Simpel guide til håndtering af indsigtsforespørgsel

Lidt om indsigtsret og en nem 1-2-3 guide

Antallet af indberetning af brud på GDPR stiger støt. Vi kan nu konstatere, at mere end 5.000 indberetninger i DK har fundet sted det første år. Ser vi på 2018 alene var det 3.100 indberetninger. Langt under de 15.400 i Holland, men alligevel en del.

Hvordan håndterer du egentlig en indsigtsanmodning? Dem der nu har prøvet det, ved godt hvad der skal ske. I hvert fald til næste gang. Men alle jer der endnu ikke har været udsat for en anmodning fra en tidligere ansat, en kunde i jeres webshop eller andre, har noget i vente. Det er derfor en god idé, at være beredt.

Det er heldigvis ikke raketvidenskab. Datatilsynet har naturligvis formuleret en vejledning, der er så blød i kanterne, at det ikke nødvendigvis for almindelige mennesker, kan omsættes til pragmatik. Men det kan deres skabeloner - de er tilpas nemme og alligevel grundige.

Jeg giver dig derfor en kort guide her, som gør det muligt for dig og din virksomhed - lille som stor, at besvare en henvendelse.

1. Når din virksomhed modtager en henvendelse, skal du på forhånd have udpeget hvem der skal være ansvarlig for behandling af henvendelsen. Brug gerne en dedikeret e-mail adresse til formålet som f.eks. persondata@virksomhed.dk

2. Start med at besvare mailen med en bekræftelse og at du ønsker en mere klar identifikation af afsenderen. Bed om information, som kun afsenderen kan kende til. Er det en tidligere medarbejder, kan et medarbejdernummer samt en nyligt billede af vedkommende bruges. Er det en webshop-kunde kan kundenummer samt f.eks. en kopi af seneste faktura være en mulighed.

Husk at kommunikere via en krypteret forbindelse! Måske du har mulighed for at benytte en tredjeparts Sikker Post løsning, Outlook kryptering eller andet.

3. Når afsenderen henvender sig igen med fornøden dokumentation, skal du besvare med hvilke typer af data, som du ligger inde med. Vi fortsætter med eksemplet med en tidligere medarbejder, der er fratrådt for 3 år siden.

Anvend gerne denne standardskabelon fra Datatilsynet for besvarelse. Den sikrer den rette oplysningspligt, og hjælper dig samtidig til, at komme hele vejen omkring.

Du har sandsynligvis allerede gjort din Artikel 30 registrering (selve databehandlingsdokumentationen for hvilken behandling virksomheden foretager, formål, opbevaringsperiode, lovhjemmel etc.). Her kan du finde frem til, hvor du har informationer om tidligere medarbejdere. Typisk en personalemappe der indeholder en kopi af ansættelseskontrakten, kopi af timesedler, lønsedler etc.

4. I skabelonen fra Datatilsynet fylder du nu informationer i om hvilke data virksomheden ligger inde med. Og nu er det altså vigtigt - du skal være ærlig! Så har du dokumenteret og tidligere oplyst dine medarbejdere om, at I gemmer timesedler i 24 måneder, men her efter 36 måneder stadig har kopier liggende. Ja, så SKAL du altså oplyse dette. Bagefter kan du så få dem slettet/makuleret hurtigst muligt.

5. Du skal sikre dokumentationen i et maskinlæsbart format. Det kan f.eks. være PDF filer. Har du derfor fysiske timesedler liggende, skal de scannes og gemmes som PDF, som du vedlægger til afsenderen.

6. Send den samlede information til afsender og afvent evt. videre forløb.

Du har i første omgang 14 dage, til at besvare henvendelsen.

Test om dit beredskab virker, ved at bede en tidligere ansat henvende sig med en forespørgsel eller simuler en reel forespørgsel på anden vis. Dokumenter dit beredskab i en skriftlig procedure.

Ovenstående er en simpel tilgang, men klarer jobbet.

Anvender du Compliance Manager fra mine gode venner ved Improvento, har du allerede adgang til de skabeloner, som du skal bruge til formålet.

Skal du have hjælp til at have ovenstående beredskab på plads, er du meget velkommen til at henvende dig.