Hvordan GDPR beskytter individer

Med den alarmerende stigning i brud på datasikkerheden tvinger EU databeskyttelsesforordningen (GDPR) organisationer til at genvurdere, hvor megen persondata de har brug for og i hvor lang tid de har brug for det.

Men det er ikke kun organisationer, som vil være nødt til at lægge mere mærke til måden, som persondata indhentes på. Individers nye og styrkede rettigheder med GDPR vil få dem til at tænke over, hvordan deres data samles og bruges, på en måde som de måske aldrig før har gjort.

Folk får flere oplysninger

Når GDPR træder i kraft den 25. maj 2018 kommer individer til at modtage hyppige, dybdegående og klart formulerede beskeder fra organisationer, som ønsker at indsamle deres data. Det er fordi forordningen styrker folks rettighed til at blive informeret og ændrer kravene til at få samtykke.

Som navnet antyder, kræver retten til at blive informeret af organisationer, at de fortæller individer, hvordan deres persondata bruges. Nogle organisationer har allerede implementeret denne forandring med hensyn til cookie politikker. De fleste hjemmesider har indbygget en en blød tilvalgs-samtykke, som giver brugere, som besøger en hjemmeside for første gang, med en besked, som informerer dem om organisationens cookie politik. Beskeden forbliver fremtrædende på siden, indtil brugeren accepterer den eller forlader hjemmesiden.

Sådanne beskeder bliver nok til almindelig praksis online, hvilket betyder at individer regelmæssigt vil blive mindet om, hvor meget organisationer er afhængige af deres data.

Det samme vil gælde for enhver praksis med indsamling af data, som er afhængig af samtykke. Alle samtykkeanmodninger skal være klart formulerede om folks muligheder for at give samtykke til forskellige slags bearbejdning, og hvilke organisationer og tredjeparter, der er afhængige af deres samtykke.

Samtykkeanmodninger skal også opfylde andre kriterier, men det er af afgørende betydning, at samtykke skal gives med en klar bekræftende handling.

Det er værd at lægge mærke til, at samtykke kun er en af seks retsgyldige grunde for at bearbejde data, og det er den, der er mindst at foretrække for organisationer. Derfor bør organisationer kun sætte deres lid til den, hvis ingen af de andre grunde kan anvendes.

Individer kan kommunikere med organisationer

GDPR gør det nemmere for individer at få deres data rettet, begrænset eller slettet. Den håndhæver det med disse fire rettigheder.

Den første er retten til indsigelse, hvor individer kan anfægte:

  • Bearbejdning baseret på legitime interesser eller udførelsen af en opgave i offentlighedens interesse eller gennem en offentlig myndighed. Hvis et individ anfægter det, så skal organisationen holde op med at forarbejde deres data, med mindre den kan fremvise tvingende legitime interesser for bearbejdningen, eller hvis bearbejdningen er for etableringen, udøvelsen eller forsvaret for retskrav.
  • Bearbejdning med henblik på direkte marketing. Hvis et individ anfægter de, skal organisationen øjeblikkeligt holde op med at bearbejde deres persondata.
  • Bearbejdning for videnskabelig eller historisk forskning og statistikker. Individer kan kun anfægte den form for bearbejdning, hvis de ar grunde “relaterende til hans eller hendes særlige situation”.

Den anden er retten til rettelse, som finder anvendelse, når den information, som en organisation har, er urigtig eller ufuldstændig. Individer har ret til at tage kontakt til organisationen og bede om, at denne information bliver aktualiseret.

Den tredje er retten til sletning (også kendt som retten til at blive glemt), hvor individer kan bede om, at en organisation sletter den data, den har om dem, hvis:

  • Det ikke længere er nødvendigt for det formål, til hvilket den oprindeligt blev indhentet til;
  • Der ikke længere er nogen overordnede legitim interesse for at fortsætte bearbejdninggen;
  • Persondata’en bliver forarbejdet på illegitim vis;
  • Persondata’en skal slettes for at efterkomme en juridisk pligt; eller
  • Persondata’en bliver bearbejdet for en informationssamfundstjeneste givet til et barn.

Hvis et individ har givet dets samtykke til bearbejdningen af deres data, har de ret til at trække den samtykke tilbage og derfor anmode om fjernelsen af enhver form for data, som var afhængig af det.

Den fjerde er retten til at begrænse bearbejdningen. Når bearbejdning er begrænset, kan organisationer beholde den data, men de kan ikke længere bearbejde den.

Individer kan udøve den ret, hvis de mener, at oplysningerne er urigtige, eller de gør indsigelse imod bearbejdningen på grundlag af legitim interesse eller udførelsen af en offentlig opgave. Under disse omstændigheder bør bearbejdning indstilles, indtil spørgsmålet er blevet afklaret.

Individer kan også udøve den ret, hvis bearbejdningen er illegitim, men de foretrækker begrænsning fremfor sletning, eller hvis organisationen ikke har den persondata mere, men de har behov for den data for at for etableringen, udøvelsen eller forsvaret for et retskrav.

Læs mere om GDPR

Hvis du vil vide mere om, hvordan berørte parters rettigheder forandrer sig med GDPR, bør du læse EU GDPR – en lomme guide. Skreven af IT Governances grundlægger og administrerende formand, Alan Calder, er denne guide den idelle kilde for enhver, der leder efter en grundbog om principperne for databeskyttelse og organisationers plingter med GDPR.

Find ud af mere om EU GDPR – en lomme guide >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.