Hvad er en indsigtsanmodning?

Blog
I henhold til GDPR har enkeltpersoner ret til at vide, hvilke oplysninger din organisation opbevarer om dem. Denne ret kan udøves gennem en indsigtsanmodning fra den registrerede. Men hvordan håndterer din organisation indsigtsanmodninger? Her giver vi dig en gennemgang af, hvordan det fungerer.
Indhold

Virksomheder og organisationer behandler og opbevarer stigende mængder data. Især på helt almindelige personer.

I din databeholdning finder du sandsynligvis data om tidligere medarbejdere, kunder, kundeemner eller andre personer, der er – eller på et tidspunkt har været – registreret i din database.

En af de ting, som GDPR blev sat i verden for, var at give EU-borgere øget kontrol over deres data. I henhold til GDPR har enkeltpersoner ret til at vide, hvilke oplysninger din organisation har om dem.

Det betyder at individer har ret til at indsende en indsigtsanmodning til din organisation.

Men hvad er en indsigtsanmodning egentlig?

Hvad er en indsigtsanmodning?

GDPR giver EU-borgere otte rettigheder som datasubjekter – en af dem er retten til indsigt. Dette giver enhver person (den registrerede) adgang til de data, som en given organisation har om dem.

Retten til indsigt er ikke et helt nyt koncept, men GDPR har udvidet omfanget af denne ret. GDPR har gjort det lettere for enkeltpersoner at indsende indsigtsanmodninger og indført nye, obligatoriske kategorier af oplysninger, som organisationer er forpligtet til at give.

Når din organisation modtager en indsigtsanmodning, er du forpligtet til at give en kopi af alle de personfølsomme data, du opbevarer på den registrerede, herunder:

• Hvilke data organisationen har om dem
• Hvorfor organisationen har disse oplysninger
• Hvordan oplysningerne bruges
• Hvilke tredjeparter data deles med
• Kategorier af data
• Datakilde
• Opbevaringsperiode for data
• Oplysninger om deres GDPR-rettigheder

Kan alle indsende en indsigtsanmodning?

Stort set.

Enhver person, hvis data opbevares af en organisation, kan indsende en indsigtsanmodning. Du behøver ikke engang at angive noget specifik grundlag for at indsende din anmodning.

Selvom alle til enhver tid kan indsende en indsigtsanmodning, er der tilfælde, hvor organisationer kan nægte at efterkomme anmodningen:

  • Anmodningen er åbenbart grundløs
  • Anmodningen er overdreven

Hvordan indsender man en indsigtsanmodning?

En indsigtsanmodning kan indsendes skriftligt eller mundtligt via enhver kanal, til enhver person i en organisation. Du behøver altså hverken at ringe til en advokat eller udfylde formelt papirarbejde.

En indsigtsanmodning behøver ikke engang at blive betegnet som sådan eller nævne GDPR specifikt.

Derfor er det også ekstremt vigtigt at organisationer gør sig bekendt med den registreredes rettigheder, så de kan genkende indsigtsanmodninger og håndtere dem hensigtsmæssigt.

Hvordan skal man håndtere en indsigtsanmodning?

Når du modtager en indsigtsanmodning, skal du bekræfte identiteten på den person, der har indsendt anmodningen.

I henhold til betragtning 64 til GDPR skal du bruge “alle rimelige foranstaltninger” til at bekræfte identiteten på den person, der har indsendt anmodningen.

Hvad betyder det på almindeligt dansk?

Jo, det betyder, at du skal være opmærksom på, hvilke oplysninger du anmoder om for at identificere personen. Bed ikke om mere, end hvad der med rimelighed er nødvendigt for at bekræfte personens identitet.

Bed f.eks. ikke om formelle identifikationsdokumenter. I stedet kan du bekræfte den registreredes identitet via e-mail eller fotoidentifikation.

Er der en svarfrist på en indsigtsanmodning?

Ja!

Når du modtager en indsigtsanmodning, er du forpligtet til at besvare den inden for en måned.

Der er dog tilfælde, hvor denne svarfrist kan forlænges. svarfristen kan forlænges med to måneder hvis:

  • Amodningen er kompleks
  • Personen har insendt flere anmodninger til organisationen

Hvis du vælger at forlænge svarfristen, er du forpligtet til at give personen besked inden for den oprindelige 1-måneds svarfrist.

Kan vi vælge ikke at reagere?

Sagtens. Men det er ikke en tilgang vi vil anbefale.

Og i de fleste tilfælde skal du nok forvente et besøg fra de lokale databeskyttelsesmyndigheder.

Som nævnt ovenfor er der visse undtagelser, som gør at man kan nægte at efterkomme en indsigtsanmodning.

Hvis du beslutter dig for ikke at efterkomme en indsigtsanmodning, gør du klogt i at sikre dig at undtagelserne gør sig gældende i den akutelle sag, og at du kan forsvare beslutningen over for databeskyttelsesmyndighederne.

Desuden er du forpligtet til at underrette personen, der indsendte anmodningen om dine grunde til ikke at efterkomme deres anmodning. Yderligere skal du informere personen om deres ret til at indigve en klage til databeskyttelsesmyndighederne.

Bør du være bekymret for indsigtsanmodninger?

Det kommer an på et par ting.

Indsigtsanmodninger er meget almindelige. Det er den anmodning, som organisationer oftest modtager. Hvis du satser på ikke at få en henvendt din organisation, bør du nok genoverveje.

Men så længe du efterkommer indsigtsanmodninger – eller nægter på et gyldigt grundlag – har du intet at bekymre dig om.

Det, du bør bekymre dig om eller i det mindste overveje, er om dit databeskyttelsesprogram er gearet til at håndtere indsigtsanmodninger effektivt.

En indsigtsanmodning kan teknisk set indsendes via enhver form for kommunikation. E-mail, over telefonen, via brev, via sociale medier, mundtligt eller via en formular på en hjemmeside.

Det er mange kanaler at holde styr på.

Og når anmodningerne kommer ind, hvem reagerer så på dem?

Uanset hvem der har ansvaret for at GDPR overholdes, skal der gøres opmærksom på indsigtsanmodninger.

Det giver store risici for menneskelige fejl.

Måske ved den person, der modtager en indsigtsanmodning ikke hvad det er, de glemmer måske at underrette den korrekte medarbejder, eller måske bliver den tabt mellem to stole.

Det er ikke ideelt.

Selv når anmodninger håndteres korrekt, kan de stjæle enormt meget tid. Især hvis du ikke har et klart overblik over din databeholdning.

Hvordan løser man de her problemer?

Et ord: automatisering.

Ved at investere i et værktøj, der automatiserer dit databeskyttelsesprogram, kan du administrere indsigtsanmodninger mere effektivt og mindske risikoen for, at anmodninger bliver overset eller ignoreret.

På den måde kan du bruge mindre tid på at administrere indsigtsanmodninger, mens du overholder GDPR.

Hvor finder jeg sådan et værktøj?

Lige her hos Cookie Information.

Med Data Subject Request fra Cookie Information kan du nemt administrere alle dine indgående adgangsanmodninger.

Ikke flere mistede eller oversete anmodninger, da softwaren giver dig besked, når du modtager en ny indsigtsanmodning. Interfacen giver dig et klart overblik over alle indsigtsanmodninger.

Alt samlet ét sted!

Lad Cookie Information tage sig af alt det hårde arbejde med at finde den registreredes personfølsomme data.

Vores software reagerer automatisk på indgående indsigtsanmodninger og deler listen over identificerede data med den registrerede.

Data Subject Request

Besvar en indsigtsanmodning inden for svarfristen på 1 måned uden behov for at gennemgå tusindvis af filer og mapper manuelt. Automatisér din håndtering af indsigtsanmodninger.