Det korte svar: En DSAR (Data Subject Access Request) er en anmodning fra en person om indsigt i de personoplysninger, jeres virksomhed opbevarer om dem. Under GDPR har enhver ret til at få adgang til deres data – og I skal reagere inden for 30 dage. Det kræver overblik, systematik og værktøjer, der gør det muligt at finde og levere data hurtigt og sikkert. En korrekt håndtering af DSAR’er er både et lovkrav og en tillidssag.
Har I modtaget en dataforespørgsel?
At håndtere dataforespørgsler indebærer at identificere, evaluere og opfylde anmodninger om personlige data, i overensstemmelse med lovgivningen. Det kræver organisering, opbevaring og sikkerhed af data samt effektiv kommunikation med de personer, der har anmodet om deres oplysninger.
Denne blog beskriver hvordan I skal håndtere dataforespørgsler i jeres virksomhed, når I får dem. At man er i stand til at håndtere dataforespørgsler er ifølge GDPR en del af en god behandling af personoplysninger. Hvis du vil vide mere om behandling af personoplysninger, så klik her.
"Undersøgelser viser, at næsten 50% af virksomheder har oplevet et cyberangreb."
- Center for Cybersikkerhed
Hvad er en dataforespørgsel (DSAR)?
Dataforespørgsler er anmodninger om aktindsigt, som en person kan rette til en organisation (den dataansvarlige) vedrørende sine personoplysninger. Vi vil også bruge udtrykkene “dataanmodning” eller “forespørgsler om beskyttelse af personlige oplysninger”, når vi taler om de forskellige anmodninger, som folk kan fremsætte for at udøve deres rettigheder i henhold til GDPR og andre globale databeskyttelseslove. Der følger klare regler med, når man som virksomhed skal håndtere dataforespørgsler.
Typer af anmodninger om aktindsigt
Anmodninger om dataadgang kan potentielt komme fra kunder, kundeemner, partnere, sælgere, medarbejdere – alle, du har haft med at gøre i din virksomhed at gøre. Reglerne om beskyttelse af personlige oplysninger gør det meget nemt for folk at fremsætte sådanne anmodninger, og det er din virksomhed, der har ansvaret for at spore og besvare dem.
Nogen kan simpelthen spørge om deres data i en e-mail eller endda i en chatboks og sige noget i stil med:
- “Vær venlig at slette mine data.”
- “Jeg vil gerne vide, hvilke personlige oplysninger du har om mig.”
- “Jeg skifter [insurance providers/suppliers/etc.], vær venlig at sende alle mine personlige oplysninger”
Ovenstående anmodninger kan virke tilfældige, men de er alle gyldige DSAR’er, og jeres virksomhed er forpligtet til at svare formelt på dem inden for en bestemt periode (normalt 30 dage).
Hvordan kan du sikre jer, at I aldrig går glip af en anmodning?
- Implementér en anmodningsportal på jeres hjemmeside for at organisere og spore indkommende anmodninger automatisk.
- Lær at genkende forskellige typer af dataanmodninger, der er juridisk bindende.
De anmodninger, som jeres virksomhed skal svare på, omfatter:
- Anmodninger om indsigt. En person kan spørge jer, hvordan hans eller hendes data indsamles, bruges og opbevares, og om de bliver delt.
- Anmodninger om adgang. En person kan bede jer om en fuldstændig kopi af alle de data, I gemmer om vedkommende.
- Anmodninger om berigtigelse. En person kan bede jer om at foretage ændringer eller rette fejl i sine data.
- Overførsler (dataportabilitet). En person kan bede jer om at overføre sine oplysninger til en anden virksomhed eller en anden tredjepart.
- Anmodninger om sletning. En person kan anmode om at blive “glemt”, og i så fald skal I slette alle hans eller hendes oplysninger.
- Anmodninger om at begrænse behandling. En person kan bede jer om at begrænse, hvad I gør med deres data på en bestemt måde.
- Anmodninger om opt-out/indsigelse. CCPA giver folk mulighed for at “fravælge”, hvilket forhindrer jer i at sælge deres data. De fleste love giver folk mulighed for at gøre indsigelse mod andre anvendelser af deres data.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Guide til at håndtere dataforespørgsler (DSAR)
Hver gang en person indsender en DSAR, skal I svare på den hurtigt, normalt inden for 30 dage. Det kan være en stor belastning for jeres virksomheds ressourcer og tage tid, penge og opmærksomhed fra andre projekter. Her er en 8-trins guide med bedste praksis for at håndtere dataforespørgsler, som kan gøre hele dataanmodningsprocessen mere smidig:
1. Saml alle anmodninger ét sted
Reglerne om beskyttelse af privatlivets fred angiver ikke, hvordan anmodninger skal fremsættes. Hvis I vil undgå at skulle besvare forespørgsler via telefon, e-mail, DM osv., skal I oprette et standardsted på jeres websted, hvor folk kan sende forespørgsler. Vi foreslår, at I tilføjer et link til jeres politik om beskyttelse af personlige oplysninger.
2. Log hver enkelt anmodning, du modtager
Hold styr på alle de anmodninger, I modtager, og noter, hvornår de skal indgives, og hvem der skal svare på dem. Det vil hjælpe jer med at reagere til tiden og påvise over for myndighederne, at I overholder reglerne.
3. Verificere anmelderens identitet
I skal sikre jer, at I kun sender personoplysninger til deres rette ejer. Stop svindel og identitetstyveri ved at kontrollere hver enkelt anmodningers identitet først og fremmest, før I går videre.
4. Underret personen om, at I har modtaget deres anmodning
Bekræft anmodningen med et kort svar, der forklarer, hvordan I vil svare og hvornår. Dette indledende svar er en god praksis for at opbygge tillid og er påkrævet i henhold til nogle bestemmelser. CCPA kræver f.eks., at I bekræfter modtagelsen af anmodninger inden for 10 arbejdsdage.
5. Opsæt påmindelser til jeres team om at svare til tiden
Hvis man ikke reagerer rettidigt på anmodninger om data, medfører det dyre bøder og skader på ens omdømme, som det er svært at komme sig over. Hvis ikke jeres svar er umiddelbart tilgængeligt, antager mange, at I måske har noget at skjule. Sørg for, at den eller de udpegede person(er) ved, hvornår anmodningen skal indgives.
6. Find og sorter personens data for at forberede jeres svar
Find og organiser alle de personlige oplysninger, I gemmer om den person, der har anmodet om oplysninger. Det er en tidskrævende og risikabel proces, hvis den udføres manuelt; hvis dataene spredes rundt til for mange systemer og teammedlemmer, kan de risikere at blive brudt.
7. Eksporter dataene i det rigtige format
Hvis data skal sendes tilbage til den, der har anmodet om dem, eller hvis de skal videresendes til en tredjepart, bør I sende dem i et almindeligt anvendt, maskinlæsbart format.
8. Slet data grundigt
Når I får en anmodning om at blive “glemt” eller slette en persons data, skal I identificere og slette den pågældende persons data på tværs af alle systemer og medarbejdere OG alle tredjepartsleverandører og partnere, som de personlige oplysninger er blevet delt med.
FAQ om dataforespørgsler (DSAR)
1. Hvordan ved vi, at det er en gyldig dataforespørgsel?
I må gerne bekræfte identiteten på den, der beder om indsigt – især hvis I har følsomme data. Det må dog ikke være uforholdsmæssigt besværligt.
2. Må vi afvise en dataforespørgsel?
I særlige tilfælde, fx hvis anmodningen er åbenbart grundløs eller overdreven, kan I afvise. Men det skal begrundes – og personen skal informeres.
3. Skal vi levere alt data, når I får en dataforespørgsel?
I skal levere alle data, der relaterer sig til personen – medmindre det berører andres rettigheder. I må anonymisere eller udelade visse oplysninger.
4. Hvordan håndterer vi gentagne dataforespørgsler?
Hvis der er gået kort tid siden sidste anmodning, og der ikke er sket ændringer, kan I afvise – men det kræver dokumentation.
Den smarte måde at håndtere dataforspørgsler
At ignorere eller fejlbehandle dataforespørgsler kan få alvorlige konsekvenser – både juridisk og for jeres omdømme. Når personoplysninger er spredt over flere systemer og afdelinger, øger det risikoen for fejl og databrud, især hvis I håndterer anmodninger manuelt. Selv når alt går rigtigt, er det en tung og tidskrævende proces.
En automatiseret løsning er langt mere effektiv. Med en dedikeret DSR-portal kan I modtage, behandle og dokumentere dataanmodninger sikkert og systematisk – uden at spilde tid og ressourcer. Hos Safe Online har vi udviklet RequestManager, der gør det nemt at håndtere anmodninger i overensstemmelse med GDPR.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
