Persondataforordningen giver anledning til interne udfordringer, når forbrugernes rettigheder skal imødekommes. Artikel 15 – Den registreredes indsigtsret – er ingen undtagelse.
Men hvad indebærer retten til indsigt for din organisation, og hvordan behandler I effektivt anmodninger om indsigt i persondata på en en sikker måde, der overholder relevante krav i GDPR?
Hvad siger Artikel 15?
Artikel 15 i GDPR centrerer sig om den registreredes rettigheder vedrørende indsigt i egne personoplysninger. Når en person udøver denne ret, skal organisationen:
- bekræfte, om de behandler vedkommendes personoplysninger.
- give adgang til de personoplysninger, der behandles.
- oplyse om formålet med behandlingen af de aktuelle data.
- navngive modtagere eller kategorier af modtagere, som data er blevet eller vil blive delt med – særligt vigtigt er det med modtagere i tredjelande eller internationale organisationer.
- informere om, hvor længe personoplysningerne forventes opbevaret.
- gøre den registrerede opmærksom på rettighederne til berigtigelse, sletning eller begrænsning af behandlingen.
- informere om, hvordan personoplysningerne indsamles, hvis det ikke sker direkte fra den registrerede.
Hvis personoplysningerne overføres til et tredjeland eller en international organisation, har den registrerede desuden ret til at blive underrettet om de fornødne garantier i forbindelse med overførslen.
Anmodning om indsigt
Når en person udøver sin ret til indsigt, kan det være drevet af forskellige årsager. Det kan være en simpel nysgerrighed, en bekymring over, hvordan vedkommendes data behandles, eller et ønske om at sikre, at personlige oplysninger ikke misbruges eller opbevares unødigt. Uanset årsagen er det afgørende for organisationen at tage anmodningen alvorligt og reagere med den fornødne omhu.
I henhold til GDPR skal organisationen reagere uden unødig forsinkelse, og svaret skal gives inden for 4 uger fra modtagelsen af anmodningen. Er der tale om en kompleks sag, kan fristen forlænges med yderligere to måneder.
Hurtig og effektiv håndtering af en anmodning om indsigt er ikke kun et krav i henhold til GDPR, det er også en mulighed for organisationen til at opbygge og opretholde tillid med den registrerede.
Overholdelse af reglerne
Når din organisation modtager en anmodning om indsigt i henhold til Artikel 15, er det afgørende først at bekræfte identiteten af den person, der har fremsat anmodningen. Det skal gøres for at forhindre uautoriseret adgang til persondata, og bekræftelsen kan opnås gennem metoder som e-mailbekræftelse, log in-verifikation eller verifikationsspørgsmål.
Når identiteten er bekræftet, skal organisationen samle alle relevante data om vedkommende. Det er vigtigt, at disse data præsenteres på en klar og forståelig måde, så den registrerede nemt kan aflæse oplysningerne.
Når dataene er samlet og klar til at blive leveret, skal de overføres på en sikker måde, der beskytter mod uautoriseret adgang. Det kan indebære brug af krypterede forbindelser, sikre overførselsprotokoller og klare retningslinjer for, hvordan dataene skal håndteres.
