Databeskyttelsesforordningen giver registrerede nye rettigheder og stiller nye krav til din organisation. Få overblik over hvilke, og hvordan din organisation skal reagere.
Den 25. maj 2018 erstatter GDPR det nuværende databeskyttelsesdirektiv (95/46/EC), og nye rettigheder beskytter de registrerede. Det er blandt andet retten til at blive glemt og retten til dataportabilitet, som forpligter din organisation på nye måder.
Inden du begynder at behandle personoplysninger, er du med GDPR forpligtet til at informere de enkeltpersoner, hvis oplysninger du skal behandle. Og det bliver muligt for enkeltpersoner at tilgå deres personlige data efter anmodning, ligesom formålet med behandlingen af data, kategorier af personlig data, modtagere af data skal fremgå, og at en kopi af de indsamlede personoplysninger skal være tilgængelig.
Når persondata er ukorrekt eller mangelfuld, har enkeltpersoner ret til at anmode om at få dem ændret. Hvis den ukorrekte data sendes til tredjeparter, skal din organisation også informere dem om den ukorrekte data, med mindre det vil kræve en uforholdsmæssig stor indsats. Din organisation har pligt til at svare på alle forespørgsler inden for en måned, hvilket kan forlænges med yderligere to måneder, hvis forespørgslen er særligt kompleks. Registrerede har også ret til at gøre indsigelse mod databehandlingsaktiviteter. Hvis det sker, skal din organisation afslutte disse aktiviteter. Med mindre du kan bevise, at du har tunge, legitime grunde til at tilsidesætte den registreredes interesser og rettigheder.

Retten til at blive glemt
Der er blevet talt meget om retten til at bliver glemt, og der har været mange misforståelser om dens anvendelse. Den kræver, at din organisation sletter en persons personoplysninger inden for en måned, hvis:
• Personoplysningerne ikke længere er nødvendige for det oprindelige formål.
• Den registrerede trækker sit samtykke tilbage.
• Den registrerede gør indsigelse mod databehandlingen.
• Data behandles ulovligt.
Hvis en eller flere af disse grunde er gældende, skal du træffe rimelige foranstaltninger for at slette personoplysningerne. Dette inkluderer, at tredjeparter anmodes om at slette oplysningerne. Hvis din organisation har offentliggjort personoplysningerne, skal du også informere andre parter, som behandler personoplysningerne. Retten til at blive glemt er dog ikke absolut. En anmodning om sletning kan nægtes i tilfælde, hvor ytringsfriheden og informationsfriheden gælder, eller hvis databehandlingen er i offentlighedens interesse.

Retten til dataportabilitet
Retten til dataportabilitet er ny og giver de registrerede ret til at få fat i og genbruge deres personlige data på tværs af forskellige tjenester. Den registrerede har ret til at anmode om en kopi af deres data på en struktureret, almindeligt anvendt og i et maskinlæsbart format. Den registrerede kan derefter fremsende deres data til en dataansvarlig efter eget valg.
Implementeringen af dataportabilitet i din organisation kan opdeles i to faser. For det første skal du tilpasse dine systemer, således at det er muligt at behandle en anmodning om dataportabilitet. Systemet skal være i stand til at tilgå, slette, eller rette data mm.
For det andet skal du implementere en struktureret proces for at imødekomme anmodningen gnidningsfrit. For at kunne svare inden for en given tidsramme er det vigtigt, at kommunikationen mellem forskellige afdelinger så som juridisk-, it- og kommunikationsafdelingerne er på plads.
Dataportabilitet er ikke en absolut rettighed, og legitimitet af forespørgslen skal undersøges. Det skal for eksempel vejes op imod andres rettigheder. Databehandlingen skal bygge på brugerens samtykke eller en kontrakt. Hvis den ikke gør det, er retten til dataportabilitet ikke gældende, og din organisation er ikke forpligtiget til at udføre anmodningen.
Den nye ret til dataportabilitet pålægger din organisation ret indgribende forpligtigelser. Hvis du er i stand til at implementere retten til dataportabilitet, vil du generelt dække mange registreredes rettigheder. Det modsatte er også gældende: Hvis du allerede har processer på plads til at udføre anmodninger om at slette, tilgå og begrænse data, er du sikkert kun nogle få skridt fra fuld overholdelse af retten til dataportabilitet.