Data Subject Request og GDPR – den ultimative, korte guide

Blog
Ved du hvad du skal gøre når din virksomhed modtager en Data Subject Request? Har du en plan for hvordan du imødekommer anmodningen inden for fristen på en måned? Undgå GDPR-hovedpine, og brug denne ultimative, korte guide til at besvare en Data Subject Request i overenstemmelse med reglerne i GDPR.
Indhold

Uret begynder at tikke i det øjeblik, en Data Subject Request lander i din indbakke.

1 måned. Tik tak, tik tak.

Inden for den tidsramme skal du svare på en persons anmodning om hans eller hendes data.

Adgang, sletning, ændring eller enhver anden af de rettigheder, der er givet til personen vedrørende personlige data i henhold til GDPR.

Hvad gør du? Hvor starter du? Virker det håbløst? Det er det ikke.

Lad os se på, hvad en Data Subject Request er og hvordan du svarer på den inden for 1 måned.

Undgå GDPR-bøder og dårlig PR? Dette er din guide.

Hvad er en Data Subject Request i forhold til GDPR?

I bund og grund er en Data Subject Request blot en anmodning fra en person om at få indsigt i de personlige data, som en virksomhed har indsamlet og gemmer om personen.

I mere formelle termer er det en anmodning fra en registreret til en dataansvarlig om personoplysninger, der opbevares af den dataansvarlige eller en tredjepart.

Hvem er hvem – definitioner i GDPR:

  • Registreret – enhver person, der kan identificeres ved hjælp af personlige data.
  • Dataansvarlig – enhver, der bestemmer hvornår, hvorfor og hvordan man behandler personoplysninger.
  • Personlige data – enhver information, der kan identificere en person (eller kombineret med andre data), kan bruges til at identificere en person.

 

 

Din virksomhed er typisk den dataansvarlige.

Du indsamler, opbevarer og kan også bruge dataene til et eller andet formål.

Den “registrerede” person kan være enhver, for eksempel:

  • Dine kunder eller leads.
  • Forretningspartnere og samarbejdspartnere.
  • Ansatte eller tidligere ansatte.
  • Brugere af din hjemmeside eller app.
  • Enhver, som din virksomhed behandler data om.

Personlige data kan være rigtige mange forskellige slags data,  som kan føre til identifikation af en person.

Fra det åbenlyse:

  • Navn
  • Telefonnummer
  • Adresse
  • CPR-nummer
  • Billeder

Til mere følsomme personoplysninger:

  • Sundhedsjournaler
  • Religiøse synspunkter
  • Seksuel orientering
  • Politiske tilhørsforhold

Til det mere abstrakte:

  • IP-adresse
  • Enheds-id
  • Cookie-id
  • Geolokalisering
  • Profileringsdata

Databeskyttelsesforordningen (GDPR) er sat i søen for at give EU-borgere større kontrol over deres personlige data.

Det betyder, at en person kan anmode om adgang til hans eller hendes data (Data Subject Access Request), få at få data ændret eller slettet.

Lad os kigge på, hvilke rettigheder EU-borgere har, når det kommer til de data, du må have om dem.

8 datarettigheder som din virksomhed skal imødekomme

GDPR giver EU-borgere 8 rettigheder, som giver dem ret for at få adgang til, ændre eller slette personlige data, som en virksomhed har om dem.

Det betyder at dine kunder, partnere eller tidligere medarbejdere alle kan bede dig gøre noget bestemt med deres personlige data. Og den ret kommer altså fra GDPR.

Så lad os se lidt nærmere på, hvad det er for 8 rettigheder, du skal imødekomme:

8 data subject rights gdpr
EU-borgere er givet 8 "data subject" rettigheder i GDPR

1. Retten til at blive informeret (artikel 13 - GDPR)

Enhver har ret til at vide, hvilke personlige data din virksomhed indsamler om dem:

  • Hvilke data gemmer du om dem?
  • Hvorfor?
  • Hvor længe gemmer du dataene?
  • Hvem deler du data med?
  • Hvordan kan de anmode om adgang til det?

Som dataansvarlig skal du derfor altid kunne oplyse om:

  • Din virksomheds identitet og kontaktoplysninger (som dataansvarlig).
  • Formålene med databehandling.
  • Retsgrundlaget for databehandling.
  • Oplysninger om tredjepartsbehandlere.
  • Hvor længe du opbevarer dataene (opbevaringsperiode).
  • Den registreredes rettigheder (i henhold til GDPR).
  • Hvordan man indgiver en klage.
  • Om leveringen af personoplysninger er et lovbestemt eller kontraktligt krav.
  • Om I bruger automatiseret beslutningstagning, herunder profilering.

Alle disse oplysninger skal være tilgængelige i et let forståeligt sprog.

2. Retten til indsigt (artikel 15 - GDPR)

Alle har ret til at få adgang til de personlige data, som din virksomhed måtte have om dem.

Når en person indgiver en anmodning om adgang og indsigt i sine data (Data Subject Access Request – DSAR), er du forpligtet til at give dem en kopi af de personlige data, virksomheden har om dem.

Det omfatter:

  • Hvad formålet med databehandling er!
  • Hvilke kategorier af data virksomheden behandler.
  • Hvem deler virksomheden dataene med (tredjeparter/organisationer)
  • Hvor længe I opbevarer dataene.
  • Hvordan personen kan udøve sine GDPR-rettigheder (ret til sletning, berigtigelse osv.).
  • Hvordan personen indgiver en klage.
  • Hvorfra I har dataene fra (kilde).
  • Om I bruger automatiseret beslutningstagning, herunder profilering.

3. Retten til berigtigelse (artikel 16 - GDPR)

Retten til berigtigelse betyder blot, at enhver person har ret til at bede din virksomhed om at opdatere enhver forkert eller manglende information om dem.

Det er vigtigt at bemærke, at du har en måned til at rette eller opdatere forkerte data.

4. Ret til sletning/Retten til at blive glemt (artikel 17 - GDPR)

Enhver person har ret til at blive glemt af din virksomhed. Det kaldes retten til sletning. En person kan bede din virksomhed om at få deres personlige data slettet, hvis:

  • Der ikke længere er et nødvendigt formål med at opbevare dataene.
  • Personen trækker sit samtykke tilbage.
  • Data er blevet ulovligt behandlet.
  • Personen gør indsigelse mod behandlingen.
  • Personoplysningerne skal slettes for at overholde EU- eller national lovgivning.

Retten gælder kun for data indsamlet på tidspunktet for anmodningen.

Kan du afvise en anmodning om ret til sletning?

Ja, hvis behandling af data er nødvendig for:

  • At praktisere ytringsfrihed.
  • At overholde en juridisk forpligtelse.
  • Af hensyn til offentlighedens interesse eller offentlig myndighed.
  • Af hensyn til arkivering af offentlig interesse, videnskabelig forskning, statistiske formål eller historiske formål.
  • Etablering, udøvelse eller forsvar af juridiske krav.

Det betyder, at du skal efterkomme en persons anmodning om sletning af data, medmindre du kan bevise, at anmodningen falder ind under disse omstændigheder.

5. Retten til at begrænse behandling (artikel 18 - GDPR)

Enhver person kan anmode om, at du begrænser den måde, du bruger eller behandler hans eller hendes data på. Du er ikke forpligtet til at slette data, du skal blot stoppe med at behandle dem.

Når dataene er begrænset, kan du ikke behandle dem yderligere, medmindre personen giver samtykke til at lade dig behandle dem igen.

6. Retten til dataportabilitet (artikel 20 - GDPR)

Dataportabilitet betyder blot, at en person har ret til at få sine data leveret af den dataansvarlige (dig) i et struktureret, maskinlæsbart format, som kan overføres til en anden dataansvarlig.

Retten gælder kun for data, der:

  • Er opbevaret digitalt.
  • Er blevet givet af personen selv.
  • Er givet med samtykke.

Det kan også være:

  • Hjemmesidedata eller søgehistorik.
  • Trafik- og lokalitetsdata.
  • Rådata fra smarte målere/wearables (f.eks. fitnessapps).

7. Retten til indsigelse (artikel 21 - GDPR)

Alle har altid ret til at gøre indsigelse mod behandling af personoplysninger. Dette giver folk mulighed for at stoppe eller forhindre dig i at behandle deres personlige data.

Dette omfatter også databehandling for:

  • Offentlige interesser.
  • Udøvelse af offentlig myndighed.
  • Legitim interesse.
  • Direkte marketing.

Men hvad er personlige data, når de bruges til direkte markedsføringsformål?

En person kan også gøre indsigelse mod behandlingen af deres personoplysninger til brug for direkte markedsføring.

Dette omfatter enhver brug af dataene til profilering af personen.

Det betyder ikke, at du skal slette dataene, men bare stoppe med at behandle dem.

8. Retten i relation til automatiske individuelle afgørelser, herunder profilering

Enhver person har ret til at gøre indsigelse mod automatisk beslutningstagning og profilering.

Automatiseret individuel beslutningstagning er i bund og grund bare beslutninger truffet af computere (automatiseret) uden noget menneske har været involveret.

Det kan fx være (men ikke begrænset til):

  • Automatiserede beslutninger om lån.
  • Rekrutteringsvurderinger.
  • Programmatisk annoncering.

Automatiseret individuel beslutningstagning behøver ikke at involvere profilering, selvom det ofte gør.

Retten til at gøre indsigelse mod automatiseret beslutningstagning gælder kun for data givet med samtykke.

Hvilke informationer er du forpligtet til at give, når du modtager en Data Subject Request?

Det hele afhænger af, hvilken type anmodning din registrerede, dvs. den person, der anmoder om data, efterspørger.

Først og fremmest skal du bekræfte, at du behandler hans eller hendes personlige data.

Derefter bør du naturligvis imødekomme anmodningen, som personen fremsætter.

Hvis det er en indsigtsanmodning (DSAR), er du forpligtet til at sende en kopi af personens personlige data.

Det omfatter:

  • Formålet med behandling af personoplysninger.
  • Hvilke tredjeparter I deler data med.
  • De kategorier af personoplysninger, virksomheden behandler og opbevarer om personen.
  • Hvor dataene kommer fra (kilde).
  • Hvor længe I opbevarer dataene (opbevaringsperiode).
  • Information om automatiseret beslutningstagning og profilering.
  • Oplysninger om personens rettigheder (GDPR).

Hvis det er en anmodning om at gøre indsigelse mod behandling eller blive glemt, skal du finde personens personlige data i virksomhedens systemer.

Hvordan finder du personlige data i dine systemer?

Det kan være rigtigt besværligt at finde personlige data i virksomhedens systemer.

Dataene kan være spredt ud over mailprogrammer, HR-platforme, lønsystemer, hjemmeside og andre steder, som personen kan have interageret med.

Hvis du skal finde al den data selv, så tager det lang tid!

CPR-numre, adresser og telefonnumre kan være nemme nok, men at genkende personen på flere hundrede eller tusindvis af billeder i dine databaser?

Det er derfor, du skal automatisere dette arbejde.

Ja, du lader computeren finde de ønskede data. Helt automatisk. Og få det vist et centralt sted.

Så kan du læne dig tilbage og være sikker på, at du overholder fristen for at svare på anmodningen (1 måned).

Cookie Informations Data Subject Request automatiserer enhver anmodning, som du og din virksomhed modtager omkring opbevaring af personlige data.

Lad os se på et eksempel:

Anette plejede at arbejde i din virksomhed. Nu har hun bedt om at få dine personlige data slettet. Det vil sige, at den personlige data som virksomheden har indsamlet og gemt om hende over årene.

CPR nummer, løn- og bankoplysninger, telefonnummer og billeder hvor Anette også er med på.

Anette udnytter dermed sin ret til at blive glemt.

Du har nu 1 måned til at efterkomme denne anmodning.

I stedet for at gennemgå tusindvis af filer, mapper, gamle emails og billeder fra firmaets julefest, lader du maskinen håndtere anmodningen. Helt automatisk.

Cookie Informations Data Subject Request håndterer anmodningen og finder Anettes personlige data i de systemer, du har integreret (Outlook, HubSpot, Teams, Gmail osv.).

Hendes personlige data bliver derefter vist i platformen, så du nemt kan få overblik over dataene og imødekomme anmodningen.

Du imødekommer Anettes anmodning om at få slette sine data inden fristen på en måned udløber.

Undgå GDPR-bøder og dårlig PR.
Cookie Information håndterer alle dine Data Subject Requests. Hurtigt, effektivt og sikkert!

Data Subject Request

Imødekom en Data Subject Request inden for den lovpligtige svarfrist på en måned uden selv af skulle gennemgå tusindevis af filer. Automatiser hele processen.

FAQ

  • Hvad sker der, hvis jeg ikke svarer på en Data Subject Request-anmodning eller hvis jeg er i strid med “den registreredes” rettigheder?

Så kan personen (den registrerede) indgive en klage til Datatilsynet.

  • Hvem skal reagere på en Data Subject Request-anmodning i virksomheden?

Det afhænger af virksomhedens størrelse og struktur. Normalt håndterer en DPO (Data Protection Officer), en compliance manager eller en medarbejder fra den juridiske afdeling en Data Subject Request.

  • Hvor lang tid har jeg til at svare på en Data Subject Request?

Du har 1 måned til at svare på en Data Subject Request! Det er i henhold til artikel 12(3) i GDPR.-

Fristen kan forlænges med to måneder, hvis anmodningen er kompleks eller hvis din virksomhed har modtaget flere anmodninger fra samme person. Den person, der fremsætter anmodningen, skal underrettes om forlængelsen.

  • Kan jeg et gebyr for at lave en Data Subject Request?

Du må ikke opkræve et gebyr, medmindre anmodningen er:

  • ubegrundet
  • overdreven

Gebyret er i dette tilfælde beregnet til at dække administrative omkostninger og må aldrig anvendes for at skabe profit.

  • Kan jeg afslå en Data Subject Request?

Kun under visse betingelser kan du afslå en Data Subject Request-anmodning.

Du skal give personen (den registrerede) en begrundelse for afslaget, hvordan personen kan klage til Datatilsynet og hvilke juridiske krav personen har.