Kan ni hantera en begäran?

Kan ni hantera en begäran?

GDPR kräver att alla organisationer ger registrerade rättigheten att ta del av den personliga data man innehar om dem.

Individer kan be om detta genom att sända en begäran, vilken organisationen måste besvara genom att ge:

  • Ett svar på huruvida individens personliga data hanteras.
  • Access till deras personliga data.
  • Syftet med hanteringen och den lagliga grunden för denna hantering. 
  • Mottagare (eller kategorier av mottagare) till vilka den personliga datan har skickats eller kommer skickas.
  • Den tid som personuppgifterna kommer sparas.
  • Information att den registrerade har rätt att invända mot hanteringen, begära ändring av uppgifterna eller klaga till tillsynsmyndighet. 
  • Information om hur man fått personuppgifterna.
  • Information om automatiskt beslutsfattande, inkluderande profilering.

Data från alla källor
GDPR reglerar alla datakällor som är sökbara, inklusive ostrukturerad data, och går därför utanför enbart elektronisk hantering. GDPR förebygger därför situationer där lagen kan rundas genom att hantera uppgifterna på papper. Detta betyder att en begäran från en registrerad och inkluderar filer, e-postmeddelanden och fysiska dokument.

Du måste förstå vad som är en individ
Den personuppgiftansvarige skall veta vilka personuppgifter som hanteras om varje individ. Detta betyder att den registrerade inte har någon skyldighet att ge en uttömmande förteckning av alla personuppgifter som kan tänkas finnas. Istället räcker det att ge en verifierbar personuppgift, tex. ett personnummer, e-postadress eller telefonnummer. Det är den personuppgiftsansvarige som måste hitta alla andra personuppgifter som i kombination gör det möjligt att identifiera individen.  

Du kan inte ta betalt
I de allra flesta fallen måste organisationen svara på en begäran utan möjlighet att ta betalt. En möjlighet till täckande av administrativa kostnader finns enbart om begäran är orimlig eller repetitiv. När så skulle kunna vara fallet är inte fastställt av domstol ännu. Klart är dock att betalt aldrig kan utgå för kostnader som uppstår på grund av bristande interna rutiner eller dokumentation.

En månad för att svara
GDPR stadgar att organisationer skall behandla begäran skyndsamt och inom en månad. När begäran är komplex, kan denna tidsfrist förlängas till tre månader. Organisationen måste dock ge ett svar inom en månad tillsammans med en förklaring om varför förlängningen är nödvändig.  

Acceptera elektroniska förfrågningar
Det finns inga regler för hur en begäran ska ske. Individer kan därför säga ”Jag vill veta vilka personuppgifter ni har om mig” eller skicka begäran via e-post. Det är den personuppgiftsansvarige som är skyldig att verifiera identiteten hos den som gör begäran.

När begäran inkommer elektroniskt måste informationen levereras på ett vanligt använt filformat.

Röj inte andra
Filer och e-postmeddelanden innehåller nästan alltid personuppgifter från flera individer. Det är ett brott mot GDPR att lämna ut personuppgifter till annan än det berör. Detta betyder att alla dokument och filer som lämnas ut vid en begäran måste genom maskning, där andras personuppgifter tas bort.


HUR MAN FÖRBEREDER SIG

Skyldigheterna för personuppgiftsansvariga under GDPR placerar alla organisationer i riskzonen om man inte förberett sig för att hantera och leverera på begäran från registrerade. Även om organisationen kan hantera en enskild begäran måste man också utvärdera konsekvenserna av att missnöjda kunder/medborgare eller tidigare anställda inkommer med begäran vid samma tidpunkt. GDPR öppnar för Denial-of-services attacker.

Lösningen på detta är att vara förberedd.

Genom att göra en personuppgiftsinventering, som är obligatorisk enligt GDPR artikel 30, och därmed får kontroll över personuppgifterna, finns det ingen anledning att genomföra ett ad-hoc projekt vid varje inkommen begäran.

Istället ger en enkel sökning i inventerings metadata all relevant information, inkluderande syfte, hur länge uppgifterna sparas och legal grund för hanteringen.

En inventering skapar också automatiskt den registrerades individuella informationsmodell, där alla personuppgifter, även i kombination, som gör det möjligt att identifiera individen.

Inventeringen gör det också möjligt att maska och dölja andra individer då handlingar lämnas över, vilket helt tar bort en mycket tidskrävande manuell aktivitet.

Alla organisationer har problem att hantera en begäran inom en månad, men med en genomförd inventering kan den hanteras på ett par sekunder.