Skrevne prosedyrer
Skriftlige framgangsmåter for å sikre de registrertes rettigheter
Det er nyttig for bedrifter å etablere skriftlige prosedyrer for å oppfylle de registrertes rettigheter i henhold til GDPR.
Prosedyrer er en god måte å demonstrere overholdelse av GDPR
Bedrifter må kunne demonstrere overholdelse av GDPR-regler, og derfor er det hensiktsmessig å ha visse GDPR-relaterte kontrakter og dokumenter.
For eksempel forskjellige rutiner. I tillegg kan skriftlige prosedyrer gjøre personalets arbeid mer effektivt og redusere feil, da det blir tydeligere hvordan og hvem som skal gjøre hva.
Åtte (8) grunnleggende rettigheter for registrerte i henhold til GDPR
I henhold til GDPR har de registrerte blant annet rett til å:
Informasjon (artikkel 13 GDPR og artikkel 14 GDPR)
Selskapene må som hovedregel informere de registrerte før behandling av personopplysninger finner sted. Opplysninger om behandlingen skal også gis på anmodning fra den registrerte. Informasjonen er vanligvis inneholdt i en personvernerklæring.
Tilgang (artikkel 15 GDPR)
De registrerte har rett til å vite hvilke av deres personopplysninger som behandles av et selskap, og til å be om en kopi av den. I tillegg må selskapet gi informasjon om behandlingen, for eksempel formålet med behandlingen, varigheten av behandlingen, rettighetene til de registrerte, etc.
Rettelse (artikkel 16 GDPR)
Bedrifter må behandle nøyaktige og fullstendige personopplysninger, men det er ikke uvanlig at unøyaktige personopplysninger behandles. For eksempel, hvis en registrert endrer sitt telefonnummer, og det ikke er oppdatert av enheten. Hvis personen kontakter selskapet for å få sine personopplysninger korrigert eller komplettert, skal selskapet gjøre det.
Sletting (artikkel 17 GDPR)
De registrerte har rett til å kontakte selskaper for å få deres personopplysninger slettet. Denne retten kalles også «retten til å bli glemt». I de fleste tilfeller må selskapet gjøre det, men det er noen unntak for sletting. For eksempel, hvis enheten trenger å fortsette å behandle personopplysningene for å overholde en juridisk forpliktelse.
Restriksjoner (artikkel 18 GDPR)
Det er situasjoner der de registrerte har rett til å få sine personopplysninger behandlet begrenset. For eksempel, mens en enhet undersøker nøyaktigheten av personopplysninger, når den registrerte har bedt om korrigering.
Dataportabilitet (artikkel 20 GDPR)
Retten til dataportabilitet innebærer at de registrerte i noen tilfeller har rett til å få sine personopplysninger overført til en annen behandlingsansvarlig, for eksempel en konkurrent. Vær oppmerksom på at selskaper bare trenger å gjøre det hvis det er teknisk mulig, behandlingen er automatisert og basert på kontrakt eller samtykke som juridisk grunnlag.
Innsigelse (artikkel 21 GDPR)
De registrerte har rett til å protestere mot behandling der det juridiske grunnlaget er berettiget interesse, i utøvelsen av offentlig myndighet eller i utførelsen av en oppgave utført i allmennhetens interesse. For eksempel kan en registrert be et selskap om å stoppe direkte markedsføring via e-post på grunnlag av legitim interesse.
Automatisert beslutningstaking, inkludert profilering (artikkel 22 GDPR)
Automatisert beslutningstaking under GDPR er når en beslutning tas uten personlig kontakt eller innflytelse. De registrerte har rett til ikke å bli underlagt automatiserte beslutninger som har rettsvirkning for dem. Hvis den registrerte har gitt uttrykkelig samtykke eller automatisert beslutningstaking er nødvendig for utførelsen av en kontrakt, er utførelsen av beslutningen tillatt.
Vær oppmerksom på at det er enda flere rettigheter i GDPR enn disse åtte (8) som er de mest grunnleggende. For eksempel den registrertes rett til å trekke tilbake samtykke i henhold til artikkel 7 nr. 3 i GDPR. I tillegg har de registrerte rett til å sende inn en klage til den nasjonale tilsynsmyndigheten i henhold til artikkel 77 i GDPR.
Kan selskaper verifisere registrerte som ber om håndhevelse av en rettighet?
Ja, selskaper bør verifisere identiteten til den registrerte som ber om håndheving av en rettighet. Dette er viktig for å sikre riktig håndtering av saken. For eksempel, hvis personopplysninger blir utlevert til feil person, utgjør dette et datainnbrudd. Det samme gjelder dersom personopplysninger feilaktig slettes eller endres.
Frist for å overholde de registrertes rettigheter
Når en registrert kontakter et selskap for å håndheve en rettighet, skal selskapet alltid svare på forespørselen innen en måned fra mottak av forespørselen. I tillegg bør selskapet også forsøke å håndtere forespørselen innen fristen, men det kan være mulighet for å forlenge fristen med ytterligere to måneder. Vær imidlertid oppmerksom på at selskapet må informere den registrerte om utvidelsen innen den første måneden. En grunn til å forlenge fristen kan være at selskapet mottar et uvanlig høyt antall henvendelser samtidig.
I tillegg til skriftlige framgangsmåter for å oppfylle de registrertes rettigheter, kan det være nyttig for selskapet å ha framgangsmåter for:
Deling av data internt mellom ansatte
Innhenting og tilbaketrekking av samtykke
Sosiale medier ledelse og fotografering
Svar etter at tiltak er iverksatt
Selskapet skal underrette den registrerte om de tiltak som er truffet etter mottak av en anmodning om utøvelse av den registrertes rettigheter. Det er også bra hvis selskapet gir grunner for sine beslutninger og tydelig forklarer prosessen og tiltakene som er tatt.
Hva kan en framgangsmåte for å ta hensyn til de registrertes rettigheter omfatte?
Mottak
Inkluder informasjon om hvordan og hvor forespørselen kan mottas, slik at det er lett for personalet å vite hvor de skal holde ekstra kontroll. For eksempel e-post, brev, sosiale medier eller lignende.
Verifisering
Bedrifter må kanskje verifisere at personen som ber om en rettighet, faktisk er den rette personen. Det er nyttig å inkludere når og hvordan slik identifikasjon skal finne sted. I tillegg er det nyttig å inkludere hvordan identifikasjon ikke kan utføres. Det kan være uforholdsmessig å kreve for eksempel passkopi i visse tilfeller.
Identifikasjon
Identifiser systemene der personopplysningene behandles av selskapet. Dette gjør det enkelt å finne personopplysninger, delegere ansvar og hvordan hente, fjerne eller revidere personopplysninger i tråd med sikkerhetskravene i GDPR.
Vurdering av
Ikke alle rettigheter gjelder i alle situasjoner. Det er derfor nyttig å spesifisere når disse rettighetene gjelder. I tillegg kan det være unntak fra utøvelsen av en rettighet. Disse er også nyttige å spesifisere i den skriftlige prosedyren.
Svar fra
Bedrifter må svare på registrerte som ber om håndhevelse av en rettighet. Det er nyttig å ha ferdige svarmaler for å gjøre arbeidet enklere og mer effektivt og for å redusere risikoen for å glemme noe. Vær oppmerksom på at svaret skal være lett å forstå for registrerte, ikke et komplisert juridisk språk for å prøve å forvirre leseren.
Dokumentasjon
Bedrifter må kunne vise at de overholder GDPR, og det er derfor godt å dokumentere mye av GDPRs arbeid. For eksempel aktiviteter som utføres i forbindelse med behandling av en registrerts anmodning om oppfyllelse av en rettighet. Ta med instruksjoner i prosedyren om hva som skal dokumenteres, hvor lenge dokumentasjonen skal oppbevares og hvor den skal lagres.
Vær oppmerksom på at selskaper kan avvise visse forespørsler
Bedrifter kan i noen tilfeller nekte en registrert som søker tilfredsstillelse av en rettighet. For eksempel, hvis en registrert ønsker å få sine personopplysninger slettet, men selskapet må fortsette å behandle dem for å overholde en juridisk forpliktelse.
Mer informasjon om prosesser
Prosedyrer for onboarding og offboarding
Det er i overgangsperioder, dvs. når en person starter eller slutter i en bedrift, at sårbarheten er høyere. Det er derfor nyttig å skape gode onboarding- og offboardingprosedyrer og å kommunisere innholdet i prosedyren muntlig for å minimere misforståelser og feil. Det er et viktig organisatorisk sikkerhetsforanstaltning tatt av mange selskaper.