Hvilke rettigheter har enkeltpersoner i henhold til GDPR?
Enhver som får sine personopplysninger behandlet («den registrerte») har følgende rettigheter etter GDPR:
- Rett til informasjon
- Rett til innsyn
- Rett til retting
- Rett til sletting («retten til å bli glemt»)
- Rett til begrensning av behandling
- Rett til dataportabilitet
- Rett til å protestere
- Rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling
Vær oppmerksom på at noen av disse rettighetene ikke gjelder i alle situasjoner. For mer informasjon kan du se tabellen over den registrertes rettigheter avhengig av behandlingsgrunnlag.
Den behandlingsansvarlige er forpliktet til å besvare forespørsler fra registrerte som utøver sine rettigheter og må legge til rette for utøvelsen av disse rettighetene. Databehandleren skal bistå den behandlingsansvarlige i denne oppgaven.
Sjekkliste over hva du skal gjøre med den registrertes rettigheter:
- Vær forberedt: Ha utviklede systemer og prosedyrer for å besvare forespørsler fra registrerte om deres rettigheter, og gi opplæring til dine ansatte for å integrere behandlingen av slike forespørsler i den interne arbeidsflyten.
- Forenkle utøvelsen av rettigheter: Gjør det enkelt for de registrerte å vite hva deres rettigheter er og hvordan de kan kontakte deg for utøve disse.
- Vær kjent med egen dataflyt: Hold registeret ditt oppdatert for raskt å identifisere opplysningene du behandler, og for å finne og hente informasjon på en effektiv måte.
- Vær åpen: Gi informasjon til den registrerte på en klar og forståelig måte om hvordan du behandler personopplysninger, både før behandlingen (for eksempel i en personvernerklæring) og underveis i behandlingen (for eksempel når du behandler en anmodning om innsyn).
- Svar innen 1 måned: Besvar alltid en forespørsel fra den registrerte innen en måned. Hvis du behøver ekstra tid til å svare, eller hvis du ikke kan etterkomme forespørselen må du informere den registrerte om dette innen en måned.
- Gi beskjed videre: Når du mottar en forespørsel knyttet til personopplysninger som du har overført til andre mottakere, må du vurdere om det er nødvendig å informere mottakerne om utfallet av forespørselen.
- Dokumentasjon: Hold oversikt over forespørsler fra registrerte, og registrer svarene dine. Hold også oversikt over resonemmentet ditt når du ikke besvarer en forespørsel.
Hvordan håndtere en forespørsel om den registrertes rettigheter
Åpenhet er nøkkelen i personvern generelt og særlig i sammenheng med den registrertes rettigheter.
Den behandlingsansvarlige skal:
- kommunisere med registrerte med et klart og forståelig språk (dette er særlig viktig i tilfeller der en virksomhet adresserer et barn); og
- forenkle utøvelsen av disse rettighetene, særlig gjennom elektroniske midler. Du kan for eksempel oppgi et elektronisk skjema på nettstedet ditt som registrerte kan bruke til å utøve sine personvernrettigheter.
Svar skriftlig
Utgangspunktet er at en virksomhet skal svare på en forespørsel fra den registrerte på samme måten som forespørselen ble gjort, eller på den måten den registrerte spesifikt ber om. Fortrinnsvis bør du svare skriftlig og der det er hensiktsmessig med elektroniske midler. Svar kan også gis muntlig, men det anbefales ikke ettersom du må kunne dokumentere at du har besvart forespørselen.
Svar innen én måned
GDPR spesifiserer hvor lang tid den behandlingsansvarlige har på å besvare en forespørsel, og i hvilke tilfeller den kan kreve gebyr.
Når den registrerte utøver sine rettigheter må den behandlingsansvarlige besvare forespørselen innen én måned. Hvis forespørselen er for komplisert og det er behov for lenger behandlingstid, kan virksomheten forlenge fristen med ytterligere to måneder, forutsatt at den registrerte informeres om forlengelsen innen én måned etter mottatt forespørsel. Hvis virksomheten din kan bevise at forespørselen er åpenbart grunnløs eller overdreven, særlig dersom de gjentas, kan du enten kreve et rimelig gebyr eller nekte å etterkomme anmodningen.
Hvis det hersker rimelig tvil om identiteten til den registrerte (for eksempel dersom forespørselen er gjort med en annen e-postadresse enn den som vanligvis brukes av vedkommende, eller den er gjort utenfor en autentisert kundekonto), kan du be om ytterligere opplysninger som er nødvendige for å bekrefte den registrertes identitet før du besvarer forespørselen.
Hvis du ikke har til hensikt å etterkomme den registrertes forespørsel, må du informere den registrerte om årsakene til dette (for eksempel om hvorfor du ikke sletter de aktuelle opplysningene) innen én måned etter mottak av forespørselen. I tillegg må du informere de registrerte om muligheten til å sende en klage til sin nasjonale tilsynsmyndighet og søke rettslige tiltak.
Ikke krev gebyr
Virksomheten din kan ikke kreve betaling fra den registrerte som utøver sine rettigheter. Du kan imidlertid kreve et rimelig gebyr dersom den registrertes forespørsel er åpenbart grunnløs eller overdreven, særlig dersom den gjentas. Beregningen av gebyret må ta hensyn til administrasjonskostnadene for virksomheten knyttet til å svare på forespørselen. Som forklart overfor, er det også mulig å nekte å etterkomme en forespørsel som er åpenbart grunnløs eller overdreven. I en slik situasjon må du kunne demonstrere at dette er tilfellet.
I praksis
- En registrert sender inn innsynsforespørsler annenhver måned hos snekkeren som har laget et spisebord på bestilling. Ved første forespørsel, besvarer snekkeren forespørselen fullt ut. Ettersom snekkeren ikke behandler personopplysninger som en del av sin hovedvirksomhet, og det ikke er levert mer enn én tjeneste til den registrerte, er det lite sannsynlig at det har skjedd endringer i datasettet om den registrerte. Den registrerte har avklart at den nye forespørselen gjelder de samme opplysningene som den siste forespørselen. Følgelig kan denne anmodningen anses som overdreven på grunn av gjentagelsene.
- Hvis snekkeren bestemmer seg for å utlevere personopplysningene til den registrerte mot et gebyr, er det tilrådelig å informere den registrerte på forhånd slik at de får sjansen til å trekke tilbake forespørselen for å unngå å bli belastet. Alternativt kan snekkeren informere den registrerte om årsakene til at snekkeren ikke vil svare på forespørselen, samt om muligheten til å sende inn en klage til sitt tilsynsmyndighet og søke rettslige tiltak.
Rett til informasjon
Retten til informasjon gjør det mulig for folk å forstå hva som skal gjøres med dataene sine, og de kan dermed ta informerte beslutninger og ha mer kontroll over sine egne personopplysninger.
Siden virksomheten din er behandlingsansvarlig har du en plikt til å informere de registrerte.
Hvilken informasjon?
Hvilken informasjon du skal gi avhenger av om du har samlet inn personopplysningene direkte fra den registrerte (direkte innsamling, jf. GDPR art. 13) eller om du har innhentet dem fra en annen kilde (indirekte innsamling, jf. art. 14). Følgende tabeller gir en oversikt over hvilken informasjon du må gi til den registrerte:
I tillegg stiller GDPR krav om at virksomheten din gir følgende informasjon for å sikre en rettferdig og åpen behandling:
Virksomheten din må gi informasjonen i denne andre tabellen dersom personopplysningene skal behandles for et nytt forenlig formål som avviker fra det opprinnelige formålet. Denne informasjonen må gis til den registrerte før videre behandling finner sted. I slike tilfeller må du også gi den registrerte en begrunnelse for hvordan de nye formålene er forenlige med de tidligere formålene.
Når skal informasjonen gis?
Hvis virksomheten din samler inn personopplysningene direkte fra den registrerte, må dere gi den nødvendige informasjonen på tidspunktet for innsamlingen.
Ved indirekte innsamling av personopplysninger må virksomheten din gi informasjonen senest én måned etter at personopplysningene først ble innhentet. Denne maksimale perioden på én måned er redusert:
- hvis personopplysningene brukes til å kommunisere med den registrerte. I så fall må du informere den registrerte senest på tidspunktet for den første kommunikasjonen til den registrerte;
- hvis personopplysningene overføres til en annen mottaker, må virksomheten informere de registrerte om dette senest når personopplysningene overføres.
Den maksimale perioden på én måned kan ikke forlenges under noen omstendigheter.
I tilfelle eventuelle senere endringer i behandlingen (f.eks. nye mottakere, forenlige formål, overføring utenfor EØS, osv.), må virksomheten din informere den registrerte før endringen trer i kraft, og du bør gjøre det i god tid. Jo mer vesentlig endringen er, desto tidligere bør virksomheten din informere den registrerte, slik at sistnevnte har rimelig tid til å vurdere virkningen av endringen og dermed ha mulighet til å utøve sine rettigheter.
Når er virksomheten din ikke forpliktet til å gi informasjon?
Virksomheten din er ikke pålagt å informere den registrerte hvis denne personen allerede har mottatt den nødvendige informasjonen.
Ved indirekte innsamling av personopplysninger gjelder ytterligere unntak. I dette tilfellet er det ikke nødvendig å gi opplysninger hvis:
- det viser seg å være umulig eller vil kreve uforholdsmessig innsats å gi slik informasjon. Terskelen for dette unntaket er imidlertid satt svært høyt, hvilket innebærer at den behandlingsansvarlige kun kan påberope seg dette unntaket i særlige tilfeller;
- innhenting eller utlevering av data er uttrykkelig angitt i lov;
- personopplysningene må holdes konfidensielle på grunnlag av rettslig pålagt taushetsplikt.
I praksis
- I enkelte EU- og EØS-land kan den nasjonale lovgivningen pålegge skattemyndighetene å be om visse opplysninger om ansatte fra arbeidsgiverne. Skattemyndighetene trenger i slike saker ikke å informere den ansatte. Imidlertid har arbeidsgiveren en opplysningsplikt som går ut på å informere arbeidstakeren om at skattemyndighetene er en av mottakerne av personopplysningene.
Hvordan skal informasjonen gis til den registrerte?
En god måte å gi informasjon på er å jobbe med informasjonslag. Slik kan du unngå at en overdreven mengde informasjon blir gitt på en gang, noe som kan være skadelig for åpenhetsprinsippet samt «drukne» den registrerte med informasjon. Bruken av en slik lagdelt tilnærming med ulike kategorier er i tråd med kravene om kortfattethet og om å gi all nødvendig informasjon. Ikke bare forenkler dette oppgavene til den behandlingsansvarlige, men det blir også mulig for den registrerte å kunne forstå informasjonen raskt og effektivt. Slik kan fremstillingen av informasjonen foregå:
- Første lag: Grunnleggende informasjon
- HVA? Virksomheten gir et sammendrag av den grunnleggende informasjonen som den registrerte trenger for å vurdere virkningen og omfanget av behandlingen (dvs. identiteten til den behandlingsansvarlige, formålene med behandlingen, kategorier av mottakere, datakilder, den registrertes rettigheter,...).
- HVORDAN? Dette kan for eksempel gjøres i et tabellformat på et synlig sted med tittelen «Grunnleggende informasjon om ditt personvern» eller ved bruk av popup-vinduer som gir forklaringer når personopplysninger blir innsamlet. Hvis behandlingen er basert på samtykke bør slik informasjon gis samme sted som den registrerte avgir sitt samtykke (nær «samtykke»-knappen).
- HVA? Virksomheten gir et sammendrag av den grunnleggende informasjonen som den registrerte trenger for å vurdere virkningen og omfanget av behandlingen (dvs. identiteten til den behandlingsansvarlige, formålene med behandlingen, kategorier av mottakere, datakilder, den registrertes rettigheter,...).
- Andre lag: Ytterligere og mer detaljert informasjon
- HVA? Denne delen fremstiller på en forståelig og omfattende måte den gjenværende informasjonen som organisasjonen er pålagt å gi i henhold til GDPR artikkel 13 og 14.
- HVORDAN? Ytterligere informasjon kan gis på flere måter, for eksempel ved hjelp av hyperkoblinger som inngår i den grunnleggende informasjonen (første lag), eller ved å laste ned et dokument. Framleggingen av disse tilleggsopplysningene bør være preget av kortfattethet på den ene siden, men også fullstendighet og nøyaktighet på den annen side. Informasjonen skal være strukturert på en slik måte at den er lettleselig. Du må ikke glemme å tilpasse informasjonen til målgruppen (for eksempel: hvis tjenesten din retter seg mot barn må du skrive informasjonen på en måte som de kan forstå).
- HVA? Denne delen fremstiller på en forståelig og omfattende måte den gjenværende informasjonen som organisasjonen er pålagt å gi i henhold til GDPR artikkel 13 og 14.
Rett til innsyn
Ved å utøve sin rett til innsyn, kan registrerte vurdere lovligheten av hver enkelt behandlingsaktivitet som angår dem.
Når de utøver sin rett til innsyn, bør de registrerte få en bekreftelse fra den behandlingsansvarlige med informasjon om deres personopplysninger blir behandlet eller ikke. Hvis dette er tilfelle, har de registrerte rett til innsyn i sine personopplysninger og følgende informasjon:
- formålet med behandlingen;
- hvilke kategorier av personopplysninger som er berørt,
- mottakere (eller kategorier av mottakere) av personopplysningene;
- oppbevaringsperioden for personopplysningene, eller kriteriene som brukes til å bestemme denne perioden;
- eksistensen av retten til å be den behandlingsansvarlige om å korrigere eller slette personopplysninger, begrense behandlingen av personopplysningene, eller til å protestere mot behandlingen;
- eksistensen av retten til å sende inn en klage til den relevante tilsynsmyndigheten (i Norge: Datatilsynet);
- datakildene (når personopplysningene ikke samles inn direkte fra den registrerte);
- eksistensen av automatisert beslutningstaking, herunder profilering, meningsfull informasjon om logikken som er involvert i den automatiserte beslutningstakingen, samt hvilken betydning og hvilke planlagte konsekvenser en slik behandling kan ha for den registrerte.
- i tilfeller hvor personopplysninger blir overført ut av EU må den behandlingsansvarlige oppgi de nødvendige sikkerhetstiltakene som har blitt iverksatt (i henhold til GDPR art. 46 om overføringer til tredjeland).
Videre har den registrerte rett til å motta en (gratis) kopi av personopplysningene sine som virksomheten din behandler. Hvis personen ber om ytterligere kopier, kan virksomheten din kreve et rimelig gebyr som beregnes på grunnlag av administrasjonskostnadene ved å lage kopier. Vær oppmerksom på at enkeltpersoner i de fleste tilfeller ikke kan bli pålagt å betale et gebyr for å få tilgang til personopplysningene sine.
Når en forespørsel sendes inn elektronisk, skal virksomheten din gi de nødvendige opplysningene i et vanlig elektronisk format, med mindre den enkelte ber om noe annet.
Viktig å merke seg
Før du gir en kopi av personopplysningene til den registrerte, må du kontrollere at dette ikke vil påvirke andres rettigheter og friheter (f.eks. hvis informasjon knyttet til mer enn én person behandles i samme dokument, eller dokumentet inneholder informasjon knyttet til forretningshemmeligheter og immaterielle rettigheter).
Rett til retting
Den registrerte har rett til å kreve at den behandlingsansvarlige retter opplysninger som er unøyaktige eller ufullstendige. Hvis virksomheten din har overført personopplysningene til tredjeparter, må du informere disse tredjepartene om korrigeringen, unntatt når dette viser seg å være umulig eller vil kreve uforholdsmessig stor innsats fra deg.
I praksis
- To kunder informerer virksomheten din om at de har flyttet til en annen by. Du må da endre adressen deres i kundedatabasen din.
Rett til sletting («retten til å bli glemt»)
En registrert person kan be om at en virksomheten sletter personopplysninger om dem i følgende situasjoner:
- personopplysningene er ikke lenger nødvendige for det formålet de ble samlet inn for
- virksomheten behandler personopplysningene ulovlig
- virksomheten må slette personopplysningene på grunn av en rettslig forpliktelse
- den registrerte trekker tilbake samtykket og behandlingen har ikke noe annet rettslig grunnlag
- den registrerte protestert mot behandlingen, og protesten har ført fram
- mindreårige som har avgitt samtykke til en nettjeneste kan alltid be om sletting av slike personopplysninger (uansett deres nåværende alder)
Når personopplysningene som skal slettes tidligere har blitt overført til andre virksomheter, må du informere disse mottakerne om at den registrerte har bedt om sletting, unntatt når dette viser seg å være umulig eller vil kreve uforholdsmessig stor innsats.
Når virksomheten din er pålagt å slette personopplysninger som den har offentliggjort, må den iverksette alle rimelige tiltak for å informere andre behandlingsansvarlige som behandler disse personopplysningene om at den registrerte har bedt om sletting av eventuelle lenker til, kopier av og replikaer av disse personopplysningene.
Virksomheten din kan bare nekte å slette personopplysninger i et begrenset antall tilfeller, for eksempel:
- utøvelsen av retten til ytringsfrihet og informasjonsfrihet,
- etablering, utøvelse eller forsvar av rettskrav,
- overholdelse av en rettslig forpliktelse som virksomheten er underlagt, utførelsen av en oppgave i allmennhetens interesse eller utøvelsen av offentlig myndighet som er overført til virksomheten,
- allmenne hensyn knyttet til folkehelseområdet,
- arkiveringsformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål (under særlige forhold).
I praksis
- En ansatt fra virksomheten din har blitt permittert. Den ansatte ber om at hans personopplysninger slettes fra hans personalfil. Arbeidsretten krever imidlertid at du oppbevarer flere HR-dokumenter (register over ansatte, kopier av lønnsuttalelser, etc.) i en viss tidsperiode. For disse dokumentene må du avvise slette-forespørselen.
- En tidligere kunde ønsker ikke lenger å motta e-poster med markedsføring fra virksomheten din og ber om at du sletter deres kontaktinformasjon. Siden det ikke er noen tvingende berettigende grunner til å fortsette å behandle kontaktinformasjonen, må du slette den.
Rett til begrensning av behandlingen
Under visse omstendigheter kan de registrerte be om en begrensning av behandlingen av personopplysningene sine. Som et resultat av dette kan virksomheten din fortsatt beholde personopplysningene, men må stoppe alle andre behandlingsaktiviteter.
Den registrerte har rett til å få begrenset databehandlingen når:
- den registrerte bestrider nøyaktigheten av personopplysningene;
- behandlingen er ulovlig: i stedet for sletting av dataene, kan den registrerte be om begrensning av bruken av personopplysningene i stedet;
- virksomheten ikke lenger trenger personopplysningene, men de er fortsatt nødvendige for at den registrerte skal kunne forfølge et rettskrav;
- den registrerte har utøvet retten til å protestere. Begrensningen gjelder for den tiden som er nødvendig for å kontrollere om virksomhetens berettigede grunner har større vekt enn den registrertes rettigheter.
Hvis den registrerte vinner fram med sitt krav om begrensning av behandlingen, kan virksomheten din bare bruke dataene under visse spesifikke omstendigheter, for eksempel med samtykke fra den registrerte eller for å forsvare rettskrav. Har du tidligere overført "begrensede" data til andre mottakere? Du må da informere disse mottakerne om begrensningen av behandlingen, med mindre dette viser seg å være umulig eller vil kreve uforholdsmessig stor innsats.
Før du opphever begrensningen, må du sørge for å varsle den registrerte om din intensjon om å gjøre det.
Rett til dataportabilitet
Retten til dataportabilitet gjør det mulig for registrerte å få sine personopplysninger i et strukturert, vanlig og maskinlesbart format. På denne måten kan de enkelt gjenbruke dataene og, hvis de ønsker det, overføre dataene sine til en annen behandlingsansvarlig. Retten til dataportabilitet kan bare utøves dersom disse tre vilkårene er oppfylt samtidig:
- behandlingen er basert på samtykke eller kontrakt;
- behandlingen er automatisert (dvs. ingen papirdokumenter);
- og personopplysningene stammer fra den registrerte selv. Dette inkluderer også alle data som virksomheten din har observert basert på den registrertes atferd (f.eks. med tilkoblet tilbehør).
Denne rettigheten gjelder derfor ikke data som virksomheten selv skaper på grunnlag av ovennevnte data.
Mer konkret har de registrerte rett til:
- å få personopplysningene sine i et strukturert, vanlig og maskinlesbart format. Formatet må tillate den registrerte å gjenbruke personopplysningene hos en annen tjenestetilbyder.
Eksempel: XML, JSON og CSV er vanlige formater som oppfyller dette kriteriet. Metadata må også oppgis slik at dataene kan brukes på en annen plattform. Et PDF-format er ikke tilstrekkelig. - å få personopplysningene sine direkte overført til en annen behandlingsansvarlig. Virksomheten dinbør bare gjøre det hvis en slik direkte overføring er teknisk mulig.
I praksis
- Virksomheten din tilbyr en internettbasert musikkstrømmetjeneste. Kundene dine kan be om overføring av sanglistene sine til en annen musikkstrømmingstjeneste.
- Du er en SMB som tilbyr en webmail-tjeneste. Hvis kunden din som har en e-postkonto for rent personlige eller husholdningsbehov, ber om det, må du overføre adresselisten og e-postene hans til en annen webmail-tjeneste, forutsatt at dette er teknisk mulig. Hvis dette ikke er mulig, må du oppgi adresselisten og e-postene til kunden i et gjenbrukbart digitalt format.
Rett til å protestere
Registrerte personer kan motsette seg behandling av personopplysninger om dem "av grunner knyttet til deres spesielle situasjon". Retten til å protestere kan bare utøves hvis behandlingen er basert på ett av følgende rettslige grunnlag:
- Behandlingen er nødvendig for formål knyttet til en berettiget interesse som forfølges av virksomheten eller en tredjepart, eller
- Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
I andre situasjoner kan den registrerte ikke bruke retten til å motsette seg behandlingen fordi det for de andre juridiske grunnlagene finnes alternativer for å oppnå samme formål: Ved samtykke kan den registrerte ganske enkelt trekke tilbake samtykket. Den registrerte kan ikke motsette seg en behandling pålagt ved lov.
Når den registrerte utøver sin rett til å protestere, må virksomheten balansere interessene til begge parter. All behandling av disse personopplysningene skal opphøre med mindre virksomheten kan vise til tvingende berettigede interesser som overstyrer den registrertes rettigheter og friheter (for eksempel at virksomheten forfølger et rettskrav). Virksomheten din må dokumentere og formidle disse grunnene til den registrerte.
Viktig å merke seg
Når dataene behandles for markedsføringsformål, har den registrerte rett til å motsette seg denne behandlingen uten å oppgi noen grunn. I dette tilfellet er årsakene til at virksomheten din behandler disse dataene ikke av relevans. Protesten må derfor medføre en umiddelbar slutt på behandlingen for dette formålet.
I praksis
- Du er et lite markedsføringsselskap. Når en person kjøper en billett til enkonsert på nettet, får hen annonser for andre lignende konserter. Hvis personen ikke lenger ønsker å motta disse annonsene og protesterer, må selskapet stoppe den direkte markedsføringen mot denne personen.
- Du er en SMB som er aktiv i forsikringsbransjen. I denne bransjen er personopplysninger nødvendig i visse situasjoner for å bekjempe hvitvasking av penger. Du kan, som forsikringsmegler, nekte å følge opp en rett til å protestere fordi dine nasjonale anti-hvitvaskingslover forplikter deg til å behandle personopplysningene.
Les mer
Rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på en automatisert behandling
En person har rett til ikke å bli gjenstand for en helautomatisk avgjørelse (dvs. uten menneskelig innblanding i beslutningsprosessen), som har rettslige virkninger eller i betydelig grad påvirker denne aktuelle personen.
Automatisert beslutningstaking går ofte hånd i hånd med profilering. I GDPR er «profilering» definert som "enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske personers arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser» (jf. art. 4 (4).
For at den registrerte skal kunne påberope seg denne rettigheten må den automatiserte behandlingen innebære:
- en avgjørelse som utelukkende er basert på automatisert behandling, uten menneskelig inngripen. Dette betyr at ingen fysisk person har noen vesentlig påvirkning på avgjørelsen, og kan for eksempel ikke endre eller reversere beslutningen.
- en avgjørelse som har rettsvirkninger for de registrerte eller som i betydelig grad påvirker dem.
I praksis
- Et eksempel på rettsvirkninger kan være automatisk oppsigelse av et mobilabonnement fordi kunden ikke har betalt den månedlige regningen.
- En avgjørelse som i betydelig grad påvirker personen, kan finnes i følgende eksempler (selv om konteksten selvfølgelig alltid må tas i betraktning når man vurderer om virkningen på den registrerte er betydelig):
- avgjørelser som påvirker folks økonomiske forhold, for eksempel deres berettigelse til å trekke kreditt;
- automatisk avslag på søkere som søker via en online plattform;
- prisdifferensiering basert på en forbrukers nettleserhistorikk og kjøpsvaner;
- avgjørelser som påvirker noens tilgang til utdanning, for eksempel universitetsopptak.
- avgjørelser som påvirker folks økonomiske forhold, for eksempel deres berettigelse til å trekke kreditt;
Det er tre tilfeller der en automatisert individuell beslutning likevel kan foretas:
- hvis det er tillatt ved lov (f.eks. forebygging av svindel eller skatteunndragelse);
- hvis avgjørelsen er basert på et eksplisitt samtykke fra den registrerte; eller
- hvis det er nødvendig for å inngå eller oppfylle en kontrakt. Du må imdlertid være oppmerksom på at i dette siste tilfellet må det alltid foretas en konkret vurdering fra sak til sak. Så snart det finnes metoder for å inngå eller gjennomføre kontrakten som er mindre inngripende for personvernet, vil den automatiserte avgjørelsen ikke lenger bli ansett som «nødvendig».
Dersom sensitive opplysninger er involvert, er den automatiserte beslutningsprosessen bare mulig på grunnlag av uttrykkelig samtykke eller vesentlig offentlig interesse i henhold til unionsretten eller nasjonal lovgivning.
Den registrertes rettigheter for hvert rettsgrunnlag
