Persondatalovgivningen, bliver du klar?

I takt med at tiden for ikrafttrædelse af GDPR-lovgivningen nærmer sig, begynder det at stramme til med at få klargjort processer, systemer, politikker og data.

Jeg har i disse uger mange drøftelser med ledelser, der troede, at de havde tid nok til at blive klar til 25 maj.

Men i takt med at vi bliver klogere på ikke blot vores egen databehandling, men også med den forventede praktiske implementering af lovgivningen, går det op for os, at vi ikke har tid nok til at gøre alt det, vi ønsker at gøre, for at blive klar.

Nu handler det om at blive tilstrækkelig klar.

Scenarier

Persondatalovgivningen stiller krav om, at man som dataansvarlig skal træffe passende foranstaltninger for at sikre, at den registreredes rettigheder overholdes.

Rettighederne omfatter orientering og indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelsesmuligheder.

Uanset hvor lidt tid vi har, er mit råd at prioritere kortlægning af scenarierne for de situationer, hvor de registrerede kan udnytte deres rettigheder til at få adgang til data om dem.

Alle virksomheder bør gennemtænke de mest sandsynlige scenarier (eksempelvis at en tidligere medarbejder ønsker indsigt i registrerede data og efterfølgende ønsker dem slettet, eller at en kunde ønske indsigt i registrerede data, og så vil have data udlæst, så de kan flytte deres forretning til en anden leverandør) og udarbejde detaljerede planer for, hvordan de vil opfylde kravene.

Det vil for mange virksomheder være kompliceret og dyrt at få disse processer systemunderstøttet. Derudover vil det tage lang tid at flytte fokus fra andre væsentlige it-udviklingsprojekter.

Derfor er løsningen at gennemtænke og dokumentere, hvordan I manuelt vil være i stand til at identificere, rette, kopiere, slette mv. den registreredes data på kort sigt, samt indtænke, hvordan processerne kan systemunderstøttes på længere sigt.

Endvidere er det helt centralt at sikre medarbejdernes forståelse for disse scenarier med henblik på at sikre en hurtig og korrekt behandling af disse anmodninger.

Datatilsynet forventes i februar at præsentere vejledningen for datasubjekters rettigheder. Denne vejledning bør være obligatorisk læsning for alle GDPR-programmer.

Kommentér dette blogindlæg herunder