Hvordan at svare på registreredes anmodning om adgang

Blandt de mange rettigheder,  som GDPR (databeskyttelsesforordningen) giver berørte parter, er rettigheden til at have tilgang til deres persondata samt til bestemte inforrmationer om, hvordan de forarbejdes.

Hvis din organisation forarbejder persondata, forstår du så, hvornår retten til adgang gælder? Har du processer på plads, som sikrer, at du kan muliggøre denne rettighed? Og ved du nøjagtigt, hvilken information du er forpligtet til at give – og hvornår du kan afvise en SAR (anmodning fra berørt part)?

GDPR siger

Paragraf 15 af forordningen forklarer, hvad du som datakontrollør skal gøre.

Efter anmodning skal du bekræfte overfor berørte parter, om deres persondata forarbejdes og, når det forarbejdes, give dem en kopi af de persondata (forudsat det ikke har en ugunstig indvirkning på andres rettigheder og frihed) samt de følgende informationer:

  • Formålet/-ene med forarbejningen;
  • De involverede kategorier af persondata.
  • Modtagerne (eller kategorierne af modtagere), som du giver persondataen til.
  • Det tidsrum, som du planlægger at opbevare persondataen i (eller, hvis det ikke er muligt, kriterierne for at bestemme det tidsrum).
  • Eksistensen af deres rettighed til at anmode om berigtigelse, sletning eller begrænsning eller gøre indsigelse imod bearbejdningen.
  • Deres ret til at klage hos en tilsynsmyndighed.
  • Enhver disponibel information om kilden til dataen, hvis du ikke samlede det direkte fra den berørte part.
  • Eksistensen af automatiseret beslutningstagning, inklusive profilering og betydningsfuld information om den involverede logik samt betydningen og de planlagte konsekvenser af bearbejdningen.

Når data oversendes til et tredje land eller international organisation skal berørte parter også have ret til at blive informeret om de hensigtsmæssige sikkerhedsforanstaltninger vedrørende oversendelsen (i henhold til paragraf 46).

Gebyrer

Du afkræver måske ikke berørte parter et gebyr for at udøve disse rettigheder, med mindre deres anmodning er “åbenlyst uden grundlag eller overdreven”, men du kan afkræve et rimeligt gebyr for administrative omkostninger og yderligere kopier, som den samme berørte part har anmodet om.

Hvad du rent praktisk er nødt til at gøre

GDPR forklarer ikke, hvad en gyldig SAR er, så de kan have enhvert format – inklusive mundtligt. Anmodninger behøver ikke at være rettet til en bestemt person eller kontakt og behøver ikke engang at indeholde formuleringerne “berørt parts anmodning”, “paragraf 15” eller “GDPR”. De skal bare bede om deres persondata.

Hvis du er en data controller, er det derfor det værd at definere en proces for SAR’er, så enhver medarbejder, som modtager en, ved hvad vedkommende skal gøre – især da du kun har en måned til at besvare hver og en. Det er også fornuftigt at træne dine medarbejdere i at håndtere SAR’er.

At være konform med SAR’er

 

Implementeringspakken  forsyner dig med alle de ressourcer og værktøjer, som du har brug for at sparke dit GDPR konformitetsprojekt i gang inklusive værktøjskassen for GDPR-dokumentation.

Den indeholder et komplet sæt af nemt anvendelige dokumentationsskabeloner, inklusive en brugerdefinerbar SAR formular og procedure.

Bestil nu og spar 10%  >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.