GDPR har skabt en række krav og rettigheder, der styrker beskyttelsen af persondata. Artikel 19 fokuserer på forpligtelsen til at underrette modtagere af personoplysninger, når disse oplysninger berigtiges, slettes eller når behandlingen begrænses.
Artikel 19 er en vigtig komponent i GDPR, da den sikrer, at alle parter, der har modtaget personoplysninger, er opmærksomme på ændringer i behandlingsstatus, hvilket understøtter gennemsigtigheden og kontrollen over persondata.
Hvad siger artikel 19?
Artikel 19 i GDPR pålægger den dataansvarlige at informere alle modtagere af personoplysninger om enhver berigtigelse, sletning eller begrænsning af behandling, der udføres i overensstemmelse med Artikel 16, Artikel 17, stk. 1 og/eller Artikel 18, medmindre det viser sig umuligt eller kræver en uforholdsmæssig stor indsats.
Den registrerede har ret til at blive oplyst om modtagerne af disse informationer, hvis vedkommende anmoder om det.
Underretningspligtens omfang
Når en dataansvarlig berigtiger, sletter eller begrænser behandlingen af personoplysninger, skal denne underrette alle modtagere, som personoplysningerne er blevet videregivet til. Kravet sikrer, at alle parter, der behandler personoplysningerne, er opdaterede med hensyn til de nyeste ændringer, hvilket kan påvirke deres egen behandling af dataene.
Undtagelser
Der er tilfælde, hvor underretningspligten ikke er påkrævet. Hvis det viser sig umuligt at underrette modtagerne, eller hvis det kræver en uforholdsmæssig stor indsats, kan den dataansvarlige undlade at underrette. I disse tilfælde skal den dataansvarlige kunne dokumentere årsagerne til, hvorfor underretningen ikke kunne finde sted.
Undtagelser skal anvendes med stor forsigtighed og så vidt muligt begrænses. Økonomiske og praktiske vanskeligheder er som udgangspunkt ikke gyldige undskyldninger.
Eksempler på situationer, hvor det kan være umuligt eller kræve en uforholdsmæssig stor indsats at opfylde underretningspligten, kan være:
- Modtageren eksisterer ikke længere (fx på grund af konkurs)
- Modtageren er utilgængelig (fx hvis deres kontaktoplysninger er ukendte)
- Ekstremt stor mængde modtagere der kræver uforholdsmæssigt mange ressourcer at underrette individuelt
- Personoplysningerne blev videregivet for længe siden, og der ikke findes en praktisk metode til at spore alle modtagere
Hvordan opfylder man underretningspligten?
For at sikre overholdelse af Artikel 19 skal organisationen have procedurer på plads, der muliggør hurtig og effektiv underretning af modtagere. Det kan indebære:
- Identificering af modtagere: Først og fremmest skal den dataansvarlige kunne identificere alle modtagere, personoplysningerne er blevet delt med.
- Systematisk underretning: Herefter skal alle modtagere underrettes. Det kan være en fordel med systemer og processer, der automatisk underretter modtagere om ændringer i personoplysningers status.
- Dokumentation: Organisationen skal føre dokumentation over underretninger, herunder hvilke modtagere der er blevet informeret, og hvornår underretningen fandt sted.
Konsekvenser af manglende overholdelse
Manglende overholdelse af underretningspligten i Artikel 19 kan føre til sanktioner og bøder i henhold til GDPR. Derudover kan det svække tilliden mellem den dataansvarlige og de registrerede samt andre interessenter, hvilket kan have negative konsekvenser for organisationens omdømme.
Ved at overholde Artikel 19 kan organisationen derimod sikre, at alle modtagere af personoplysninger er opdaterede med de seneste ændringer, hvilket fremmer gennemsigtighed og tillid. Det understreger også organisationens engagement i at beskytte persondata og overholde kravene i GDPR.