Den allmänna dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018 och har helt förändrat hur företag behandlar och hanterar data. Organisationer har varit tvungna att snabbt anpassa sig för att säkerställa att de följer den nya lagstiftningen och inte är ansvariga för de stora böter som har dominerat rubrikerna de senaste månaderna.
Det som många organisationer inte riktigt hade räknat med var den anstormning av individer som utnyttjade sina rättigheter enligt den nya lagstiftningen genom att lämna in förfrågningar om tillgång till information. Dataskyddsförordningen har stärkt individernas befintliga rättigheter och gett dem möjlighet att ta reda på hur deras personuppgifter används.
En begäran om tillgång till information (SAR) är en rätt till tillgång som gör det möjligt för en person att begära vilken information en organisation har om honom eller henne, varför den har denna information och vem den delas med. Sedan GDPR infördes har ICO noterat en "oöverträffad ökning av efterfrågan" på SAR. Detta har i sin tur inneburit en enorm påfrestning för offentliga tjänster och organisationer som är skyldiga att svara inom en fastställd tidsram.
Den dramatiska ökningen av antalet anmälningar tros ha drivits på av en ökning av antalet dataintrång och en allmän misstro från allmänheten mot hur organisationer använder deras data.
En viktig del av efterlevnaden av dataskyddsförordningen är att förstå hur man effektivt hanterar en anmälningsrapport. Om du inte håller tidsfristen eller ger enskilda personer all den information de behöver kan din organisation utsättas för rättsliga åtgärder och höga böter.
Hur vi hanterar begäran om tillgång till information
1. Känna igen en begäran om tillgång till information
Dataskyddsförordningen innehåller inga specifika villkor för hur en person kan göra en giltig begäran om information, så den kan göras muntligt, skriftligt eller till och med på sociala medier. Begäran behöver inte ens innehålla frasen "subject access request", så länge individen klargör att den begär sina personuppgifter. Organisationer bör se till att särskild personal är utbildad för att identifiera en SAR och att korrekta protokoll finns på plats för att logga förfrågningar.
2. Känn till dina skyldigheter
En person har endast rätt till sina egna personuppgifter, inte till information om andra personer. Därför måste du fastställa om den begärda informationen omfattas av definitionen av personuppgifter.
EU definierar "personuppgifter" som all information som kan användas för att direkt eller indirekt identifiera en person (den registrerade). Detta kan omfatta allt från namn, e-postadress, IP-adress och bilder. Det omfattar även känsliga personuppgifter som biometriska uppgifter eller genetiska uppgifter som kan behandlas för att identifiera en person.
Om personen inte har angett exakt vilken information han eller hon vill ha måste du söka efter all tillgänglig information som är relevant för personen. Förutom en kopia av personuppgifterna måste du också förse personer med följande information:
- Syftet med din behandling
- Vilka typer av personuppgifter som berörs
- Information om källan till uppgifterna
- Vem uppgifterna har delats med.
- Hur länge uppgifterna kommer att lagras
- Förekomsten av deras rätt att begära rättelse, radering eller begränsning eller att motsätta sig sådan behandling.
- Deras rätt att lämna in ett klagomål till ICO eller annan tillsynsmyndighet.
- Förekomsten av automatiserat beslutsfattande, inklusive profilering.
- De skyddsåtgärder som du vidtar om du överför personuppgifter till ett land utanför EU eller till en internationell organisation.
3. Kontrollera personens identitet.
Innan du svarar på en begäran måste du försäkra dig om att den person som begär sina personuppgifter är den person som han eller hon säger sig vara. För att verifiera deras identitet kan du begära ett foto-ID eller en räkningsräkning. Om den person som gör begäran är en anställd inom din organisation behöver du inget ytterligare identitetsbevis.
En anmälan kan också göras via en tredje part, t.ex. en advokat eller en nära familjemedlem. I dessa fall måste du få en bekräftelse på att den tredje parten har fått i uppdrag att agera på personens vägnar.
4. Svara inom den fastställda tidsramen.
Enligt dataskyddsförordningen måste organisationer svara "utan onödigt dröjsmål" och inom en månad efter att de mottagit begäran. Om personens identitet måste bekräftas börjar tidsfristen för svaren att löpa från och med den dag då personen tillhandahåller den information som krävs.
Om förfrågan är komplicerad eller om du har fått flera förfrågningar från samma person kan svarstiden förlängas med ytterligare två månader. I detta fall måste du meddela personen varför förlängningen är nödvändig.
5. Undantag från begäran om tillgång till uppgifter
Du bör inte lämna ut en persons personuppgifter om det skulle påverka andra personers rättigheter negativt. Undantag från detta är om den andra personen har gett sitt samtycke till utlämnandet, eller om det är rimligt att uppfylla begäran utan den enskildes samtycke.
I dataskyddsförordningen och dataskyddslagen från 2018 fastställs också vissa undantag som gäller under vissa omständigheter. Till exempel när ett avslöjande skulle skada definierade tillsynsfunktioner eller för kommunikation som omfattas av sekretess för juridiska yrkesutövare.
6. Avgifter och överdrivna krav
Enligt den gamla lagen kunde organisationer ta ut upp till 10 pund för att utföra en SAR, men GDPR har sedan dess undanröjt detta hinder och informationen måste nu tillhandahållas kostnadsfritt. ICO har dock förklarat att om du får en begäran om tillgång till information som är "uppenbart ogrundad eller överdriven" kan du ta ut en rimlig avgift för att täcka de administrativa kostnaderna.
7. Lämna ut informationen på ett säkert sätt.
Om en person gör en begäran elektroniskt ska du svara genom att tillhandahålla informationen i elektroniskt format, om inte personen anger något annat. Informationen ska lämnas ut så säkert som möjligt.
8. Behålla en dokumentation av begäran om tillgång till information.
Du bör behålla en tydlig verifieringskedja av SAR i händelse av att ett klagomål lämnas in till ICO vid ett senare tillfälle. Detta bör omfatta den information som samlades in, granskningsprocessen, viktiga beslut som fattades, om undantag tillämpades, det svar som gavs samt korrespondens med personen eller tredje part.
MetaPrivacy har utformats för att erbjuda bästa praxis för att uppfylla kraven på dataskydd. Kontakta oss för mer information om hur vi kan hjälpa din organisation att förbättra sin struktur för efterlevnad.
ANSVAR: Innehållet och åsikterna i den här bloggen är endast för informationsändamål. De är inte avsedda att utgöra juridisk eller annan professionell rådgivning och bör inte förlitas på eller behandlas som en ersättning för specifik rådgivning som är relevant för särskilda omständigheter, dataskyddslagen eller annan nuvarande eller framtida lagstiftning. MetaCompliance tar inget ansvar för eventuella fel, utelämnanden eller vilseledande uttalanden, eller för eventuella förluster som kan uppstå till följd av att man förlitar sig på material som finns i denna blogg.
