Forestil dig, at din gamle kollega, Sally, ringer til dig. Hun vil have din virksomhed til at slette alt data, du har om hende. Al information om hende på tværs af alle systemer.
CPR-nummer, adresse, sundhedsjournaler, billeder etc. Alt sammen spredt ud over e-mails, glemte filer og mapper, lønsystemer og HR-platforme.
Og det er hun sin gode ret til at bede dig om.
Med den generelle databeskyttelsesforordning (GDPR) kan EU-borgere som Sally anmode en virksomhed om at slette alt data, de har om dem.
Men mange virksomheder har opdaget, at det er udfordringer ved at imødekomme sletteanmodninger.
Hvordan finder og sletter du alle Sallys data?
Her forklarer vi “Retten til at blive glemt”, og hvordan du besvarer en sletteanmodning uden at skulle bruge timer på at gennemgå endeløse mængder af dokumenter.
Hvad er Retten til at blive glemt?
Retten til at blive glemt (Artikel 17) er en af grundelementerne i den generelle databeskyttelsesforordning (GDPR).
Det er en menneskerettighed, som gælder for alle europæiske borgere. Den tillader personer at kræve deres personfølsomme data slettet fra enhver database eller opslagsværk.
Artikel 17 GDPR:
Ret til sletning (‘retten til at blive glemt’)
1. Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse (…)
Den Generelle Databeskyttelsesforordning Artikel 17
Det betyder, at enhver europæisk person, også betegnet som “den registrerede”, kan få fjernet deres personlige oplysninger fra en organisations systemer under visse omstændigheder.
Der kan være tale om alle former for personlige oplysninger såsom:
- Navn
- Adresse
- Telefonnummer
- CPR-nummer
- Sundhedsjournaler
- Straffeattester
- Fotografier og billeder
- Og andre typer af personlig data
Her er et eksempel:
Tænk tilbage på den morgen, hvor du ikke kunne møde ind på kontoret på grund af sygdom. Det er sandsynligt at du har sendt din leder en e-mail, hvori der står noget i stil med “Kære leder, jeg møder ikke ind i dag, da jeg har testet positiv for Covid-19”.
Oplysningerne om din positive Covid-test nu forbundet med dit navn og din e-mailadresse.
Oplysninger som denne betragtes som personlige oplysninger og er underlagt GDPR. Det er oplysninger som denne, som en person (den registrerede) kan anmode om at få slettet.
Hvis du modtager en anmodning om disse data (adgang) eller en anmodning om at slette dem (sletning/glemt), er du forpligtet til at finde disse data og slette dem.
Du er dog ikke altid forpligtet til at imødekomme anmodningen om at blive glemt, hvis data falder under “visse omstændigheder”
I hvilke tilfælde gælder "Retten til at blive glemt"?
“Retten til at blive glemt” gælder kun:
- Når oplysningerne ikke længere er nødvendige for at opfylde det formål, hvortil de oprindeligt blev indsamlet eller behandlet.
- Når den registrerede trækker sit samtykke til indsamling eller behandling af personoplysninger tilbage.
- Når den registrerede fremsætter en legitim indsigelse mod, hvordan personoplysningerne indsamles eller behandles.
- Når det fastslås, at oplysningerne er blevet indsamlet eller behandlet ulovligt.
- Når data er underlagt GDPR Artikel 8 (betingelser om personlige data vedrørende børn).
Som du sikkert kan forestille dig, kan det medføre en masse udgifter for organisationer at reagere på og imødekomme “Retten til at blive glemt”.
Alene det at skulle finde alle relevante, personlige data manuelt kan være en utrolig tidskrævende, kaotisk og omkostningsfuld opgave.
Men hvad sker der, når du modtager en sletteanmodning fra den registrerede?
“Jeg har modtaget en sletteanmodning” – hvad nu?
"Jeg har modtaget en sletteanmodning"
– hvad nu?
Dette er et scenarie, mange organisationer frygter, på trods af at de har implementeret velskrevne politikker.
Du har muligvis brugt de første par år med GDPR på at formalisere processer, procedurer og udvikle dokumentation i tilfælde af tilsyn fra de lokale databeskyttelsesmyndigheder.
Men et stigende antal GDPR-professionelle indser nu, at de procedurer, der tilsyneladende var gennemtænkte for to år siden, ikke nødvendigvis fungerer i praksis i dag.
Sådan ser en anmodning fra den registrerede normalt ud fra start til slut.
Processen for en sletteanmodning - retten til at blive glemt
Din organisation modtager en anmodning fra den registrerede, ofte via e-mail.
Når anmodningen er modtaget, skal du først bekræfte identiteten på den person, der anmoder om data (den registrerede). Dette er for at sikre, at den registrerede er legitim, og at det ikke er den registreredes ven fra gymnasiet, der udøver “Retten til at blive glemt” på vegne af den registrerede.
Efter validering af anmodningen kommer det hårde arbejde; processen i at finde, indsamle og evaluere alle personlige data vedrørende den registrerede.
Og det er her, at det bliver tydeligt hvorfor det er omstændigt at sætte sin lid til manuelle processer. I praksis er det, der sker, at du koordinerer med alle relevante afdelinger for at gennemse gamle filer, e-mails, præsentationer, kontrakter osv. og gør følgende:
- Identificer om filen/e-mailen indeholder personoplysninger om den registrerede
- Vurder om filen/e-mailen skal slettes fuldstændigt, om den registrerede skal anonymiseres, eller der ikke skal foretages nogen handling
- Noter det i et Excel-ark til sporings- og dokumentationsformål
Men lad mig stoppe dig der. Forestil dig, hvor meget arbejde den proces kræver!
Forestil dig at gøre alt det i hånden. Manuelt! At gennemgå hundredvis (hvis ikke tusindvis) af filer og mapper, e-mails og fotos for at finde – og klassificere – alle tænkelige former for personlig information.
Hvis tanken om det får dig til at svede, så frygt ej. Der er en meget enklere metode.
Hvordan man imødekommer Retten til at blive glemt uden alt det manuelle arbejde! Automatisering!
Dagene brugt på at gennemgå filer og mapper manuelt er forbi.
Farvel til hårdt, manuelt arbejde, hej til automatisering.
Ja, den gode nyhed er at automatisering kan være til stor hjælp, når du skal svare på en anmodning fra den registrerede. En endnu bedre nyhed er at Data Subject Request fra Cookie Information kan automatisere op mod 80 % af dit DSR-arbejde, hvilket gør dit liv uendeligt meget nemmere.
Overvej eksemplet fra tidligere og spørg dig selv “vil jeg ikke hellere have en computer til at gøre alt det hårde arbejde for mig?”
Hvis dit svar er ja, så er du heldig.
Med Data Subject Request fra Cookie Information kan du strømline og automatisere hele DSR-processen fra start til slut.
Du kan ubesværet besvare en sletteanmodning.
Du skal blot indlejre den brugerdefinérbare formular på din hjemmeside og modtage alle anmodninger på ét centralt sted.
Når en registreret indsender DSR, får de relevante personer i din organisation automatisk besked, så du aldrig overskrider en svarfrist igen.
Og endnu bedre, så slipper du helt for det manuelle arbejde, der er forbundet med at finde og indsamle personoplysninger relateret til den registrerede.
Med blot et par klik klarer platformen automatisk al identifikation og indsamling for dig. Dette hjælper med at reducere kritiske smertepunkter og vigtigst af alt, det giver dig mulighed for at læne dig tilbage og hvile trygt i, at du besvarer enhver given indsigts- eller sletteanmodning uden unødig forsinkelse.
Tilmeld dig og sæt dine DSR’er på autopilot på få minutter.
Data Subject Request
Besvar indsigts- og sletteanmodninger inden for den obligatoriske 1-måneds svarfrist uden selv at gennemgå tusindvis af filer og mapper. Automatisér din DSR-proces.
