UDARBEJDE SKRIFTLIGE PROCEDURER
Skriftlige procedurer til beskyttelse af registreredes rettigheder
Det er nyttigt for virksomheder at indføre skriftlige procedurer for at opfylde de registreredes rettigheder i henhold til GDPR.
Procedurer er en god måde at påvise overholdelse af GDPR på
Virksomhederne skal kunne påvise overholdelse af GDPR-reglerne, og det er derfor hensigtsmæssigt at have visse GDPR-relaterede kontrakter og dokumenter.
F.eks. forskellige rutiner. Desuden kan skriftlige procedurer gøre personalets arbejde mere effektivt og mindske fejltagelser, da det bliver klarere, hvordan og hvem der skal gøre hvad.
Otte (8) registreredes grundlæggende rettigheder i henhold til GDPR
I henhold til GDPR har registrerede bl.a. ret til:
Oplysninger (artikel 13 i GDPR og artikel 14 i GDPR)
Som hovedregel skal virksomhederne underrette de registrerede, inden behandlingen af personoplysninger finder sted. Oplysninger om behandlingen gives også efter anmodning fra den registrerede. Oplysningerne er normalt indeholdt i en meddelelse om databeskyttelse.
Adgang (artikel 15 i GDPR)
Registrerede har ret til at vide, hvilke af deres personoplysninger der behandles af en virksomhed, og til at anmode om en kopi heraf. Desuden skal virksomheden give oplysninger om behandlingen, f.eks. formålet med behandlingen, behandlingens varighed, de registreredes rettigheder osv.
Berigtigelse (artikel 16 i GDPR)
Virksomhederne skal behandle korrekte og fuldstændige personoplysninger, men det er ikke ualmindeligt, at ukorrekte personoplysninger behandles. Hvis en registreret f.eks. ændrer sit telefonnummer, og virksomheden ikke ajourfører det. Hvis personen kontakter virksomheden for at få sine personoplysninger rettet eller suppleret, skal virksomheden gøre dette.
Sletning (artikel 17 i GDPR)
Registrerede har ret til at kontakte virksomheder for at få deres personoplysninger slettet. Denne ret kaldes også "retten til at blive glemt". I de fleste tilfælde skal virksomheden gøre dette, men der er visse undtagelser fra sletning. Hvis virksomheden f.eks. skal fortsætte behandlingen af personoplysningerne for at opfylde en retlig forpligtelse.
Begrænsning (artikel 18 i GDPR)
Der er situationer, hvor registrerede har ret til at få deres personoplysninger behandlet begrænset. Mens en enhed f.eks. er i færd med at undersøge rigtigheden af personoplysninger, når den registrerede har anmodet om berigtigelse.
Dataportabilitet (artikel 20 i GDPR)
Retten til dataportabilitet betyder, at registrerede i nogle tilfælde har ret til at få deres personoplysninger overført til en anden dataansvarlig, f.eks. en konkurrent. Bemærk, at virksomhederne kun behøver at gøre dette, hvis det er teknisk muligt, behandlingen er automatiseret og baseret på kontrakt eller samtykke som retsgrundlag.
Indsigelse (artikel 21 i GDPR)
Registrerede har ret til at gøre indsigelse mod behandling, hvis retsgrundlaget er en legitim interesse, som henhører under offentlig myndighedsudøvelse eller udførelse af en opgave i samfundets interesse. En registreret kan f.eks. anmode en virksomhed om at ophøre med direkte markedsføring pr. e-mail på grundlag af en legitim interesse.
Automatiske afgørelser, herunder profilering (artikel 22 i GDPR)
Automatiske afgørelser i henhold til GDPR er, når en afgørelse træffes uden personlig kontakt eller indflydelse. Registrerede har ret til ikke at være genstand for automatiske afgørelser, der har retsvirkninger for dem. Hvis den registrerede har givet udtrykkeligt samtykke, eller den automatiske afgørelse er nødvendig for opfyldelsen af en kontrakt, er gennemførelsen af afgørelsen tilladt.
Bemærk, at der er endnu flere rettigheder i GDPR end disse otte (8), som er de mest grundlæggende. F.eks. den registreredes ret til at trække sit samtykke tilbage i henhold til artikel 7, stk. 3, i GDPR. Desuden har de registrerede ret til at indgive en klage til den nationale tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 77.
Kan virksomheder kontrollere registrerede, der anmoder om håndhævelse af en rettighed?
Ja, virksomhederne bør kontrollere identiteten af den registrerede, der anmoder om håndhævelse af en rettighed. Dette er vigtigt for at sikre en korrekt behandling af sagen. Hvis personoplysninger f.eks. videregives til den forkerte person, udgør dette et brud på datasikkerheden. Det samme gælder, hvis personoplysninger slettes eller ændres fejlagtigt.
Frist for overholdelse af registreredes rettigheder
Når en registreret kontakter en virksomhed for at håndhæve en rettighed, skal virksomheden altid besvare anmodningen senest en måned efter modtagelsen af anmodningen. Desuden bør virksomheden også forsøge at behandle anmodningen inden for fristen, men der kan være mulighed for at forlænge fristen med yderligere to måneder. Bemærk dog, at virksomheden skal underrette den registrerede om forlængelsen inden for den første måned. En af grundene til at forlænge fristen kan være, at virksomheden modtager et usædvanligt stort antal anmodninger samtidig.
Ud over skriftlige procedurer for at opfylde de registreredes rettigheder kan det være nyttigt for virksomheden at have indført procedurer for:
Udveksling af data internt mellem medarbejdere
Indhentning og tilbagetrækning af samtykke
Forvaltning af sociale medier og fotografi
Svar, efter at der er truffet foranstaltninger
Virksomheden underretter den registrerede om de foranstaltninger, der er truffet efter modtagelsen af en anmodning om udøvelse af den registreredes rettigheder. Det er også godt, hvis virksomheden begrunder sine beslutninger og klart forklarer processen og de trufne foranstaltninger.
Hvad kan en procedure, der tager hensyn til de registreredes rettigheder, omfatte?
Modtagende
Medtag oplysninger om, hvordan og hvor anmodningen kan modtages, så det er let for medarbejderne at vide, hvor de skal holde ekstra kontrol. F.eks. e-mails, breve, sociale medier eller lignende.
Verifikation
Virksomhederne kan være nødt til at kontrollere, at den person, der anmoder om en rettighed, rent faktisk er den rette person. Det er nyttigt at angive, hvornår og hvordan en sådan identifikation bør finde sted. Desuden er det nyttigt at angive, hvordan identifikation ikke kan foretages. Det kan være uforholdsmæssigt at kræve f.eks. en kopi af passet i visse tilfælde.
Identifikation
Identificer de systemer, hvor virksomheden behandler personoplysningerne. Dette gør det let at finde personoplysninger, uddelegere ansvarsområder, og hvordan man henter, fjerner eller reviderer personoplysninger i overensstemmelse med sikkerhedskravene i GDPR.
Vurdering
Ikke alle rettigheder gælder i alle situationer. Det er derfor nyttigt at præcisere, hvornår disse rettigheder finder anvendelse. Desuden kan der være undtagelser fra udøvelsen af en rettighed. Disse er også nyttige at præcisere i den skriftlige procedure.
Svaret
Virksomhederne skal svare de registrerede, der anmoder om håndhævelse af en rettighed. Det er nyttigt at have færdige svarmodeller for at gøre arbejdet lettere og mere effektivt og mindske risikoen for at glemme noget. Bemærk, at svaret bør være let at forstå for de registrerede og ikke et kompliceret juridisk sprog for at forsøge at forvirre læseren.
Dokumentation
Virksomhederne skal kunne påvise, at de overholder GDPR, og det er derfor godt at dokumentere en stor del af GDPR's arbejde. F.eks. de aktiviteter, der udføres i forbindelse med behandlingen af en registrerets anmodning om opfyldelse af en rettighed. Medtage instrukser i proceduren om, hvad der skal dokumenteres, hvor længe dokumentationen skal opbevares, og hvor den skal opbevares.
Bemærk, at virksomheder kan afvise visse anmodninger
Virksomheder kan i nogle tilfælde nægte en registreret at søge at få opfyldt en rettighed. Hvis en registreret f.eks. ønsker at få sine personoplysninger slettet, men virksomheden skal fortsætte med at behandle dem for at opfylde en retlig forpligtelse.
FLERE OPLYSNINGER OM PROCEDURER
Procedurer for onboarding og offboarding
Det er i forbindelse med overgangsperioder, dvs. når en person starter eller slutter i en virksomhed, at sårbarheden er større. Det er derfor nyttigt at skabe gode onboarding- og offboardingprocedurer og kommunikere indholdet af proceduren mundtligt for at minimere misforståelser og fejl. Det er en vigtig organisatorisk sikkerhedsforanstaltning, der træffes af mange virksomheder.