I persondatalovgivningen har kunden (den registrerede) en række rettigheder. For at undgå bøder – som kan blive helt op til 4 procent af den globale årlige omsætning fra 25. maj 2018 – er det derfor vigtigt at have styr på kundernes rettigheder.
1) Oplysningspligt
En virksomhed skal oplyse sine kunder om, hvordan de behandler kundernes oplysninger, f.eks. ved prøvekørsler.
Forhandleren skal derfor blandt andet oplyse med hvilket formål, den behandler oplysningerne, såsom navn, telefonnummer og adresse. Derudover skal oplyses, hvor længe oplysningerne opbevares, hvilke rettigheder personen har mv. Disse oplysninger skal fremgå af virksomhedens privatlivspolitik, som skal være på virksomhedens hjemmeside. Privatlivspolitikken bør udleveres sammen med prøvekøresedlen eller sendes til personen elektronisk.
AutoBranchen Danmark har udarbejdet en privatlivspolitik, som tager højde for dette. Den kan findes på hjemmesiden under Medlemsfordele – Formularer – Persondata.
2) Retten til indsigt i personoplysninger
En kunde har ret til – på forespørgsel – at få indsigt i, hvilke oplysninger virksomheden behandler om personen, herunder:
- Formålene med behandlingen
- Hvilke personoplysninger der behandles
- Hvem der modtager oplysningerne, navnlig modtagere i tredjelande eller internationale organisationer
- Det tidsrum hvor personoplysningerne vil blive opbevaret, eller hvis det ikke er muligt, de kriterier der anvendes til fastlæggelse
- Retten til at anmode om berigtigelse eller sletning af personoplysningen, samt begrænsning af behandlingen og retten til at gøre indsigelse
- Retten til at klage til en tilsynsmyndighed
- Tilgængelig information om hvorfra informationen stammer
- Forekomsten af automatiske afgørelser, herunder profilering, og meningsfulde oplysninger om den bagvedliggende logik og de forventede konsekvenser for den registrerede
- Oplysning om overførsel til tredjelande og de krav, der er ved sådan en overførsel
Virksomheden skal give en kopi af de personoplysninger de har om personen, hvor en oversigt er i orden.
AutoBranchen Danmark anbefaler, at virksomhederne og dens medarbejdere tænker sig om, inden der skrives i fritekstfelter om kunderne, da kunderne kan kræve disse oplysninger udleveret.
Virksomheden kan tage et gebyr, hvis kunden anmoder om yderligere kopier.
Ved modtagelse og besvarelse af en indsigtsbegæring
Virksomheden skal tage stilling til hvilke systemer, der indeholder personoplysninger, om man kan søge i systemerne, og om oplysningerne kan sættes på pause, så de ikke bliver slettet fra tidspunktet fra indsigtsbegæringen til besvarelsen.
Der skal også tages stilling til, hvem der gør hvad i organisationen, identiteten på den person, der vil have indsigt skal bekræftes, og begæringen kan kun afvises, hvis personen ikke kan identificeres.
Ved gennemgang af en besvarelse
- Der skal være klarhed om, hvad der må udleveres, og hvad der ikke må udleveres
- Der skal være procedurer for, hvordan I gennemgår dokumenter og evt. streger ud
- Der skal være kopi af alle dokumenter og en indsamling af ALLE relevante oplysninger
- Virksomheden skal huske, at der er en deadline for besvarelse af indsigten
3) Retten til at få slettet oplysninger
Denne ret skal holdes op mod ytrings- og informationsfriheden, men en kunde har ret til at få slettet oplysninger om sig selv, hvis:
- Oplysningerne ikke længere er nødvendige til at opfylde det oprindelige formål
- Samtykke tilbagekaldes, og der er ingen andre lovlige behandlingsgrundlag
- Den registrerede gør indsigelse, og der er ingen andre lovlige behandlingsgrundlag
- Oplysningerne er blevet behandlet ulovligt
- Slettepligten følger af lov
Hvis virksomheden (den dataansvarlige) har offentliggjort oplysningerne er denne ved slettepligtens indtræden forpligtet til – i rimeligt omfang – at oplyse andre dataansvarlige, der behandler oplysningerne, om at den registrerede har begæret sletning. Alle modtagere af personoplysningerne skal også underrettes.
Virksomheden skal have en sletteprocedure, og virksomheden skal tage stilling til, i hvor lang tid virksomheden har et sagligt formål med at have oplysningerne. Efter Bogføringsloven findes et krav om, at fakturaer skal gemmes i fem år, og ligeledes kan garantiperioder for købte produkter begrunde, at kunder ikke slettes.
4) Retten til at få ændret ukorrekte oplysninger
En kunde har ret til at få ukorrekte oplysninger ændret. De personoplysninger, som en virksomhed har, skal være ajourførte, og det påhviler virksomheden at kontrollere, at oplysningerne er rigtige.
Virksomheden skal underrette hver modtager, personoplysningerne er videregivet til, om ændringen.
Generelt
- Oplysningen skal ske kortfattet, gennemsigtig, letforståelig og lettilgængelig form i et klart og enkelt sprog
- Oplysningerne skal gives skriftligt. Hvis det er hensigtsmæssigt, skal oplysningen gives elektronisk. Når kunden beder om det, kan oplysningerne gives mundtligt, forudsat at kundens identitet kan godtgøres med andre midler. Det anbefales, at oplysningen gives skriftligt, så virksomheden kan dokumentere, at oplysningen er givet til kunden
- Ved tvivl om identitet på den person, der anmoder om oplysningerne, må virksomheden anmode om yderligere oplysninger for at bekræfte identiteten
- Anmodninger må ikke afvises, medmindre den dataansvarlige kan bevise, at det ikke er muligt at identificere den person, der fremsætter anmodningen
- Svar på henvendelser skal ske inden for en måned fra modtagelsen. Det kan forlænges med højest to måneder, og ved afvisning af en henvendelse, skal virksomheden svare inden for en måned om årsag mv. Der er en anden frist for oplysningsforpligtelsen, som skal ske ved indsamlingen af oplysningerne og ikke inden for en måned
- Det skal være gratis for kunden at udnytte sine rettigheder. Der er dog mulighed for at afvise eller kræve et gebyr (svarende til de administrative omkostninger) ved grundløse/overdrevne anmodninger. Her er bevisbyrden hos virksomheden