4. oktober 2023
Grundet GDPR har de registrerede (dem man behandler oplysninger om) forskellige rettigheder. Dette handler blandt andet om indsigt i sine oplysninger og sletning. To nye afgørelser fra Datatilsynet sætter fokus på, hvordan man som dataansvarlig skal håndtere dette.
OrderYOYOs håndtering af anmodning om indsigt og sletning
Som dataansvarlig skal man besvare anmodninger fra de registrerede uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen. I denne afgørelse havde OrderYOYO ikke – grundet en menneskelig fejl – besvaret en anmodning i tide. Dette medførte, at Datatilsynet udtalte kritik af OrderYOYO.
Man skal som dataansvarlig altså sikre sig, at man kan imødekomme anmodninger senest en måned efter, at man har modtaget dem. Det kan man gøre med forskellige tiltag, men som udgangspunkt skal man starte med at udarbejde en procedure, så man ved, hvordan man skal håndtere en anmodning. Derudover skal man sikre sig, at ens medarbejdere ved, hvad de skal gøre, hvis de modtager en anmodning.
Boligforening nægtede indsigt i oplysninger
En boligforening afslog at give en beboer indsigt i forskellige oplysninger om hende. Afslaget skyldtes, at boligforeningen kun vurderede beboerens anmodning efter offentligheds- og forvaltningslovens regler om aktindsigt. Dette måtte boligforeningen ikke, da den ligeledes skulle vurdere, om der skulle gives indsigt efter GDPR-reglerne.
Selve afgørelsen havde derudover en anden problemstilling. Boligforeningen afviste, efter Datatilsynet var gået ind i sagen, at give indsigt i alle oplysningerne. Da beboeren søgte indsigt i forskellige husordenssager, som vedrørte forskellige klager, vurderede boligforeningen, at det skulle gives i anonymiseret form. Klagerne havde en interesse i at holde deres identitet hemmelig, så chikane kunne undgås. Datatilsynet fandt ikke grundlag for at tilsidesætte klagernes interesser fremfor beboerens interesse.
Dette giver et godt indblik i, at de registreredes rettigheder ikke er ubetingede. Det nytter ikke noget, at man giver en person indsigt i personoplysninger, som medfører chikane eller lignende af andre personer. Som dataansvarlig skal man derfor vurdere, om der er grunde til ikke at imødekomme den registreredes rettigheder.
Hvad skal du gøre?
Det kan være svært at håndtere anmodninger fra de registrerede. Det sker ikke særlig tit for de fleste virksomheder, men sker det, så skal du sikre, at det bliver håndteret rigtigt. Dette kan du gøre gennem udarbejdede procedurer samt uddannelse af dine medarbejdere til håndtering af anmodninger. Har du spørgsmål til ovenstående eller brug for hjælp til håndtering af en anmodning, så tag endelig fat i os. Vi står klar til at hjælpe.
Skrevet af:
