Dataforespørgsler og jeres virksomhed
At håndtere dataforespørgsler indebærer at identificere, evaluere og opfylde anmodninger om personlige data, i overensstemmelse med lovgivningen. Det kræver organisering, opbevaring og sikkerhed af data samt effektiv kommunikation med de personer, der har anmodet om deres oplysninger.
Denne blog beskriver hvordan I skal håndtere dataforespørgsler i jeres virksomhed, når I får dem. At man er i stand til at håndtere dataforespørgsler er ifølge GDPR en del af en god behandling af personoplysninger. Hvis du vil vide mere om behandling af personoplysninger, så klik her.
Hvad er en dataforespørgsel (DSAR)?
Dataforespørgsler er anmodninger om aktindsigt, som en person kan rette til en organisation (den dataansvarlige) vedrørende sine personoplysninger. Vi vil også bruge udtrykkene “dataanmodning” eller “forespørgsler om beskyttelse af personlige oplysninger”, når vi taler om de forskellige anmodninger, som folk kan fremsætte for at udøve deres rettigheder i henhold til GDPR og andre globale databeskyttelseslove. Der følger klare regler med, når man som virksomhed skal håndtere dataforespørgsler.
Start GDPR-oprydningen hvor det trænger mest
Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.
Typer af anmodninger om aktindsigt
Anmodninger om dataadgang kan potentielt komme fra kunder, kundeemner, partnere, sælgere, medarbejdere – alle, du har haft med at gøre i din virksomhed at gøre. Reglerne om beskyttelse af personlige oplysninger gør det meget nemt for folk at fremsætte sådanne anmodninger, og det er din virksomhed, der har ansvaret for at spore og besvare dem.
Nogen kan simpelthen spørge om deres data i en e-mail eller endda i en chatboks og sige noget i stil med:
- “Vær venlig at slette mine data.”
- “Jeg vil gerne vide, hvilke personlige oplysninger du har om mig.”
- “Jeg skifter [insurance providers/suppliers/etc.], vær venlig at sende alle mine personlige oplysninger”
Ovenstående anmodninger kan virke tilfældige, men de er alle gyldige DSAR’er, og jeres virksomhed er forpligtet til at svare formelt på dem inden for en bestemt periode (normalt 30 dage).
Hvordan kan du sikre jer, at I aldrig går glip af en anmodning?
- Implementér en anmodningsportal på jeres hjemmeside for at organisere og spore indkommende anmodninger automatisk.
- Lær at genkende forskellige typer af dataanmodninger, der er juridisk bindende.
De anmodninger, som jeres virksomhed skal svare på, omfatter:
- Anmodninger om indsigt. En person kan spørge jer, hvordan hans eller hendes data indsamles, bruges og opbevares, og om de bliver delt.
- Anmodninger om adgang. En person kan bede jer om en fuldstændig kopi af alle de data, I gemmer om vedkommende.
- Anmodninger om berigtigelse. En person kan bede jer om at foretage ændringer eller rette fejl i sine data.
- Overførsler (dataportabilitet). En person kan bede jer om at overføre sine oplysninger til en anden virksomhed eller en anden tredjepart.
- Anmodninger om sletning. En person kan anmode om at blive “glemt”, og i så fald skal I slette alle hans eller hendes oplysninger.
- Anmodninger om at begrænse behandling. En person kan bede jer om at begrænse, hvad I gør med deres data på en bestemt måde.
- Anmodninger om opt-out/indsigelse. CCPA giver folk mulighed for at “fravælge”, hvilket forhindrer jer i at sælge deres data. De fleste love giver folk mulighed for at gøre indsigelse mod andre anvendelser af deres data.
Guide til at håndtere dataforespørgsler (DSAR)
Hver gang en person indsender en DSAR, skal I svare på den hurtigt, normalt inden for 30 dage. Det kan være en stor belastning for jeres virksomheds ressourcer og tage tid, penge og opmærksomhed fra andre projekter. Her er en 8-trins guide med bedste praksis for at håndtere dataforespørgsler, som kan gøre hele dataanmodningsprocessen mere smidig:
1. Saml alle anmodninger ét sted
Reglerne om beskyttelse af privatlivets fred angiver ikke, hvordan anmodninger skal fremsættes. Hvis I vil undgå at skulle besvare forespørgsler via telefon, e-mail, DM osv., skal I oprette et standardsted på jeres websted, hvor folk kan sende forespørgsler. Vi foreslår, at I tilføjer et link til jeres politik om beskyttelse af personlige oplysninger.
2. Log hver enkelt anmodning, du modtager
Hold styr på alle de anmodninger, I modtager, og noter, hvornår de skal indgives, og hvem der skal svare på dem. Det vil hjælpe jer med at reagere til tiden og påvise over for myndighederne, at I overholder reglerne.
3. Verificere anmelderens identitet
I skal sikre jer, at I kun sender personoplysninger til deres rette ejer. Stop svindel og identitetstyveri ved at kontrollere hver enkelt anmodningers identitet først og fremmest, før I går videre.
4. Underret personen om, at I har modtaget deres anmodning
Bekræft anmodningen med et kort svar, der forklarer, hvordan I vil svare og hvornår. Dette indledende svar er en god praksis for at opbygge tillid og er påkrævet i henhold til nogle bestemmelser. CCPA kræver f.eks., at I bekræfter modtagelsen af anmodninger inden for 10 arbejdsdage.
5. Opsæt påmindelser til jeres team om at svare til tiden
Hvis man ikke reagerer rettidigt på anmodninger om data, medfører det dyre bøder og skader på ens omdømme, som det er svært at komme sig over. Hvis ikke jeres svar er umiddelbart tilgængeligt, antager mange, at I måske har noget at skjule. Sørg for, at den eller de udpegede person(er) ved, hvornår anmodningen skal indgives.
6. Find og sorter personens data for at forberede jeres svar
Find og organiser alle de personlige oplysninger, I gemmer om den person, der har anmodet om oplysninger. Det er en tidskrævende og risikabel proces, hvis den udføres manuelt; hvis dataene spredes rundt til for mange systemer og teammedlemmer, kan de risikere at blive brudt.
7. Eksporter dataene i det rigtige format
Hvis data skal sendes tilbage til den, der har anmodet om dem, eller hvis de skal videresendes til en tredjepart, bør I sende dem i et almindeligt anvendt, maskinlæsbart format.
8. Slet data grundigt
Når I får en anmodning om at blive “glemt” eller slette en persons data, skal I identificere og slette den pågældende persons data på tværs af alle systemer og medarbejdere OG alle tredjepartsleverandører og partnere, som de personlige oplysninger er blevet delt med.
Vil du have hjælp til at håndtere DSARs?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Faldgruber, der skal undgås
Hvis I begår nedenstående fejl, når I skal håndtere dataforespørgsler, kan I blive pålagt bøder:
- I overser eller overser DSAR’er
- I kontrollerer ikke folks identitet
- I svarer ikke til tiden
- I spreder data til for mange medarbejdere og systemer, mens I behandler anmodningen
- I krypterer ikke dit svar
- I logger ikke jeres DSAR-svar for at påvise overholdelse
- I leverer de ønskede oplysninger til den forkerte person
- I inddrager andres personoplysninger i jeres svar
- I har ingen plan eller proces til at håndtere fremtidige DSAR’er
Dette kan I gøre for at håndtere dataforespørgsler korrekt
Det er begge dele lige ødelæggende for jeres virksomhed at forsømme DSAR’er eller håndtere dem forkert. Med så mange oplysninger om hver enkelt kunde spredt ud over flere systemer og medarbejdere er det nemt at begå fejl, når anmodninger behandles manuelt. Selv hvis I gør alting rigtigt, er det besværligt og dyrt at opfylde anmodninger manuelt.
Brug af en automatiseret løsning til at modtage og besvare anmodninger er den bedste måde at overholde reglerne om beskyttelse af personlige oplysninger på, spare tid og penge og undgå at udsætte data for lækager, mens I behandler dataanmodninger. Sådan en løsning kunne være en DSR-portal, som er en dedikeret portal til dataforespørgsler.
Den smarte måde at håndtere dataforspørgsler
Hos Safe Online har vi udviklet en DSR-portal, RequestManager, som automatiserer gør det nemt at håndtere anmodninger korrekt.
Jeg håber, at du blev klogere på, hvordan I kan håndtere dataforespørgsler i fremtiden.
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR