Skip to main content

Lær hvordan I håndterer dataforespørgsler om aktindsigt

Definition af forespørgsler om aktindsigt for personer (DSAR)

Anmodninger om aktindsigt er anmodninger, som en person kan rette til en organisation (den dataansvarlige) vedrørende sine personoplysninger.

Vi vil også bruge udtrykkene “dataanmodning” og “anmodning om beskyttelse af personlige oplysninger”, når vi taler om de forskellige anmodninger, som folk kan fremsætte for at udøve deres rettigheder i henhold til GDPR og andre globale databeskyttelseslove.

Typer af anmodninger om aktindsigt

Anmodninger om dataadgang kan potentielt komme fra kunder, kundeemner, partnere, sælgere, medarbejdere – alle, du har haft med at gøre i din virksomhed at gøre. Reglerne om beskyttelse af personlige oplysninger gør det meget nemt for folk at fremsætte sådanne anmodninger, og det er din virksomhed, der har ansvaret for at spore og besvare dem.

Nogen kan simpelthen spørge om deres data i en e-mail eller endda i en chatboks og sige noget i stil med:

“Vær venlig at slette mine data.”

“Jeg vil gerne vide, hvilke personlige oplysninger du har om mig.”

“Jeg skifter [insurance providers/suppliers/etc.], vær venlig at sende alle mine personlige oplysninger til _____.”

Ovenstående anmodninger kan virke tilfældige, men de er alle officielle og gyldige DSAR’er, og din virksomhed er forpligtet til at svare formelt på dem inden for en bestemt periode (normalt 30 dage).

Hvordan kan du sikre dig, at du aldrig går glip af en anmodning?

  1. Indret en anmodningsportal på dit websted for at organisere og spore indkommende anmodninger automatisk.
  2. Lær at genkende forskellige typer af dataanmodninger, der betragtes som juridisk bindende.

De anmodninger, som din virksomhed skal svare på, omfatter:

Anmodninger om indsigt

En person kan spørge jer, hvordan hans eller hendes data indsamles, bruges og opbevares, og om de bliver delt.

Anmodninger om adgang

En person kan bede jer om en fuldstændig kopi af alle de data, I gemmer om vedkommende.

Anmodninger om berigtigelse

En person kan bede jer om at foretage ændringer eller rette fejl i sine data.

transfer

Overførsler (dataportabilitet)

En person kan bede jer om at overføre sine oplysninger til en anden virksomhed eller en anden tredjepart.

Anmodninger om sletning

En person kan anmode om at blive “glemt”, og i så fald skal I slette alle hans eller hendes oplysninger.

Limit processing

Anmodninger om at begrænse behandlingen

En person kan bede jer om at begrænse, hvad I gør med deres data på en bestemt måde.

Anmodninger om opt-out/indsigelse

CCPA giver folk mulighed for at “fravælge”, hvilket forhindrer jer i at sælge deres data. De fleste love giver folk mulighed for at gøre indsigelse mod andre anvendelser af deres data.

Sådan håndteres DSAR'er

Hver gang en person indsender en DSAR, skal I svare på den hurtigt, normalt inden for 30 dage. Det kan være en stor belastning for jeres virksomheds ressourcer og tage tid, penge og opmærksomhed fra andre projekter.

Lad os se på, hvad I kan gøre for at gøre hele dataanmodningsprocessen mere smidig, fra start til slut. Her er en trin-for-trin-guide med bedste praksis for håndtering af DSAR’er:

Saml alle anmodninger ét sted

Reglerne om beskyttelse af privatlivets fred angiver ikke, hvordan anmodninger skal fremsættes. Hvis I vil undgå at skulle besvare forespørgsler via telefon, e-mail, DM osv., skal I oprette et standardsted på jeres websted, hvor folk kan sende forespørgsler. Vi foreslår, at I tilføjer et link til jeres politik om beskyttelse af personlige oplysninger.

Log hver enkelt anmodning, du modtager

Hold styr på alle de anmodninger, I modtager, og noter, hvornår de skal indgives, og hvem der skal svare på dem. Det vil hjælpe jer med at reagere til tiden og påvise over for myndighederne, at I overholder reglerne.

Verificere anmelderens identitet

I skal sikre jer, at I kun sender personoplysninger til deres rette ejer. Stop svindel og identitetstyveri ved at kontrollere hver enkelt anmodningers identitet først og fremmest, før I går videre.

Underret personen om, at I har modtaget deres anmodning

Bekræft anmodningen med et kort svar, der forklarer, hvordan I vil svare og hvornår. Dette indledende svar er en god praksis for at opbygge tillid og er påkrævet i henhold til nogle bestemmelser. CCPA kræver f.eks., at I bekræfter modtagelsen af anmodninger inden for 10 arbejdsdage.

Opsæt påmindelser til jeres team om at svare til tiden

Hvis man ikke reagerer rettidigt på anmodninger om data, medfører det dyre bøder og brandskader, som det er svært at komme sig over. Antagelsen er, at hvis jeres svar ikke er umiddelbart tilgængeligt, har I måske noget at skjule. Sørg for, at den/de udpegede person(er) ved, hvornår anmodningen skal indgives.

Find og sorter personens data for at forberede jeres svar

Find og organiser alle de personlige oplysninger, I gemmer om den person, der har anmodet om oplysninger. Det er en tidskrævende og risikabel proces, hvis den udføres manuelt; hvis dataene spredes rundt til for mange systemer og teammedlemmer, kan de risikere at blive brudt.

Eksporter dataene i det rigtige format

Hvis data skal sendes tilbage til den, der har anmodet om dem, eller hvis de skal videresendes til en tredjepart, bør I sende dem i et almindeligt anvendt, maskinlæsbart format.

Slet data grundigt

Når I får en anmodning om at blive “glemt” eller slette en persons data, skal I identificere og slette den pågældende persons data på tværs af alle systemer og medarbejdere OG alle tredjepartsleverandører og partnere, som de personlige oplysninger er blevet delt med.

Faldgruber, der skal undgås

Hvis I begår nedenstående DSAR-fejl, kan I blive pålagt bøder:

  • I overser eller overser DSAR’er
  • I kontrollerer ikke folks identitet
  • I svarer ikke til tiden
  • I spreder data til for mange medarbejdere og systemer, mens I behandler anmodningen
  • I krypterer ikke dit svar
  • I logger ikke jeres DSAR-svar for at påvise overholdelse
  • I leverer de ønskede oplysninger til den forkerte person
  • I inddrager andres personoplysninger i jeres svar
  • I har ingen plan eller proces til at håndtere fremtidige DSAR’er

Dette kan I gøre

Det er begge dele lige ødelæggende for din virksomhed at forsømme DSAR’er eller håndtere dem forkert.

Med så mange oplysninger om hver enkelt kunde spredt ud over flere systemer og medarbejdere er det nemt at begå fejl, når anmodninger behandles manuelt.

Selv hvis du gør alting rigtigt, er det besværligt og dyrt at opfylde anmodninger manuelt.

En britisk analyse fra Data Privacy Group viser, at virksomheder nu i gennemsnit får seks DSAR’er om måneden, og nogle virksomheder får op til 28 anmodninger om måneden. Med en værdi på ca. 1.000 £ pr. anmodning løber det hurtigt op i et beløb på mellem 72.000 £ og 336.000 £ pr. virksomhed pr. år.

Brug af en automatiseret løsning til at modtage og besvare anmodninger er den bedste måde at overholde reglerne om beskyttelse af personlige oplysninger på, spare tid og penge og undgå at udsætte data for lækager, mens du behandler anmodninger om adgang til data.

Vores RequestManager automatiserer den bedste praksis, som vi har nævnt ovenfor, og gør det nemt for dig at håndtere anmodninger om adgang til data på korrekt vis. Sammen med DataMapper til dataopdagelse får du den hurtigste og nemmeste måde at håndtere dataforespørgsler på.

Our Request Manager helps you track and respond to data privacy requests (DSARs) on time to ensure compliance with privacy regulations.
  • Saml alle anmodninger på ét sted
  • Log hver enkelt anmodning, du modtager
  • Kontrollere alle anmodningers identitet
  • Meddel hver enkelt person, at du har modtaget deres anmodning
  • Mind de tildelte medarbejdere om at påbegynde arbejdet med anmodningen
  • Find og sorter data, så de er klar til at blive eksporteret, delt eller slettet
  • Eksporter data i et almindeligt anvendt, maskinlæsbart format
  • Mulighed for godkendelse med 4 øjne for at gennemgå svarene for nøjagtighed
  • Send de ønskede data sikkert med avanceret kryptering

Find data hurtigere

Tilføj DataMapper for hurtigere datafinding:

  • DataMapper finder personlige data på tværs af dine systemer
  • Data er beskyttet med nul-kendskabskryptering
  • Få vist en bestemt persons data med det samme
  • Eksport af data i et maskinlæsbart format

Sebastian Allerelli

Specialist i ledelse, risiko og GDPR