følgende:

  • Formålene med behandlingen: Forklar, hvorfor personoplysningerne behandles.

  • Kategorier af personoplysninger: Specificer, hvilke typer data der behandles.

  • Videregivelse til tredjeparter: Informer om eventuelle modtagere af personoplysningerne eller kategorier af modtagere, især hvis de befinder sig i tredjelande eller videregives til internationale organisationer.

  • Behandlingens tidsramme: Angiv, hvor længe personoplysningerne forventes at blive behandlet, eller de kriterier, der bestemmer, hvornår behandlingen ophører og data slettes.

  • Øvrige rettigheder: Oplys om den registreredes rettigheder, herunder retten til berigtigelse, sletning, begrænsning og indsigelse mod behandlingen.

  • Klageadgang: Gør opmærksom på retten til at klage til en tilsynsmyndighed.

  • Kilden: Hvis dataene ikke er indsamlet direkte fra den registrerede, skal du oplyse, hvorfra de stammer.

  • Automatiske afgørelser: Hvis behandlingen involverer automatiske afgørelser, som kan have betydelige konsekvenser for den registrerede, skal du forklare logikken bag beslutningerne samt deres betydning og forventede konsekvenser.

  • Overførsler til tredjelande eller internationale organisationer: Hvis personoplysningerne overføres uden for EU, skal du informere om de fornødne garantier, der beskytter data i forbindelse med overførslen, som fastlagt i GDPR artikel 46.

Når du sender information til den registrerede, skal det være klart og letforståeligt, så du også efterlever reglerne i artikel 12, som nævnt tidligere..

Ret til berigtigelse (artikel 16)

Hvis oplysninger om den registrerede viser sig at være forkerte, har den registrerede ret til at få dem rettet hurtigst muligt.

Det er samtidig et af de 7 databeskyttelsesprincipper, at din organisation skal sikre, at personoplysninger er korrekte og ajourførte, som fastsat i artikel 5, stk. 1, litra d.

Retten til at blive glemt (artikel 17)

Den registrerede har i nogle tilfælde ret til at få slettet sine personoplysninger, hvilket betyder, at din organisation ikke længere må behandle den registreredes personoplysninger.  

Retten til sletning gør sig gældende i følgende i situationer:

  • Formålet er ikke længere relevant: Hvis formålet med behandlingen er udtømt, f.eks. når en jobansøgers CV ikke længere er nødvendigt efter ansættelsen er afsluttet.

  • Tilbagetrækning af samtykke: Hvis behandlingen sker på baggrund af samtykke, og den registrerede tilbagetrækker dette.

  • Indsigelse: Hvis den registrerede gør indsigelse mod behandlingen af deres personoplysninger, som din organisation foretager med hjemmel i sin legitime interesse eller i samfundets interesse, skal din organisation stoppe behandlingen, medmindre du kan dokumentere tungtvejende, legitime grunde, der vægter højere end den registreredes interesser, rettigheder og friheder. Ved direkte markedsføring er indsigelsen absolut, hvilket betyder, at behandlingen skal ophøre uden yderligere vurdering.

  • Ulovlig behandling: Hvis behandlingen er foretaget uden lovligt grundlag.

  • Lovpligtig sletning: Hvis loven kræver, at oplysningerne slettes.

  • Oplysninger om mindreårige: Hvis personoplysninger om et barn er blevet indsamlet, f.eks. via en streamingtjeneste eller en læringsplatform, kan der anmodes om sletning af oplysningerne. Dette gælder, hvis oplysningerne ikke længere er nødvendige for det oprindelige formål, eller hvis samtykket, der lå til grund for behandlingen, bliver trukket tilbage.

Hvis din organisation har offentliggjort en registrerets personoplysninger og efterfølgende bliver forpligtet til at slette dem, skal du tage rimelige skridt for at informere andre organisationer, der også behandler disse oplysninger, om, at de skal slette dem.

Dog kan din organisation fortsætte behandlingen af personoplysningerne, hvis det er nødvendigt for at:  sikre ytrings- og informationsfrihed, opfylde en retlig forpligtelse, beskytte samfundsinteresser som folkesundhed, understøtte arkiv- eller forskningsformål eller for at behandle retskrav.

Ret til begrænsning af behandling (artikel 18)

Den registrerede har i visse tilfælde ret til at få begrænset behandlingen af sine personoplysninger. Dette kan være relevant i situationer, hvor en anmodning er under behandling eller skal afklares.

Begrænsning af behandling kan kræves i følgende tilfælde:

  • Ukorrekte oplysninger: Hvis rigtigheden af personoplysningerne bestrides, og det skal afklares, om de er korrekte.

  • Ulovlig behandling: Hvis behandlingen er ulovlig, men den registrerede foretrækker, at oplysningerne begrænses i stedet for slettes.

  • Ikke længere nødvendige for organisationen: Hvis oplysningerne ikke længere er nødvendige for organisationens formål, men stadig er nødvendige for, at den registrerede kan fastlægge, gøre gældende eller forsvare et retskrav.

  • Indsigelse mod behandling: Hvis den registrerede har gjort indsigelse mod behandling baseret på organisationens legitime eller samfundsmæssige interesser og afventer en afgørelse om, hvorvidt disse interesser vejer tungere.

Når behandlingen er begrænset, må oplysninger som udgangspunkt kun opbevares. Behandling kan dog finde sted, hvis der er samtykke, det er nødvendigt for retskrav, for at beskytte andre, eller for vigtige samfundsinteresser. Den registrerede skal informeres, inden begrænsningen ophæves.

Underretningspligt (artikel 19)

Hvis din organisation har videregivet en registrerets personoplysninger til en tredjepart og derefter modtager en anmodning fra den registrerede om berigtigelse, sletning eller begrænsning af behandlingen, så skal disse tredjeparter informeres herom.  

Din organisation skal foretage denne underretning medmindre at det viser sig at være umuligt eller uforholdsmæssigt vanskeligt.

Hvis den registrerede anmoder om det, så skal din organisation også oplyse, hvilke organisationer der har modtaget dennes personoplysninger.

Ret til dataportabilitet (artikel 20)

Den registrerede har ret til at få sine personoplysninger udleveret i et almindeligt anvendt format, f.eks. en CSV-fil, og til at få oplysningerne overført direkte til en anden organisation, hvis:

  • Behandlingen er baseret på samtykke eller en kontrakt.

  • Behandlingen udføres automatisk, altså ved hjælp af software.

Retten til dataportabilitet gælder ikke, hvis behandlingen er nødvendig for at udføre offentlig myndighedsopgaver eller varetage samfundsinteresser, eller hvis det vil krænke andres rettigheder eller friheder.

Ret til indsigelse (artikel 21)

Den registrerede har ret til at gøre indsigelse mod behandling af sine personoplysninger, hvis:

  • Behandlingen er baseret på organisationens legitime interesser eller en opgave i samfundets interesse. Dette gælder dog ikke, hvis din organisation kan påvise at have særligt vigtige grunde til at foretage behandlingen, som vurderes til at være vigtigere end den registreredes rettigheder - og alternativt, hvis behandlingen er nødvendig for at behandle et retskrav.

  • Oplysningerne bruges til direkte markedsføring. I dette tilfælde, så skal behandlingen altid stoppe øjeblikkeligt.

Indsigelsesretten gælder også, når personoplysninger bruges til forskning eller statistiske formål, medmindre behandlingen er nødvendig for at varetage samfundets interesser.

Automatiske individuelle afgørelser, herunder profilering (artikel 22)

Den registrerede har ret til ikke at blive underlagt afgørelser, der udelukkende er baseret på automatisk behandling, hvis afgørelsen har juridiske konsekvenser eller på anden måde væsentligt påvirker personen.

Denne ret gælder dog ikke, hvis den automatiske afgørelse:

  • Er nødvendig for at opfylde en kontrakt.

  • Har hjemmel i lovgivning, som også stiller krav om passende foranstaltninger til at beskytte den registrerede.

  • Er baseret på den registreredes udtrykkelige samtykke.

Selv i disse tilfælde skal det være muligt at få menneskelig indgriben, og den registrerede skal kunne udtrykke sine synspunkter og bestride afgørelsen. Automatiske afgørelser må desuden ikke baseres på følsomme personoplysninger uden ekstra beskyttelsesforanstaltninger.

Håndtering af anmodninger (Data Subject Access Request)

I praksis kan det være vanskeligt at adskille de forskellige rettigheder fra hinanden. Hvis man eksempelvis modtager en anmodning om indsigt i sine data, så er der formentlig ikke langt til at vedkommende beder om fx at få sine data slettet, berigtiget, eller andet. De relevante medarbejdere i organisationen bør derfor trænes i at identificere disse beskeder fra fx kunder.

Når din organisation modtager en anmodning om indsigtsret, er det afgørende at følge en struktureret og praktisk tilgang. Det sikrer, at anmodningen behandles i overensstemmelse med GDPR.

Identifikation af anmodninger

Anmodninger kan komme i mange former – skriftligt, mundtligt eller digitalt, fx via e-mail eller sociale medier. De behøver ikke eksplicit nævne "GDPR" eller "indsigtsretten". Hvis anmodningen handler om adgang til personoplysninger, skal den behandles som en anmodning efter indsigtsretten.

Sørg for at oprette et system til at logge alle anmodninger, herunder dato for modtagelse, detaljer om anmodningen og navnet på den medarbejder, der håndterer sagen, for at sikre sporbarhed og overblik.

Bekræft identiteten

Før du behandler en anmodning, skal du sikre, at du har verificeret vedkommendes identitet. Hvis der er den mindste tvivl, kan du bede om yderligere dokumentation, fx en kopi af ID.

Afklaring og afgrænsning af anmodningen

Hvis anmodningen er uklar eller virker overdreven, kan du kontakte den registrerede for at præcisere, hvilke data eller behandlingsaktiviteter de ønsker indsigt i.  

Mens du venter på svar fra den registrerede, kan tidsfristen sættes i bero. Sørg for at informere tydeligt om dette.

Fremfindelse af persondata

Brug dine interne systemer til at lokalisere relevante data. Data kan fx findes i kundedatabaser, HR-systemer, e-mails eller lignende.

Sørg for, at de oplysninger, du finder, kun vedrører den registrerede. Hvis data om tredjepart er inkluderet i data, så skal disse anonymiseres eller fjernes, medmindre det er nødvendigt at udlevere dem.

Vurdering af undtagelser og begrænsninger

Ifølge GDPR og nationale love kan dele af en anmodning i visse tilfælde afvises. Dette kan fx ske, hvis udlevering af data krænker en anden persons rettigheder, eller hvis der er juridiske begrænsninger.

Ved afvisning skal du forklare årsagen klart og informere den registrerede om deres mulighed for at klage. Du har bevisbyrden for, at en eventuel afvisning er begrundet.

Overlevering af data

Du skal levere den registreredes data i et letforståeligt format, fx PDF, CSV eller lignende. Strukturer oplysningerne, så de er nemme at forstå for den registrerede. Hvis anmodningen er indgivet elektronisk, bør svaret også leveres elektronisk, medmindre den registrerede foretrækker andet. Brug en sikker metode for at forhindre uautoriseret adgang til data.

Overhold tidsfristen

Anmodningen skal behandles inden for én måned fra modtagelse.Hvis anmodningen er kompleks, kan du forlænge behandlingsfristen med op til to måneder. Du skal dog informere den registrerede om dette inden for den oprindelige frist på én måned.

Dokumentér processen

Notér hele processen for håndtering af anmodningen, fra modtagelse til udlevering af data. Dokumentér fx, hvilke data der blev udleveret, hvornår, og hvordan det blev gjort. Denne dokumentation kan være nødvendig i forbindelse med klager eller tilsyn fra Datatilsynet.

Skabelon

Det danske Datatilsyn har lavet en indsigtsret skabelon, som du kan bruge til at imødekomme indsigtsanmodninger.  

Denne skabelon efterlever naturligvis formkravene, så hvis du tager denne korrekt i anvendelse, så har du et redskab til at imødekomme indsigtsanmodninger.  

Da skabelonen findes i et word-dokument, så er det nemt at tilpasse skabelonen dine specifikke behov, hvilket vi anbefaler, så du har et færdigt dokument klar til at tage i brug i din organisation..

En arbejdsdag med de registreredes rettigheder

Alle der behandler personoplysninger i din organisation bør have kendskab til de registreredes rettigheder. Dette gælder særligt medarbejdere, som er i dialog med kunder, borgere og andre interessenter. De er nemlig i frontlinjen til, at disse registrerede vil gøre brug af deres rettigheder, og her skal det sikres, at disse medarbejdere fanger dette, så de næste skridt kan tages for at imødekomme deres anmodning.

I organisationer med en databeskyttelsesrådgiver, så vil denne have en opgave med at sikre, at disse rettigheder efterleves i organisationen, og de vil have til ansvar at uddanne de relevante medarbejdere herom.  

Derudover vil databeskyttelsesrådgiveren være kontaktperson for henvendelser omkring den registreredes rettigheder fx indsigtsanmodninger.  

I mindre organisationer, som ikke har en databeskyttelsesrådgiver, så kan den GDPR ansvarlige medarbejder varetage denne opgave.  

Det vil være i alles interesse, at medarbejderne uddannes i hvad den registreredes rettigheder er. Derfor giver det mening at lave uddannelsesmateriale herom eller alternativt benytte sig af GDPR awareness training. 

Konklusion

De registreredes rettigheder giver enkeltpersoner kontrol over deres egne data og stiller klare krav til organisationers behandling heraf.  

I denne artikel har vi gennemgået disse rettigheder og givet praktiske råd til, hvordan de kan håndteres korrekt, så din organisation kan sikre compliance og tillid. 

Helper swirl top

GDPR Compliance Software

Leder du efter GDPR-compliance software? Eller er du nysgerrig efter at lære mere om compliance-løsninger? Udforsk vores artikelserie, hvor vi går i dybden med emnet.
Left blob
Right blob
Helper swirl bottom
Processing activities

.legal compliance platform Start din compliance rejse i dag

Er du nysgerrig på at prøve platformen selv? Oplev vores gratis compliance platform og start din compliance rejse i dag.
  • Kreditkort ikke nødvendigt
  • Ubegrænset tid på gratis plan
  • Ingen binding
Start nu
Book demo
+295 store og små virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
aj_vaccines_logo
Realdania
Right People
IO Gates
PLO
Finans Danmark
geia-food
Vestforbrænding
arp-hansen-hotel-group-logo-1
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Energi Viborg
Ingvard Christensen
Lægeforeningen
InMobile
Zwipe
AK Nygart
DEIF
DMJX
KAUFMANN (1)
qUINT Logo
Axel logo
SMILfonden-logo
Footer topswirl

Info

.legal A/S

hello@dotlegal.com
+45 7027 0127

CVR: 40888888

Support

support@dotlegal.com
+45 7027 0127
Brug for hjælp?

status page badge

Platform status

Kontorer

Aarhus

Store Torv 14, 2. sal
8000 Aarhus C

København

Vesterbrogade 26
1620 København V

Produkter

Lad mig hjælpe jer i gang

mads-i-blob
Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
arrow-right-white Få en demo

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

Footer bottomswirl