• Forside
• Dokumentation
• GDPR for udviklere
• 13. Personrettigheder

13. Personrettigheder

Personer, hvis data I behandler, har rettigheder til deres data: ret til indsigt, berigtigelse, indsigelse, sletning, dataportabilitet og begrænsning af behandling. I skal give dem mulighed for effektivt at udøve deres rettigheder og implementere tekniske løsninger i jeres systemer, der sikrer, at disse rettigheder håndteres korrekt.

Hvis I på forhånd planlægger, hvordan brugerne kan kontakte jer, og hvordan I håndterer deres anmodninger, kan I administrere udøvelsen af disse rettigheder mere effektivt.

Minimumsforanstaltninger, der skal implementeres

• Alle organisationer, der behandler persondata, har pligt til at angive, hvor og hvordan individer kan udøve deres rettigheder i forhold til disse data. For eksempel kan I oplyse en e-mailadresse eller et webformular-link i jeres privatlivspolitik.

• For at lette udøvelsen af personers rettigheder kan disse også implementeres – helt eller delvist – direkte i den applikation eller software, I udvikler. Dette er ikke en lovpligtig foranstaltning, men det kan imødekomme brugernes forventninger og reducere tidsforbruget samt kompleksiteten ved behandling af sådanne anmodninger.

• Hvis en person får direkte adgang til at udøve sine rettigheder, skal I sørge for sikker autentificering. Generelt bør I også logge alle operationer, der påvirker persondata.

Eksempler på rettigheder og mulige implementeringer

• Ret til indsigt: Personer har ret til at få en kopi af alle oplysninger, I har om dem. Dette giver dem mulighed for at verificere, om deres data behandles, samt at modtage en letlæselig kopi i et forståeligt format.
  Mulig implementering: Tilbyd en funktion, der viser alle data relateret til en person. Hvis der er mange data, kan de opdeles i flere visninger. Ved meget store datamængder kan brugeren tilbydes at downloade et arkiv med sine data.

• Ret til sletning: Personer har ret til at anmode om, at alle deres data slettes.
  Mulige implementeringer:

  1. Tilbyd en funktion, der sletter alle data relateret til en person.
  2. Sørg for automatisk notifikation til databehandlere, så dataene slettes hos dem også.
  3. Sørg for, at data slettes fra backups, eller implementer en alternativ løsning, der forhindrer gendannelse af slettede data.

• Ret til indsigelse: Personer har i visse tilfælde ret til at modsætte sig, at deres data bruges til et specifikt formål.
  Mulig implementering: Tilbyd en funktion, hvor brugeren kan gøre indsigelse mod behandlingen. Hvis en person udøver denne ret, skal I slette allerede indsamlede data og ikke længere indsamle nye data om vedkommende.

• Ret til dataportabilitet: Personer har ret til at hente deres data i et maskinlæsbart format, enten til egen brug eller til overførsel til en anden organisation.
  Mulig implementering: Tilbyd en funktion, der gør det muligt at downloade personens data i et standardformat (CSV, XML, JSON osv.).

• Ret til berigtigelse: Personer har ret til at anmode om ændring af deres data, hvis de er forkerte, for at begrænse brugen eller spredningen af fejlagtige oplysninger.
  Mulig implementering: Giv brugere mulighed for at rette deres oplysninger direkte via deres konto.

• Ret til begrænsning af behandling: Personer kan anmode om, at behandlingen af deres data blokeres i en periode, f.eks. mens en tvist om brugen af deres data undersøges.
  Mulig implementering: Giv administratorer mulighed for at sætte en persons data i “karantæne”, så de hverken kan læses eller ændres.

Konklusion

• Websitet Data & Design udviklet af CNIL’s Digital Innovation Laboratory forklarer disse koncepter og indeholder eksempler på grænseflader til udøvelse af rettigheder.

• Vær kreative!