Nedräkningen är väl igång och maj 2018 skymtar när den nya generalen Dataskydd Förordningen kommer att ersätta den nuvarande dataskyddslagen.
EU GDPR kommer att antas av Storbritannien oavsett Brexit så det krävs åtgärder nu. För de företag som på ett ansvarsfullt sätt ser på hur de kommer att uppfylla kraven för denna europeiska förordning, kommer ansökningar om tillträde till subjekt utan tvekan att utgöra en del av deras överväganden.
Enligt EU:s nya GDPR måste organisationer svara på SAR:er "utan onödigt dröjsmål och senast inom en månad". Detta är en kortare tidsram än under den befintliga DPA som anger 40 dagar. Kanske ännu mer krävande är att kompletterande information också måste lämnas till begäranden vid sidan av deras personuppgifter. Detta inkluderar, där det är möjligt, uppgifter om "den planerade perioden för vilken personlig information kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa den perioden”.
Ytterligare information krävs också för att förklara förfrågans rätt att begära rättelse eller radering av sina uppgifter, att invända mot bearbetningsaktiviteter, tillsammans med deras rätt att lämna in klagomål till dataskyddsmyndigheter. Organisationer kommer att behöva identifiera var de har hämtat förfrågans personuppgifter ifrån i fall där de inte har samlats in direkt från individen. Beställare kommer också att ha rätt att få information om de skyddsåtgärder som tillämpas när deras uppgifter överförs utanför Europeiska ekonomiska samarbetsområdet.
Enligt Informationskommissionärens kontor (ICO) Årsredovisning för verksamhetsåret 2015/16*, 42 % av concerns upp med dem centrerade på SAR. Detta understryker de svårigheter som organisationer redan har att följa de befintliga, mindre betungande reglerna. Det indikerar att organisationer har en bit kvar för att möta förväntningarna från kunder, personal och tillsynsmyndigheter!
En skräddarsydd praktisk session utifrån dina behov och mål
Under ICO:erna Förbereder sig för Allmän uppgiftsskyddsförordning (GDPR) – 12 steg att ta nu**, den 5:e beskriver behovet av rutiner och en plan för hur en organisation ska hantera SAR.
Med tanke på de nya kraven är det viktigt att personalen är tillräckligt utbildad för att identifiera vad som är en förfrågan och processen för att hantera den. Att vänta dagar innan processen startas och data hämtas från systemen kommer att vara riskabelt med tanke på att böterna sannolikt blir mycket hårdare enligt GDPR.
Så GDPR kan utgöra en betydande risk för organisationer och en plan att ta itu med SAR och alla andra aspekter av kraven behövs:
Utan tvekan kommer tillsynsmyndigheter också att leta efter en stark hållning för att demonstrera säkerheten för personuppgifter av registeransvariga och processorer. Det är därför vår mjukvarulösning, ISMS.online, innehåller alla verktyg och ramverk för att hantera GDPR-efterlevnad och informationssäkerhet i linje med kraven i ISO 27001.
Informationskommissionärens årsredovisning och bokslut 2015/16
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
Håll dig på rätt sida om tillsynsmyndigheterna och sova bättre på natten i vetskap om att du gör allt för att skydda kunders och personals data och hålla dina informationstillgångar säkra.
Upptäck hur100 % av våra användare uppnår ISO 27001-certifiering första gången