GDPR for dataansvarlige: 5 viktige huskeregler om retten til innsyn/retting/sletting
Hvis du driver et nettsted eller nettbutikk, vil du sannsynligvis snart oppleve at sluttbrukere benytter en av sine mye omtalte GDPR-rettigheter - for eksempel retten til innsyn, retting eller sletting. Har du rutinene klare?
Informasjonen finnes i mange systemer
I mange tilfeller medfører det endel jobb å samle informasjonen som kreves, fra de ulike sammenkoblede systemene som persondata flyter gjennom. Dette kan være alt fra skjemadata i et CMS, til ordrehistorikk i et ERP, til personopplysninger i et CRM, eller epost-statistikk fra et marketing automation-system.
Som eier/webansvarlig for nettstedet, er du i GDPR-øyne det som kalles dataansvarlig. Du har dermed ansvaret for at persondata i løsningen forvaltes på en forsvarlig måte.
Du har sannsynligvis også en eller flere tekniske/strategiske samarbeidspartnere, som har vært involvert i å få nettstedet på lufta, eller hjelper deg å håndtere data i løsningen. Disse har status som databehandlere (og du har sannsynligvis signert oppdaterte databehandleravtaler med dem - ikke sant?)
Her er 5 viktige ting du som dataansvarlig må huske på når du skal hjelpe sluttbrukerne med deres rettigheter.
1. Bekreft identiteten til den som krever innsyn
Sluttbrukere kan bare bruke rettighetene sine om sine egne persondata. Du kan ikke overlevere informasjon til hvem som helst, så før du begynner å behandle en forespørsel, må du sørge for at du har tilstrekkelig bevis på identiteten til den som spør. Be gjerne om bekreftelse i form av signert dokument, eller kopi av førerkort/pass. (Og husk nå på å behandle disse dokumentene med samme varsomhet som andre persondata du besitter!)
Strengt tatt er du bare forpliktet til å behandle skriftlige forespørsler (i digitalt eller papirformat). Men dette kan altså like gjerne komme som et brev, en epost, et telegram, en fax - eller for å sette det på spissen, via Facebook eller Twitter.
Så lenge forespørselen er konkret og saklig begrunnet, og avsenders identitet kan bekreftes, regnes dette som gyldig forespørsel.
Hva så med muntlige forespørsler, f.eks over telefon eller i samtale? Du er normalt ikke forpliktet til å behandle disse, men dersom du er opptatt av å yte god service, og du med sikkerhet kan fastslå identiteten til vedkommende, er det ingenting i veien for å behandle også muntlige forespørsler. Tenk også på at det kan finnes sensitive grunner til at en person ikke kan levere skriftlig forespørsel, f.eks nedsatt funksjonsevne eller blindhet, og i slike tilfeller vil du måtte være ekstra fleksibel.
I alle tilfeller bør du vise ekstra oppmerksomhet rundt positiv identifisering. Husk at eposter lett kan forfalskes. Du har ingen garanti for at riktige vedkommende sendte inn kontaktskjemaet på websiden din. Mange har blitt lurt til å oppgi konfidensiell informasjon over telefon. Bruk sunn fornuft!
2. Du har en svarfrist på 1 måned
Svarfristen din begynner å løpe fra du mottar en gyldig forespørsel.
Du bør alltid prøve å svare så kjapt du kan, men GDPR gir deg en svarfrist på 1 måned. Lovteksten spesifiserer riktignok ikke helt nøyaktig hvor mange dager dette er, eller om det menes kalenderdager eller arbeidsdager.
Siden den gamle personopplysningsloven §16 opererer med 30 kalenderdager som svarfrist, og Data Protection Act (forløperen til GDPR) opererer med 40 kalenderdager, er det naturlig å anta at vi snakker om 30 kalenderdager. Tiden løper altså fort!
Hvis du kan argumentere for at forespørselen/sammenstillingen er særdeles kompleks, kan svarfristen forlenges til maksimalt 3 måneder (men du må uansett innen 1 måned gi svar om status). Men i praksis vil de færreste norske nettsteder kunne bruke dette unntaket - hvem kan påberope seg samme datamengder å pløye gjennom som f.eks Facebook eller Google...?
3. Alle forespørsler og utleveringer skal gå via deg som dataansvarlig
Alle forespørsler, og all informasjon som sammenstilles, skal gå via deg som dataansvarlig. Det er kun dataansvarlig som skal ha dialog med, og overlevere informasjon til, sluttbruker.
Ingen sluttbrukere skal kunne gå direkte til din tekniske leverandør og kreve å få informasjon. Dette bør også stå tydelig i databehandleravtalen mellom deg og dine leverandører.
Selv om bedriften din ikke nødvendigvis har plikt til å opprette et personvernombud, er det lurt å oppnevne en intern person/gruppe som følger ekstra godt med på forespørsler som kommer inn, og hvordan de blir besvart. Dette gjør det lettere å innarbeide gode rutiner og mer effektiv behandling av slike forespørsler.
4. Beregn ekstra tid hvis du trenger hjelp av databehandleren din
Dersom du ikke har tilgang til alle systemer selv, og trenger hjelp av din databehandler til å skaffe/sammenstille informasjonen, må du være kjapp. Databehandler har plikt til å bistå deg innenfor rimelighetens grenser såfremt de har mulighet, men ansvaret for å overholde svarfristen ligger på deg som dataansvarlig.
Organisasjonen din bør i størst mulig grad være selvhjulpen med å samle informasjonen som trengs for å besvare slike forespørsler. Skaff deg oversikt over hvor i dine systemer persondata flyter. På sikt bør du også vurdere å få utviklet selvbetjeningsløsninger slik at brukerne selv kan hente ut det de trenger.
Tips: Gå gjennom nettstedets funksjonalitet og kartlegg hvordan det samles inn persondata, slik som i dette eksemplet fra et fiktivt flyselskap. Da er mye av jobben gjort til den dagen det plutselig kommer en forespørsel om innsyn.
Vær også oppmerksom på at mange databehandlere har lengre responstid fordi det er rift om tilgangen på teknikere.
Det kan være lurt at du avtaler en fast kontaktperson for GDPR-henvendelser hos leverandøren din - de fleste bedrifter har en personvernansvarlig.
5. Du kan ikke ta betalt for å behandle en forespørsel
Som dataansvarlig må du i utgangspunktet levere informasjonen sluttbrukerne ber om, uten at du kan kreve noe gebyr for det.
Det kan virke surt at interne ressurser blir opptatt med å behandle innsynsforespørsler istedetfor produktivt arbeid, men dette er realiteten med GDPR.
En liten trøst kan være at antallet innsynsforespørsler sannsynligvis holder seg lavt - og at øvelsen uansett er nyttig for å avdekke interne rutiner som kan effektiviseres, eller tekniske forbedringer som bør vurderes.
Unntaket fra regelen om gebyr er hvis forespørselen er overdrevent kravstor (f.eks ber om sammenstilling/historikk utover det som er rimelig) eller samme person kommer med forespørselen gjentatte ganger. I slike tilfeller kan du kreve et "forholdsmessig gebyr" for dine administrative kostnader forbundet med å behandle forespørselen.
Du bør likevel være oppmerksom på at databehandleren din kan fakturere deg for hjelpen med å sette sammen informasjonen du trenger (de har nemlig ikke plikt til å hjelpe deg gratis). Uansett kan det lønne seg å forhandle om gode vilkår for slik bistand i forvaltningsavtaler med dine leverandører.