Antallet af indberetning af brud på GDPR stiger støt. Vi kan nu konstatere, at mere end 5.000 indberetninger i DK har fundet sted det første år. Ser vi på 2018 alene var det 3.100 indberetninger. Langt under de 15.400 i Holland, men alligevel en del.
Hvordan håndterer du egentlig en indsigtsanmodning? Dem, der nu har prøvet det, ved godt, hvad der skal ske. I hvert fald til næste gang. Men alle jer, der endnu ikke har været udsat for en anmodning fra en tidligere ansat, en kunde i jeres webshop eller andre, har noget i vente. Det er derfor en god idé at være beredt.
Det er heldigvis ikke raketvidenskab. Datatilsynet har naturligvis formuleret en vejledning, der er så blød i kanterne, at det ikke nødvendigvis for almindelige mennesker kan omsættes til pragmatik. Men det kan deres skabeloner – de er tilpas nemme og alligevel grundige.
Vi giver dig derfor en kort guide her, som gør det muligt for dig og din virksomhed – lille som stor – at besvare en henvendelse.
- Når din virksomhed modtager en henvendelse, skal du på forhånd have udpeget, hvem der skal være ansvarlig for behandling af henvendelsen. Brug gerne en dedikeret e-mail adresse til formålet som f.eks. persondata@virksomhed.dk
- Start med at besvare mailen med en bekræftelse og at du ønsker en mere klar identifikation af afsenderen. Bed om information, som kun afsenderen kan kende til. Er det en tidligere medarbejder, kan et medarbejdernummer samt et nyligt billede af vedkommende bruges. Er det en webshop-kunde kan kundenummer samt f.eks. en kopi af seneste faktura være en mulighed. Bed ikke om mere end nødvendigt, men nok til at du er sikker på identiteten på den person, der henvender sig. Ring evt. vedkommende op.
Husk at kommunikere via en krypteret forbindelse. Måske du har mulighed for at benytte en tredjepartsløsning som eksempelvis Sikker Post, Outlook-kryptering eller andet.
- Når afsenderen henvender sig igen med fornøden dokumentation, skal du besvare med hvilke typer af data, som du ligger inde med. Vi fortsætter med eksemplet med en tidligere medarbejder, der er fratrådt for 3 år siden.
Anvend gerne denne standardskabelon https://www.datatilsynet.dk/media/6889/bilag_a_og_b_-_skabeloner_til_oplysningspligt_og_indsigtsret.docx fra Datatilsynet for besvarelse. Den sikrer den rette oplysningspligt, og hjælper dig samtidig til, at komme hele vejen omkring.
Du har sandsynligvis allerede udarbejdet din artikel 30-fortegnelse (selve databahendlingsdokumentationen for hvilken behandling virksomheden foretager, formål, opbevaringsperiode, lovhjemmel etc.). Her kan du finde frem til, hvor du har informationer om tidligere medarbejdere. Typisk en personalemappe der indeholder en kopi af ansættelseskontrakten, kopi af timesedler, lønsedler etc.
- I skabelonen fra Datatilsynet fylder du nu informationer i om, hvilke data virksomheden ligger inde med. Og nu er det altså vigtigt – du skal være ærlig! Så har du dokumenteret og tidligere oplyst dine medarbejdere om, at I gemmer timesedler i 24 måneder, men her efter 36 måneder stadig har kopier liggende. Ja, så SKAL du altså oplyse dette. Bagefter kan du så få dem slettet/makuleret hurtigst muligt.
- Du skal sikre dokumentationen i et maskinlæsbart format. Det kan f.eks. være PDF-filer. Har du derfor fysiske timesedler liggende, skal de scannes og gemmes som PDF, som du vedlægger til modtageren.
- Send den samlede information til afsender og afvent evt. videre forløb.
Du har i første omgang en måned til at besvare henvendelsen. Dog skal det helst ske uden unødig forsinkelse.
Ovenstående er en simpel tilgang, men klarer jobbet.
Skal du have hjælp til at have ovenstående beredskab på plads – såvel skabeloner, procedure som teknisk implementering af sikker kommunikationsløsning – er du meget velkommen til at henvende dig.