Den registrerede

Den registrerede er den fysiske person, hvis persondata behandles af en organisation. GDPR giver den registrerede en række rettigheder, der sikrer kontrol over egne data, herunder ret til indsigt, sletning og dataportabilitet.

Tilbage til ordbog

Hvem er den registrerede?

Den registrerede er defineret i GDPR artikel 4, nr. 1. Det er enhver identificeret eller identificerbar fysisk person, hvis persondata behandles.

I praksis er den registrerede alle de mennesker, hvis data din organisation behandler:

Kunder og potentielle kunder
Medarbejdere og ansøgere
Leverandørers kontaktpersoner
Brugere af din hjemmeside eller app
Patienter, studerende, borgere (afhængigt af din sektor)

Kun fysiske personer er registrerede. Virksomheder og juridiske enheder er ikke omfattet. Men kontaktpersoner i en virksomhed er fysiske personer, og deres personlige oplysninger er beskyttet af GDPR.

Som dataansvarlig skal du respektere de registreredes rettigheder. Din oplysningspligt kræver, at du informerer dem om, hvordan du behandler deres data.

Den registreredes rettigheder

GDPR giver den registrerede en række rettigheder, der er beskrevet i kapitel III (artikel 12-22):

Ret til information: Du skal informere den registrerede om, hvilke data du behandler, hvorfor og på hvilket grundlag (oplysningspligt).
Indsigtsret (artikel 15): Retten til at se alle persondata, du behandler om dem.
Ret til berigtigelse (artikel 16): Retten til at få forkerte data rettet.
Ret til sletning (artikel 17): Retten til at få data slettet under visse betingelser.
Ret til begrænsning (artikel 18): Retten til at begrænse behandlingen midlertidigt.
Dataportabilitet (artikel 20): Retten til at modtage data i et maskinlæsbart format.
Indsigelsesret (artikel 21): Retten til at gøre indsigelse mod behandling baseret på legitim interesse eller profilering.
Ret vedrørende automatiske afgørelser (artikel 22): Retten til ikke at blive underlagt afgørelser, der udelukkende træffes automatisk.

Håndtering af anmodninger

Når en registreret udøver sine rettigheder, skal du have procedurer klar til at håndtere anmodningen:

Tidsfrist: Du skal besvare anmodninger inden en måned. I komplekse tilfælde kan fristen forlænges med to måneder, men du skal informere den registrerede inden for den første måned.
Identifikation: Du skal kunne verificere, at anmodningen faktisk kommer fra den registrerede. Du må ikke udlevere data til forkerte personer.
Gratis: Besvarelse er som udgangspunkt gratis. Ved åbenbart grundløse eller overdrevne anmodninger kan du opkræve et rimeligt gebyr eller afvise anmodningen.
Dokumentation: Registrér alle anmodninger og dine svar i din fortegnelse.

Din DPO bør involveres i procedurerne for håndtering af registreredes anmodninger. Manglende eller forsinket besvarelse kan føre til klager til Datatilsynet.

Den registrerede i praksis

For de fleste organisationer er de mest almindelige anmodninger indsigtsanmodninger og anmodninger om sletning. Forbered dig ved at:

Kortlægge, hvor persondata opbevares på tværs af systemer
Etablere klare procedurer for modtagelse og behandling af anmodninger
Uddanne medarbejdere, der kan modtage anmodninger (fx kundeservice)
Sikre, at dine databehandlere kan assistere med at levere data via databehandleraftalen

Husk, at den registreredes rettigheder ikke er absolutte. Der er undtagelser, fx når du har en retlig forpligtelse til at opbevare data (bogføringslovens 5-årige opbevaringskrav). Dokumentér altid begrundelsen, hvis du afviser en anmodning.

Ofte stillede spørgsmål om den registrerede

Hvem er den registrerede i GDPR?

Den registrerede er enhver identificeret eller identificerbar fysisk person, hvis persondata behandles. Det kan være en kunde, medarbejder, bruger, patient eller enhver anden person, hvis oplysninger en organisation opbevarer eller behandler.

Hvilke rettigheder har den registrerede under GDPR?

Den registrerede har ret til indsigt, berigtigelse, sletning, begrænsning af behandling, dataportabilitet, indsigelse mod behandling og ret til ikke at blive underlagt automatiske afgørelser. Desuden har den registrerede ret til information om, hvordan data behandles.

Er juridiske personer også registrerede?

Nej. GDPR beskytter kun fysiske personer (mennesker). Virksomheder, foreninger og andre juridiske personer er ikke registrerede i GDPR-forstand. Dog kan kontaktpersoner i virksomheder være registrerede, da deres personlige kontaktoplysninger er persondata.

Hvor hurtigt skal man besvare en anmodning fra den registrerede?

Du skal besvare anmodninger inden en måned. I komplekse tilfælde kan fristen forlænges med yderligere to måneder, men du skal informere den registrerede om forsinkelsen inden for den første måned.