Hvis en kunde eller en medarbejder beder om at få indsigt i de persondata, du har liggende om ham eller hende, så har du pligt til at imødekomme dette ønske. Du skal altså samle de persondata, du har om vedkommende – enten i form af kopier eller indført i et selvstændigt dokument – og give det senest 1 måned efter, at du har fået anmodningen.
Hvis du i din gennemgang af dine databaser – både fysiske og IT-mæssige – finder ud af, at du har "for mange" data om vedkommende, så må du ikke bare slette det forud for besvarelse af indsigtsbegæringen. Det kan i sig selv være et brud på persondatalovgivningen.
Datatilsynet har indtaget denne holdning i forbindelse med en klagesag over et vikarbureau, hvor bureauet netop havde slettet en række data mellem modtagelsen af indsigtsbegæringen og besvarelsen heraf. Datatilsynet har indstillet til, at der udstedes en bøde på 50.000 kr. til bureauet for bruddet.
Hvis du har for meget data – det vil sige data, der ligger ud over, hvad du har et fornuftigt formål med, så må du starte med at besvare indsigtsbegæringen og i samme ombæring oplyse, at du vil slette en del af disse. Du kan med fordel oplyse præcis hvilke data, du vil slette. Optimalt set så har du dog aldrig mere data, end du har brug for i forhold til det forhold, du har med den, du har data om.
Er du i tvivl om, hvorvidt du har styr på persondata? Så husk, at du kan booke et konsulentbesøg fra Dansk Bilbrancheråd til gennemgang af din virksomhed i forhold til GDPR. Se nærmere her.