Den nye persondataforordning medfører gode nyheder for privatpersoner – der vil nemlig komme flere og styrkede rettigheder. Dette er blandt andet retten til berigtigelse, sletning og blokering af dine personlige oplysninger samt en ret til dataportabilitet. Kort sagt betyder det samlet set, at du i højere grad kan bevare kontrollen over dine personlige oplysninger og i sidste ende være mere tryg ved afgivelse af dine personlige oplysninger til andre.
I dette indlæg vil jeg uddybe, hvad disse rettigheder indebærer for den enkelte, og under hvilke omstændigheder du som privatperson er berettiget til at udøve dem.
Retten til at få berigtiget dine personlige oplysninger medfører, at du kan få rettet i dine personlige oplysninger som eksempelvis en virksomhed har registreret om dig, hvis dine oplysninger er ukorrekte, eller hvis de er ufuldstændige.
Situationen kan for eksempel blive aktuel, hvis du hos Post Danmark står angivet med forkert adresse, eller hvis dit forsikringsselskab er kommet i besiddelse af urigtige oplysninger om dine helbredsforhold og derfor har forhøjet din forsikringspræmie.
Retten til sletning – populært kaldet retten til at blive glemt - medfører, at du kan kræve dine personlige oplysninger udleveret fra for eksempel den virksomhed, der behandler dem og samtidig kræve, at virksomheden sletter dine personlige oplysninger.
Endvidere er den virksomhed, som har offentliggjort dine personlige oplysninger (så-som på internettet) forpligtet til at informere andre, der behandler oplysningerne, om, at du har begæret oplysningerne slettet. Det betyder for eksempel, at hvis du har anmodet Google om at slette et gammelt klassebillede af dig, som dukker op, når du googler dit navn, skal Google både slette dette billede fra deres søgeresultater, og tage alle rimelige foranstaltninger for at sikre, at alle, der har haft adgang til billedet og som nu benytter det, bliver informeret om at du ønsker dette slettet.
Men ingen ret uden undtagelse: Retten kan begrænses, hvis blandt andet hensyn til yt-ringsfriheden taler imod udøvelse af retten. Altså hvis Google kan argumentere for, at de med basis i ytringsfriheden ikke bør slette dit gamle klassebillede, så vil de ikke være underlagt "retten til at blive glemt". Det vil være op til Google, eller andre virksomheder, at vurdere dette, men de vil blive idømt store bøder, såfremt det efterfølgende vurderes, at de har truffet en forkert beslutning.
Retten til blokering sætter dig i stand til at blokere en virksomheds videre behandling af dine personlige oplysninger. Det betyder, at dine personlige oplysninger bliver holdt som "gidsel", indtil du 1) samtykker til videre behandling, eller 2) behandlingen er nødvendig for gennemførsel af et retskrav for at beskytte en andens rettigheder eller af hensyn til vigtige offentlige interesser.
Herudover fungerer retten som et alternativ til retten til sletning – det vil sige, at du kan vælge at blokere virksomheden eller myndighedens muligheder for anvendelsen af dine personlige oplysninger i stedet for at kræve sletning.
Som led i princippet om at privatpersoner skal føle en større kontrol og sikkerhed ved at deres oplysninger behandles, er retten til dataportabilitet blevet introduceret. Efter den-ne rettighed har man som privatperson ret til at få udleveret og overført sine personop-lysninger fra én virksomhed til en anden. Man kunne for eksempel forestille sig en person som ønsker at benytte Dating.dk fremfor Match.com.
Denne person vil herefter kunne anmode Match.com om at overflytte alle de personlige oplysninger, de ligger inde med til Dating.dk. Match.com må ikke hindre eller besværliggøre videreførelsen af op-lysningerne til Dating.dk, på trods af at det er uattraktivt for dem at videreføre oplysningerne til en konkurrent.
Ønsker du at udøve en af dine ovenstående rettigheder, skal du blot tage kontakt til den virksomhed eller myndighed, som behandler dine personlige oplysninger. For eksempel kan man via Google hente en blanket, man skal udfylde og indsende, hvis man ønsker at benytte sig af sin "ret til at blive glemt". Alternativt vil nogle virksomheder i fremtiden også ligefrem have en Data Protection Officer, som tager sig af disse henvendelser.
Vær dog opmærksom på, at Persondataforordningen først træder i kraft i 2018.
(Tak til mine Bird & Bird kollegaer studentermedhjælper Mathias Bartholdy, advokat-fuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)
Du (og danske medier generelt) omtaler det som en forordning. Pressemeddelelsen omtaler det som et direktiv der skal optages i national lovgivning: http://www.europarl.europa.eu/news/da/news-room/20160407IPR21776/Data-pr...
Hvilken er det?
Det er en forordning. Se evt Dansk Erhvervs pressemeddelelse dd.: http://bit.ly/1MvMD6q
Du (og danske medier generelt) omtaler det som en forordning. Pressemeddelelsen omtaler det som et direktiv der skal optages i national lovgivning. Hvilken er det?
Begge dele - og det fremgår også (omend ikke særligt tydeligt) af den pressemeddelelse du linker til.
Der er tale om en forordning ("regulation") i forholdet til almindelige civile forhold: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=consil:ST_5419_2016_INIT
SAMT et direktiv ("directive") i forhold til retsforfølgelse og politiefterforskning: http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1460028379747&uri=CON...
Der er tale om en forordning ("regulation") i forholdet til almindelige civile forhold: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=consil:ST_5419_2016_INIT SAMT et direktiv ("directive") i forhold til retsforfølgelse og politiefterforskning: http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1460028379747&uri=CON...
Nu gælder det om at holde tungen lige i munden: Skal det forstås på den måde, at reglerne for datasikkerhed kommer til at gælde i Danmark, men at reglerne for retsforfølgelse og efterforskning (og vel dermed straffeforanstaltninger?) ved overtrædelser vil blive frivillige for Danmark at tilslutte sig pga. retsforbeholdet?
Hvis det er rigtigt forstået - så vil jeg se det, før jeg tror det mht. den hårde linie i sanktionerne for Danmarks vedkommende.
Nu gælder det om at holde tungen lige i munden: Skal det forstås på den måde, at reglerne for datasikkerhed kommer til at gælde i Danmark, men at reglerne for retsforfølgelse og efterforskning (og vel dermed straffeforanstaltninger?) ved overtrædelser vil blive frivillige for Danmark at tilslutte sig pga. retsforbeholdet?
Det var så ikke rigtigt forstået, ud fra Henrik Hansens kommentar her: https://www.version2.dk/artikel/eu-stemmer-nu-kommer-ny-persondataforord...
Det frivillige direktiv handler så, som jeg nu forstår det, om anvendelsen af persondata i efterforskning og retsforfølgelse, ikke om retsforfølgelse i forhold til overtrædelser af forordningen. Tak Henrik Hansen :-)
Som juridisk studentermedhjælper i Bird & Bird Advokatpartnerselskab skriver jeg på vegne af Martin von Haller Grønbæk.
Henrik Bierings kommentar er fuldstændig korrekt, da der nemlig både er en forordning og et direktiv på vej.
Blogindlægget burde af denne grund have henvist til både forordningen og direktivet, og det skal naturligvis beklages.
Begge dele - og det fremgår også (omend ikke særligt tydeligt) af den pressemeddelelse du linker til.
Der er to retsakter: en persondataforordning og et persondatadirektiv, som gælder for politiets behandling af personoplysninger. Danmark er ikke omfattet af direktivet pga retsforbeholdet.
Persondataforordningen er umiddelbart gældende i EU fra foråret 2018, men der er en lang række punkter, hvor medlemsstaterne kan vedtage andre regler eller afvige fra forordningens udgangspunkt. På den måde minder persondataforordningen næsten mere om et direktiv, selv om det er en forordning :)
Hvis jeg har retten til at blive glemt, så gælder det vel også overfor teleselskaberne og dermed også for deres eventuelle logning af min færden på nettet??
Hvis jeg har retten til at blive glemt, så gælder det vel også overfor teleselskaberne og dermed også for deres eventuelle logning af min færden på nettet??
Nej, for logning sker efter et lovkrav.
Faktisk gælder der endnu mere restriktive persondatabeskyttelse regler for teleselskabernes trafikdata end almindelige persondata. Udbudsbekendtgørelsen § 23, der stammer fra e-Privacy direktivet 2002/58, siger at trafikdata skal slettes umiddelbart efter at transmissionen er gennemført, medmindre 1) De skal bruges til fakturering 2) Der er et logningskrav i lovgivning (i praksis logningsbekendtgørelsen)
En vigtig detalje er at teleselskaberne pga. § 23 ikke må lave frivilling logning, altså gemme oplysninger om din teletrafik udover det som er lovkrav.
