GDPR betyr GDPR – Har du etablert din SAR-plan?

EU GDPR vil bli vedtatt av Storbritannia uavhengig av Brexit, så handling er nødvendig nå. For de virksomhetene som ser ansvarlig på hvordan de vil oppfylle kravene til denne europeiske reguleringen, vil utvilsomt subjekttilgangsforespørsler (SAR-er) være en del av deres vurderinger.

I henhold til den nye EU GDPR må organisasjoner svare på SARs «uten unødig forsinkelse og senest innen én måned». Dette er en kortere tidsramme enn under den eksisterende DPA som sier 40 dager. Kanskje enda mer krevende er det at tilleggsinformasjon også må gis til forespørsler ved siden av deres personopplysninger. Dette inkluderer, der det er mulig, detaljer om "den planlagte perioden som personlig informasjon vil bli lagret eller, hvis det ikke er mulig, kriteriene som brukes for å bestemme denne perioden».

Ytterligere informasjon er også nødvendig for å forklare rekvirentenes rett til å be om retting eller sletting av dataene deres, til å protestere mot behandlingsaktiviteter, sammen med deres rett til å sende inn klager til databeskyttelsesmyndigheter. Organisasjoner må identifisere hvor de har hentet forespørslers personopplysninger fra i tilfeller der de ikke er samlet inn direkte fra den enkelte. Forespørsler vil også ha rett til å få informasjon om sikkerhetstiltakene som brukes der dataene deres overføres utenfor det europeiske økonomiske samarbeidsområdet.

Ifølge Informasjonskommissærens kontor (ICO) Årsmelding for regnskapsåret 2015/16*, 42 % av concerns hevet med dem sentrert på SAR. Dette fremhever vanskelighetene organisasjoner allerede har med å overholde de eksisterende, mindre tyngende regelverkene. Det indikerer at organisasjoner har et stykke igjen for å møte forventningene til kunder, ansatte og regulatorer!

Planen

Under ICO-ene Forbereder for Generell databeskyttelsesforskrift (GDPR) – 12 trinn å ta nå**, beskriver den 5. behovet for prosedyrer og en plan for hvordan en organisasjon skal håndtere SAR.

Gitt de nye kravene, er det viktig at personalet er tilstrekkelig opplært til å identifisere hva som utgjør en forespørsel og prosessen for å håndtere den. Å vente dager før prosessen startes og data hentes fra systemer vil være risikabelt gitt at bøtene sannsynligvis vil bli mye stivere under GDPR.

• Etabler hvordan du vil administrere GDPR-prosjektet ditt med klar synlighet av alt arbeidet som må fullføres for å oppnå og bevisoverholdelse.
• Avtal retningslinjer internt som beskriver dine pragmatiske prosedyrer og prosesser.
• Identifiser hvem som trenger opplæring og hvordan vil du vise at opplæring har funnet sted.
• Påta screening og vurdering av personvernpåvirkning.
• Identifiser og adresser informasjon, fysiske og lovgivningsmessige personvernrisikoer.
• Etabler en metode for å tildele SAR-er til trente personer, sammen med tidsfrister og varsler, mens du beholder synlighet og ledelsesrapportering.

Så GDPR kan utgjøre en betydelig risiko for organisasjoner og en plan å håndtere SAR-er og alle andre aspekter av kravene er nødvendig:

• Sørg for at de har en klar arbeidsflyt å følge der de kan holde styr på arbeidet sitt.
• Gi dem muligheten til raskt å få tilgang til versjonskontrollerte malsvar med standardisert ordlyd (som gir tilleggsopplysningene som må avsløres sammen med forespørsdataene)
• Utstyr personalet med verktøy for enkelt og effektivt å gi andre teammedlemmer i oppgave å utføre sin del av prosessen.
• Integrer GDPR-arbeidet ditt i det bredere ISMS eller informasjonssikkerhet standarder.
• Demonstrere effektiv styring til en regulator i tilfelle en etterforskning.

Uten tvil vil regulatorer også være på utkikk etter en sterk holdning for å demonstrere sikkerheten til personopplysninger av kontrollører og prosessorer. Derfor vår programvareløsning, ISMS.online, inkluderer alle verktøy og rammeverk for å administrere GDPR-samsvar og informasjonssikkerhet i tråd med kravene i ISO 27001.

Informasjonskommissærens årsmelding og regnskap 2015/16

Veiledning til den generelle databeskyttelsesforordningen (GDPR)