I de sidste par dage har Datatilsynet fået mange henvendelser fra virksomheder om, hvordan de skal håndtere indsigtsanmodninger, som bliver indsendt gennem en app.
At borgere benytter portaler og apps til at sende indsigtsanmodninger til flere virksomheder på én gang er også kendt fra udlandet og er en måde at gøre det let for den registrerede at udøve sine rettigheder. Der er ingen formkrav til, hvordan en anmodning om indsigt sendes, og en app eller en portal kan således også være en vej.
Hvad er kravene?
Når man håndterer disse anmodninger, skal man sikre sig:
-
At man finder frem til den rigtige person i systemerne. Hvis man gennem appens standardanmodning fx kun får et fornavn og et efternavn, kan man komme ud for, at der er flere registrerede.
-
At det er den rigtige person, man sender de relevante oplysninger til. Hvis man benytter sig af appen, som har leveret anmodningen, til at sende oplysninger tilbage til den registrerede, skal man sikre sig, at det faktisk er den rigtige person, der modtager dem, og ikke fx en anden, der har oprettet sig i den registreredes navn. Ellers vil der være tale om et sikkerhedsbrud.
-
At man sender oplysningerne på en sikker måde, uanset om oplysningerne sendes via appen eller på anden vis. Hvis der eksempelvis er tale om følsomme oplysninger, er det et krav, at oplysningerne sendes krypteret.
Indsigtsanmodninger sendt gennem disse apps og portaler skal med andre ord tages lige så alvorligt som andre, men det er altid virksomhedens eller myndighedens ansvar, at besvarelsen sker i overensstemmelse med reglerne.
Skal man svare gennem appen?
Man er ikke forpligtet til at svare via appen, og man kan fx vælge at besvare anmodningen via digital post eller lignende.
Hvis det ikke fremgår klart af anmodningen, hvem der søger indsigt, og man som dataansvarlig ikke har mulighed for at komme i kontakt med den borger, der søger indsigt for at afklare det, er den dataansvarlige ikke forpligtet til fx at registrere sig på en bestemt platform eller app for at kunne besvare anmodningen.
Det kan med andre ord i sidste instans betyde, at den dataansvarlige ikke kan besvare anmodningen, hvis den er indsendt gennem en platform, der kræver, at den dataansvarlige også benytter platformen.
Spørgsmål?
Du er altid velkommen til at kontakte Datatilsynet.