GDPR › Personoplysninger

Data Subject Access Request (DSAR): Sådan håndterer du indsigtsanmodninger

Q: Hvorfor er det vigtigt at dokumentere håndteringen af indsigtsanmodninger?

Dokumentation er afgørende for at kunne bevise over for Datatilsynet, at anmodningen er efterlevet korrekt og inden for tidsfristen. Datatilsynet har i konkrete afgørelser – bl.a. mod Basisbank – understreget vigtigheden af at have klare procedurer og skabeloner på plads.

GDPR giver alle registrerede ret til indsigt i de oplysninger, du behandler om dem. Lær hvad loven kræver, hvem der kan sende en anmodning, og hvordan du håndterer den trin for trin.

Flad vektorillustration med en person ved siden af et stort dokumentkort med forstørrelsesglas, omgivet af ikoner for lås, brugerprofil, mappe og skjold. Overskriften

Databeskyttelsesforordningen (GDPR) giver de registrerede mulighed for at få indsigt i de oplysninger, som den dataansvarlige behandler om den registrerede.

Men hvordan fungerer denne indsigtsret, og hvad skal den dataansvarlige gøre i praksis for at efterleve sådanne anmodninger? Det er emnet i denne artikel.

Reglerne om indsigtsretten

Indsigtsretten er en af de registreredes rettigheder, og den er beskrevet i GDPR's artikel 15.

Ved efterkommelse af indsigtsanmodninger er det også vigtigt, at du efterlever kravene til gennemsigtighed, men lad os se nærmere på kravene i indsigtsretten.

Kommunikation

Indsigtsretten medfører, at du har pligt til at give de registrerede følgende information, hvis de benytter sig af denne mulighed:

Bekræftelse af om du behandler deres personoplysninger.
Formålet med behandlingen af personoplysninger.
Typen af oplysninger der behandles om den registrerede.
Hvem oplysningerne deles med, og hvis du overfører data til et land uden for EU/EØS, skal du også informere om de implementerede sikkerhedsforanstaltninger.
Hvor længe oplysningerne opbevares, og alternativt kriteriet for hvornår behandlingen ophører og personoplysningerne slettes.
Oplysning om at den registrerede har ret til at få rettet eller slettet sine oplysninger, begrænset behandlingen eller gøre indsigelse mod behandlingen af sine personoplysninger.
Klagemuligheden til Datatilsynet.
Oplysning om hvordan deres personoplysninger blev indsamlet, hvis persondata ikke blev indsamlet direkte fra den registrerede.
Om der sker automatiske afgørelser (fx profilering), og hvad det betyder for den registrerede.

Derudover skal du efterkomme følgende forhold i forbindelse med anmodningen:

Den registrerede har ret til en gratis kopi af de behandlede personoplysninger. Der er mulighed for at opkræve et gebyr indenfor rimelighedens grænser, hvis den registrerede beder om ekstra kopier.
Oplysningerne skal udleveres digitalt, hvis anmodningen er sendt elektronisk, medmindre den registrerede beder om noget andet.
Du må ikke dele oplysninger, hvis det krænker andres rettigheder eller friheder.

Hvem kan indsende en indsigtsanmodning?

Alle personer, hvis persondata du behandler, kan indsende en indsigtsanmodning – fx kunder, brugere, ansatte, tidligere ansatte, konsulenter, samarbejdspartnere, leverandører og potentielle kunder.

Flad vektorillustration med et hvidt anmodningskort centralt, omgivet af fem stiliserede personfigurer i forskellige brandfarver, der repræsenterer kunder, medarbejdere, forældre, advokater og partnere som mulige afsendere af en indsigtsanmodning.

En indsigtsanmodning kan også indsendes på vegne af en anden, hvis man har fuldmagt til dette – fx forældre til et barn, en advokat på vegne af en klient eller en værge.

Du skal altid sikre dig, at den person der indsender anmodningen på en andens vegne, har dokumentation der beviser dette.

Håndtering af en indsigtsanmodning i praksis

I det følgende gennemgår vi, hvordan du praktisk kan håndtere en indsigtsanmodning trin for trin.

Deadline

En anmodning skal efterkommes senest 1 måned efter modtagelse, men kan forlænges med op til to måneder, hvis anmodningen er særlig kompleks, eller hvis du har modtaget mange anmodninger på samme tid.

Derfor er det vigtigt at have en klar og effektiv proces på plads, så du kan imødekomme anmodningen indenfor tidsfristen.

Forberedelse

Det er en fordel at være klar, inden den første indsigtsanmodning modtages. Start med at få overblik over, hvor persondata gemmes, hvilket du kan afklare ved at tage et kig i din fortegnelse, hvoraf det vil fremgå fx i CRM-systemer, e-mails, etc.

Du bør også udpege en ansvarlig for håndteringen af indsigtsanmodninger, så en enkelt medarbejder ejer denne proces og sikrer efterlevelse i overensstemmelse med GDPR-reglerne.

Modtagelse af anmodning

Bekræft hurtigt modtagelsen med en standardmail. Den bør indeholde, at anmodningen er modtaget, samt hvad næste skridt er i processen.

Identitet bekræftes

Hurtigst muligt bør du bekræfte vedkommendes identitet, så du kan sikre dig, at du sender den registreredes personoplysninger til den rette person. Det vil være et brud på persondatasikkerheden, hvis du sender den registreredes personoplysninger til den forkerte modtager.

Vurder anmodningen

Inden du igangsætter arbejdet med at fremsøge persondata til anmodningen, bør du sikre dig, at indsigtsanmodningen er rimelig. Hvis du har mange oplysninger om den person, der beder om indsigt, må du gerne bede dem præcisere, hvad de ønsker indsigt i. Det kan være, de kun er interesserede i bestemte oplysninger.

Præciseringen heraf vil gøre det både lettere og hurtigere for dig at behandle anmodningen.

Fremsøg persondata

Fremskaf den registreredes data ved at søge i systemer, databaser, arkiver mv.

Du bør give den registrerede en kopi af oplysningerne – fx dokumenter, videoklip – eller kopiere oplysningerne over i et nyt samlet dokument. Det vigtigste er, at personen får en reel kopi, så de kan tjekke, om oplysningerne er korrekte og lovlige.

Hvis du ofte modtager indsigtsanmodninger, bør du overveje at opbygge et standardiseret workflow. Hvis du har direkte adgang til databaser med den registreredes oplysninger, kan du udarbejde funktioner til hurtigt at finde oplysningerne til at efterleve indsigtsanmodningerne. Der kan også være behov for manuel fremsøgning afhængigt af de systemer, der anvendes til databehandlingen.

I koncernselskaber kan persondata potentielt være behandlet på tværs af koncernens selskaber, og derfor kan der være behov for at behandle indsigtsanmodningen på tværs af koncernen, hvilket et GDPR compliance software med koncernfunktionalitet kan bistå med.

Kvalitetssikring

Du bør gennemgå alle data og filer til den registrerede og sørge for, at du ikke unødigt deler andres personoplysninger med den registrerede. Til dette arbejde kan du kombinere automatiske og manuelle processer til at identificere persondata og om nødvendigt sløre disse, så du undgår et brud på persondatasikkerheden – hvilket vil være tilfældet, hvis du deler andres data.

Send persondata til den registrerede

Du kan give en person adgang til deres data på flere måder – fx ved at sende en sikker kopi via e-mail eller anden digital post. Der kan også gives adgang til et online system, hvor de selv kan logge ind og se deres oplysninger.

Kommunikation

Når du sender oplysningerne, skal du også vedlægge information om selve behandlingen, som skal efterleve kravene angivet tidligere i denne artikel. Det kan ske i e-mailens brødtekst, via et følgebrev eller lignende.

Dokumentation

Gem al arbejdet og kommunikationen vedrørende indsigtsanmodningen, så du kan dokumentere, at du har efterlevet anmodningen inden for GDPR-reglernes krav. Brug din GDPR compliance software til at opbevare og strukturere denne dokumentation ét sted.

Skabelon til indsigtsanmodninger

Det er en god idé at lave en procedure for, hvordan du håndterer indsigtsanmodninger, så du hurtigt og korrekt kan imødekomme anmodningen samt efterleve kravene hertil. Du kan tage udgangspunkt i ovenstående afsnit "Håndtering af en indsigtsanmodning i praksis" til at lave din procedure.

Flad vektorillustration med en stor hvid udklipsholder centralt, med navy tekstlinjer og tre teal-farvede afkrydsningsfelter — to markerede og ét tomt — der illustrerer en struktureret procedure for håndtering af indsigtsanmodninger. Et cirkulært stempelemblem i navy ses i hjørnet.

Datatilsynets skabelon til indsigtsanmodninger kan anvendes til at efterleve oplysningspligten i forbindelse med udleveringen af informationen til den registrerede.

Afgørelser fra Datatilsynet om indsigtsanmodninger

Der er masser af viden at hente fra Datatilsynets afgørelser vedrørende indsigtsanmodninger, hvor blandt andet vigtigheden af at have procedurer og skabeloner til håndtering af indsigtsanmodninger fremgår.

Opsummering

De registreredes rettigheder er beskrevet i GDPR's kapitel 3, og i denne artikel har vi set nærmere på den praktiske efterlevelse af artikel 15 om indsigtsretten.

Vil du se, hvordan .legal kan hjælpe dig med at håndtere indsigtsanmodninger og øvrige GDPR-forpligtelser? Book en demo og lad os vise dig platformen.

Oftest stillede spørgsmål om indsigtsanmodninger (DSAR)

Hvad er en indsigtsanmodning (Data Subject Access Request)?

En indsigtsanmodning – også kaldet en DSAR eller Data Subject Access Request – er en anmodning fra en person om at få indsigt i de personoplysninger, en organisation behandler om vedkommende. Retten er fastsat i GDPR's artikel 15 og gælder alle, hvis data behandles af organisationen.

Hvad skal en dataansvarlig oplyse ved en indsigtsanmodning?

Den dataansvarlige skal bl.a. oplyse om: bekræftelse af behandlingen, formål, typer af oplysninger, hvem de deles med, opbevaringsperiode, den registreredes øvrige rettigheder, klagemulighed til Datatilsynet, hvordan data er indsamlet og om der sker automatiske afgørelser.

Hvornår skal en indsigtsanmodning besvares?

En indsigtsanmodning skal besvares senest 1 måned efter modtagelse. Fristen kan forlænges med op til to måneder, hvis anmodningen er særlig kompleks, eller hvis der er modtaget mange anmodninger på samme tid. Den registrerede skal informeres om forlængelsen.

Hvem kan sende en indsigtsanmodning?

Alle personer, hvis persondata en organisation behandler, kan sende en indsigtsanmodning – herunder kunder, ansatte, tidligere ansatte, leverandører og potentielle kunder. En anmodning kan også indsendes på vegne af en anden, fx af forældre til et barn eller en advokat, hvis der foreligger dokumentation herfor.

Kan man opkræve betaling for at efterkomme en indsigtsanmodning?

Den første kopi af personoplysningerne skal udleveres gratis. Hvis den registrerede beder om yderligere kopier, kan der opkræves et gebyr inden for rimelighedens grænser. Urimelige eller åbenbart grundløse anmodninger kan afvises eller gebyrbelægges.

Hvad skal man gøre, inden man modtager den første indsigtsanmodning?

Du bør have overblik over, hvor persondata gemmes i din organisation, fx ved at gennemgå din artikel 30-fortegnelse. Udpeg desuden en ansvarlig medarbejder, og overvej at lave en procedure og standardskabeloner til processen.

Hvad sker der, hvis man sender persondata til den forkerte person?

Hvis den registreredes personoplysninger sendes til en forkert modtager, udgør det et brud på persondatasikkerheden, som skal anmeldes til Datatilsynet senest 72 timer efter opdagelsen. Det er derfor vigtigt at verificere modtagerens identitet, inden oplysningerne udleveres.

Kan man afvise en indsigtsanmodning?

Ja, i visse tilfælde. Anmodningen kan afvises, hvis den er åbenbart grundløs eller overdreven, eller hvis udlevering af oplysningerne ville krænke andres rettigheder eller friheder. Afvisningen skal dog begrundes over for den registrerede.

Hvordan håndterer man indsigtsanmodninger i en koncern?

I koncerner kan persondata være behandlet på tværs af selskaber, og det kan være nødvendigt at koordinere indsigtsanmodningen på tværs af koncernen. GDPR compliance software med koncernfunktionalitet kan hjælpe med at samle og håndtere disse processer effektivt.

Hvorfor er det vigtigt at dokumentere håndteringen af indsigtsanmodninger?

Dokumentation er afgørende for at bevise over for Datatilsynet, at anmodningen er efterlevet korrekt og inden for tidsfristen. Datatilsynet har i konkrete afgørelser – bl.a. mod Basisbank – understreget vigtigheden af at have klare procedurer og skabeloner på plads.

Har du fortsat spørgsmål?

Spørg Johannes direkte, han giver de fleste af vores demoer personligt

Book ham her

.legal compliance platform Håndtér indsigtsanmodninger effektivt og compliant

Brug .legal til at administrere Data Subject Access Requests, dokumentere dine processer og sikre efterlevelse af artikel 15 på tværs af organisationen – inkl. koncernselskaber.