Hur man svarar på begäran om ämnesåtkomst

Bland de många rättigheter som GDPR (General Data Protection Regulation) ger den registrerade är rätten att till åtkomst till sina egna personuppgifter tillsammans med viss information om hur de behandlas.

Om din organisation behandlar personuppgifter förstår du då när denna rättighet gäller? Har du processer på plats för att säkerställa att du kan underlätta denna rättighet? Och vet du precis vilken information som du är skyldig att tillhandahålla – och när du kan vägra en förfrågan från en registrerad individ (SAR)?

Vad GDPR säger

Artikel 15 i förordningen förklarar att du, som kontrollant av data, behöver göra.

På förfrågan måste du bekräfta till den registrerade huruvida deras personuppgifter håller på att behandlas och, förse honom/henne med en kopia av personuppgiften (förutsatt att den inte påverkar andras rättigheter och friheter) tillsammans med följande information:

  • Ändamålet(en) med behandlingen.
  • Involverade kategorier av personuppgift.
  • Mottagarna (eller kategorier av mottagare) som du lämnar ut personuppgifterna till.
  • Den tid under vilken du avser att förvara personuppgiften (eller om detta inte är möjligt vilka kriterier du tillämpar för att bestämma denna tid).
  • Förekomsten av deras rättigheter att begära korrigering, borttagning eller begränsning eller för att avge invändningar mot behandlingen.
  • Rättigheten att lämna in ett klagomål hos tillsynsmyndighet.
  • Eventuellt tillgänglig information om personuppgiftens ursprung och den inte inhämtades från den registrerade själv.
  • Förekomsten av automatiserat beslutsfattande, inklusive profilering och meningsfull information om involverad logik samt betydelsen av de planerade konsekvenserna av behandlingen.

Om uppgifter överförs till ett tredje land eller internationell organisation har den registrerade även rätt att bli informerad om tillämpliga säkerhetsåtgärder i samband med överföringen (i enlighet med Artikel 46).

Avgifter

Du får inte debitera registrerad person vid utövandet av sina rättigheter om inte hans/hennes begäran är ”uppenbart ogrundade eller överdrivna” då du kan debitera en rimlig avgift för administrativa kostnader och för ytterligare kopior som begärts av samma person.

Vad du egentligen behöver göra

Själva GDPR förklarar inte vad en giltig ”SAR” är och därför kan de förekomma i alla möjliga former – inklusive muntlig. Förfrågningar behöver inte ställas till en specifik person eller kontakt och behöver inte ens innehålla fraser som ”förfrågan om åtkomst för en registrerad person”, enligt Artikel 15 i GDPR. Han/hon behöver bara be om sina personuppgifter.

Om du är en datakontrollant, kan det vara av betydelse att förklara en process för SARs så att alla anställda som får en förfrågan ser hur man ska hantera den – särskilt som du bara har en månad på dig för att svara på var och en. Utbilda din personal i hur man hanterar SARs är också en klok åtgärd.

 

Åtfölja SARs

GDPR Implementeringspaket tillhandahåller alla behövliga resurser och verktyg som du behöver för att kick-starta ditt GDPR efterlevnadsprojekt inklusive GDPR verktygssats för dokumentering.

Den innehåller en komplett uppsättning av lättanvända dokumenteringsmallar inklusive en anpassningsbar SAR blankett och rutin.

Beställ nu och spara 10% >>

Leave a Reply

Your e-mail address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.