Skip to main content
Hvad er en data-anmodning?
Blog

Hvad er en data-anmodning?

Af 13. juni 2023november 25th, 2024No Comments

Hvad er en data-anmodning?

En data-anmodning kan være enhver form for formel eller uformel forespørgsel vedrørende specifikke oplysninger, I gemmer. Hvordan I bør reagere afhænger af, hvem der fremsætter anmodningen og arten af de data, de beder jer om.

Denne blog handler om hvad en GDPR-dataanmodning er, hvad regler er og hvordan I skal forholde jer, hvis I modtager en.

Vidste du, at datalæk, der omfatter personoplysninger, fører til kundetab og påvirkning af virksomhedens bæredygtighed?

(Ponemon Institute)​​

Typer af data-anmodninger

Dataanmodninger kan variere afhængigt af konteksten og den specifikke anvendelse, men generelt kan de kategoriseres i følgende typer:

  1. Interne dataanmodninger: Driftsdata, finansielle data og personaldata
  2. Eksterne dataanmodninger: Kundedata, leverandørdata og markedsdata
  3. Offentlige dataanmodninger: FOIA-anmodninger (Freedom of Information Act) og statistiske data
  4. Forskning og akademiske dataanmodninger: undersøgelser, interviews og rapporter
  5. Tekniske dataanmodninger: Logfiler, systemdata og sensordata
  6. Dataanmodninger til datavidenskab og analyse: Datasæt til analyse og Big Data
  7. Dataanmodninger om beskyttelse og sikkerhed: GDPR-dataanmodninger og sikkerhedsdata

Denne blog vil specifikt handle om GDPR-dataanmodninger.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

GDPR data-anmodninger

Som nævnt skal virksomheder, der opererer i EU, besvare data-anmodninger om persondata. I henhold til GDPR ejer folk rettighederne til deres egne data. Det betyder, at de kan styre, hvad I gør med det. Folk kan sende jer GDPR-dataanmodninger, der kan bede dig om at:

  1. Fortælle dem om hvilke oplysninger, I har om dem
  2. Rette eller opdatere data om dem
  3. Begrænse behandlingen af deres data i specifikke situationer
  4. Stoppe med at behandle deres personoplysninger til bestemte formål
  5. Stoppe med udsætte dem for automatiseret profilering
  6. Slette/glemme deres data
  7. Overføre deres data til en anden

Kort sagt giver GDPR-anmodninger folk en masse magt over deres data. Folk kan trække deres samtykke tilbage til, de kan begrænse hvad I gør med det, de kan bede jer om at videresende det til et andet firma og meget mere.

Sådan skal I reagere på GDPR-dataanmodninger

For at besvare enhver data-anmodning, skal I følge disse 3 trin:

Alle dataanmodninger

  1. Vurder anmodningen. Der er intet påkrævet format eller kanal for at en GDPR-dataanmodning er gyldig. Det er op til jer at få øje på dem og identificere dem som anmodninger om adgang til registrerede personer.
  2. Bekræft anmoderens identitet. Før I finder og sender personlige oplysninger til anmoderen, skal I sikre jer, at de er den, de hævder at være.
  3. Find de ønskede oplysninger. Find alle de personlige data, I gemmer, som er relevante for personen og dennes anmodning.

Efter disse 3 trin vil det næste, I gør, afhænge af typen af anmodning.

Anmodninger om adgang

  1. Forbered de ønskede oplysninger.
  2. Sørg for, at den er nøjagtig og fuldstændig.
  3. Send det sikkert tilbage.

Anmodninger om berigtigelse

  1. Vurder gyldigheden af anmodningen og afgør, om de pågældende personoplysninger er unøjagtige, ufuldstændige eller kræver opdatering.
  2. Ret data. Ret eller opdater de personlige data som personen har anmodet om, og sørg for, at ændringerne er foretaget i alle relevante systemer.
  3. Kommuniker resultatet. Informer personen om de tilrettelser, der er lavet.

Anmodninger om sletning

  1. Vurder anmodningen. Afgør, om betingelserne for sletning er opfyldt (f.eks. er data ikke længere nødvendige, tilbagetrækning af samtykke, ulovlig behandling).
  2. Vurdere dispensationer. Overvej eventuelle juridiske undtagelser eller opbevaringsforpligtelser, der kan gælde for de anmodede data.
  3. Slet eller anonymiser data. Hvis anmodningen om sletning er gyldig, skal I fortsætte med at slette eller anonymisere de personlige data, og sikre, at de ikke længere er identificerbare eller sporbare.
  4. Bekræft sletning. Informer anmoderen om, at deres personlige data er blevet slettet eller anonymiseret, medmindre nogen juridiske eller praktiske begrænsninger forhindrer fuldstændig sletning.

Anmodninger om indsigelser

  1. Vurder indsigelsen. Vurdere begrundelsen for indsigelsen og gennemgå de konkrete behandlingsaktiviteter, der er tale om.
  2. Afbalancere interesser. Overvej jeres legitime interesser kontra individets rettigheder og friheder. Afgør, om indsigelsen er gyldig, og om I virkelig skal stoppe behandlingen af dataene.
  3. Kommuniker jeres beslutning. Informer rekvirenten om resultatet af indsigelsen og eventuelle handlinger, der er truffet som følge heraf, med en klar forklaring på afgørelsen.

Til sidst skal I dokumentere og opdatere registre over alle anmodninger, I modtager, og de handlinger, I foretager jer for at besvare dem. Disse optegnelser vil udvise compliance.

Selvom det er vigtigt at overholde loven samt være gennemsigtig over for kunder, investorer og andre, skal man sørge for, at man også beskytter virksomhedens interesser, når nogen beder jer om data. Hvis I er i tvivl, så bør I rådføre jer med fagfolk, der forstår de juridiske krav, I er underlagt. Dette vil hjælpe jer med at træffe en informeret beslutning om, hvordan I skal dele data.

Start GDPR-oprydningen med det fulde overblik

En GDPR Risiko-rapport giver jer et komplet overblik over GDPR-risikoen i jeres Outlook, OneDrive, SharePoint, lokaldrev og/eller netværksdrev. Rapporten udarbejdes på baggrund af et scan med Data Discovery-værktøjet DataMapper,

Læs mere

Undgå at gå glip af en data-anmodning

Generelt vil perioden for at besvare en data-anmodning være 30 dage. Her er et par ting, I kan gøre for at sikre, at I aldrig går glip af en anmodning:

  1. Etabler klare procedurer: Beslut først, hvordan I vil håndtere dataanmodninger. Opret derefter en politik, der klart beskriver de trin, der skal tages fra den første modtagelse af en anmodning til dens afslutning.
  2. Uddan jeres medarbejdere: Uddan jeres personale til at genkende GDPR-dataanmodninger. Sørg for, at alle er klar over perioden for at reagere på dem og at de ved, hvordan man gør det.
  3. Udpeg en kontakt: Dette kan for eksempel være en dedikeret e-mail-indbakke eller en udpeget person, der håndterer alle data-anmodninger.
  4. Opret et dataanmodnings-system: Opret et system til at administrere data-anmodninger. At få software, der er designet til data-anmodninger gør hele processen meget nemmere. Software kan logge, tildele og spore fremskridtene for hver anmodning og påminde jer om at svare på den.
  5. Automatiser påmindelser og meddelelser: Brug kalenderpåmindelser eller software til at advare jer, når I skal behandle en anmodning. Derudover kan software give personen, der anmoder besked om, at I har modtaget deres besked og arbejder på den.

Sørg endelig for, at I regelmæssigt gennemgår og opdaterer jeres processer og politikker. Tag hensyn til ting som kunde- og medarbejderfeedback og eventuelle ændringer i reglerne for databeskyttelse.

Software til håndtering af data-anmodninger

Det kan tage op til 30-40 timer at håndtere en dataanmodning manuelt. Som nævnt, kan brug af dataanmodnings-software reducere denne tid betydeligt ved at forenkle hele anmodningsprocessen. I Safe Online har vi skabt RequestManager for små og mellemstore virksomheder til at håndtere dataanmodninger.

Med RequestManager får man en anmodningsportal, der indsamler, verificerer og logger de data-anmodninger, I modtager. Hver anmodning vises på jeres dashboard, organiseret efter dens forfaldsdato. Derefter hjælper sms- og e-mailbekræftelser jer med at kontrollere anmoderens identitet. I mellemtiden får personen automatisk en notifikation om, at I har modtaget deres anmodning og arbejder på den. I får påmindelser om at svare til tiden og hjælpe med at indsamle data og sende dem sikkert tilbage. Til sidst bliver alt logget for at demonstrere compliance.

Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn