Der Übergang zu einer digitalen Wirtschaft hat es den Unternehmen ermöglicht, in kürzester Zeit eine außerordentliche Menge an personenbezogenen Daten zu sammeln. Viele Unternehmen speichern diese Daten und werten sie bei Bedarf aus, um neue Marketingmöglichkeiten zu schaffen. Detaillierte demografische Daten, Web-Browsing-Gewohnheiten und Kaufhistorie sind nur einige der begehrten Datenkategorien. Ein einzelnes Unternehmen sammelt oft Informationen aus verschiedenen Quellen, z. B. Registrierungen und Serviceanfragen. Speichern Sie die Daten nach Typ und nicht nach Person, um Kundenkontaktdaten in einem System und Kundendienstaufzeichnungen in einem anderen zu finden. Ohne ein umfassendes Verfahren kann es nahezu unmöglich sein, die Daten zusammenzuführen, um den Auskunftsersuchen der Betroffenen nachzukommen.
Die Grundlagen von Anträgen auf Zugang zu personenbezogenen Daten
Das Datenschutzgesetz von 1998 wurde zum Schutz der Verbraucher vor dem Missbrauch ihrer persönlichen Daten erlassen. Abschnitt 7 der Verordnung enthält besondere Verpflichtungen für Einrichtungen, die Verbraucherdaten speichern. Einzelpersonen haben das Recht, einen Antrag auf Zugang zu personenbezogenen Daten (Data Subject Access Request, DSAR) zu stellen, um eine Kopie der von einer Organisation gespeicherten Daten zu erhalten. Nach Erhalt eines DSAR müssen Unternehmen Folgendes vorlegen:
- Bestätigung, dass die Organisationen über die angeforderten persönlichen Daten verfügen
- Eine Beschreibung der personenbezogenen Daten
- Eine Erklärung, warum die Organisation personenbezogene Daten speichert und verarbeitet
- Einzelheiten zu den Plänen zur Weitergabe der Daten an andere Stellen
- Eine Kopie der vom Unternehmen aufbewahrten Informationen
- Die Quelle des Materials, das sich im Besitz der Organisation befindet
Darüber hinaus müssen Organisationen Antragstellern eine Erklärung für automatisierte Entscheidungen geben, z. B. für die Verweigerung von Kredit- oder Leistungsbewertungen.
Wenn eine Organisation eine schriftliche Anfrage erhält, hat sie 40 Tage Zeit, um zu antworten. Mit der im Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung (GDPR) wird dieser Zeitrahmen auf 30 Tage verkürzt. Die Nichteinhaltung von DSARs ist einfach keine Option, da die Geldstrafen für die Nichteinhaltung bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen können.
Die Herausforderungen bei der Erfüllung von Anträgen auf Zugang zu Daten
Die meisten Organisationen sehen sich bei Erhalt einer DSAR mit der Einhaltung der gesetzlichen Bestimmungen konfrontiert. Ohne ein klar definiertes Verfahren stehen sie vor einer Reihe von Hindernissen:
- Die Definition von "persönlichen Informationen" ist weit gefasst
- Verschiedene Abteilungen und Systeme speichern personenbezogene Daten über eine Person
- Systeme speichern Informationen in verschiedenen Formaten
- Es gibt kein standardisiertes Format für Anträge, was die Überprüfung der Identität erschwert
- Die Verwendung nicht standardisierter Anfrageformulare kann zu unvollständigen Ergebnissen bei der Datensuche führen.
- Die Unternehmen müssen die Daten in einem für den Antragsteller verständlichen Format zusammenstellen
Schließlich müssen die Organisationen all dies vor Ablauf der 40-Tage-Frist (30 Tage ab Mai 2018) erledigen. Diese Frist für die Beantwortung von Anfragen kann nur selten verlängert werden.
Vereinfachung von Anträgen auf Datenzugang mit BPM-Software
Wenn Sie eine DSAR erhalten, hängt es von zwei Faktoren ab, ob Ihr Unternehmen in der Lage ist, die relevanten Informationen zusammenzustellen und sie dem Antragsteller innerhalb des erforderlichen Zeitrahmens zu übermitteln. Erstens muss Ihr Unternehmen über eine umfassende Datenverwaltungslösung verfügen, die gewährleistet, dass Sie die benötigten Informationen bei Bedarf abrufen können. Zweitens muss Ihr Unternehmen über einen definierten Prozess für die Verwaltung von DSARs verfügen, um sicherzustellen, dass Sie Anfragen umgehend und präzise bearbeiten.
Erleichterung einer guten Datenverwaltung
BPM-Software erleichtert das Abrufen von Daten, indem sie einen sicheren, zentralisierten Speicherort für Informationen bereitstellt. Wenn Daten durch mit der BPM-Software automatisierte Prozesse in das Unternehmen gelangen, werden sie in bestimmten Tabellen in der angeschlossenen Datenbank gespeichert und sind so später leicht auffindbar. Darüber hinaus können Sie bestehende Datenbanken und Legacy-Systeme mit der BPM-Software-Datenbank verbinden, um DSAR-Antworten zu optimieren und Daten zu erfassen, die nicht durch automatisierte Prozesse eingegeben wurden. Dies löst die Herausforderung, Informationen an verschiedenen Orten zu speichern, und bietet eine Grundlage für eine effektive Datenverwaltung.
Hochwertige BPM-Software verfügt über weitere Tools, die es Ihnen ermöglichen, Daten zu schützen und problemlos abzurufen. Erweiterte Sicherheitsfunktionen ermöglichen es Ihnen, Berechtigungen zum Schutz sensibler Informationen festzulegen. Passen Sie die Berechtigungen auf der Grundlage von Benutzern oder Rollen an und stellen Sie so sicher, dass nur befugte Personen Zugriff auf vertrauliche Daten haben, wenn sie einer Anfrage nachkommen. Sie können Dokumente, die Daten enthalten, die sich auf mehrere Personen beziehen, mit Tags versehen, so dass Sie nichts auslassen, wenn eine oder alle betroffenen Parteien einen DSAR einreichen. Schließlich können Sie die BPM-Software anweisen, Daten nach einem bestimmten Zeitraum automatisch aus der Datenbank zu löschen. Auf diese Weise wird die Menge der gespeicherten personenbezogenen Daten minimiert, was das Risiko für die Organisation verringert.
Automatisierung von Anträgen auf Zugang zu personenbezogenen Daten
Mit BPM-Software können Sie einen klaren Prozess für die Bearbeitung von DSARs schaffen, der mit der ersten Anfrage beginnt. BPM-Software bietet Lösungen für standardisierte digitale Antragsformulare, die das Erfassen und Überprüfen von Identifikationsdaten erleichtern. Weisen Sie einem Benutzer nach Erhalt eines Anfrageformulars automatisch einen Fall zu, um eine rasche Bearbeitung der Anfragen zu ermöglichen. Sie können auch Service Level Agreements (SLAs) innerhalb der BPM-Software erstellen, um das Unternehmen vor Risiken im Zusammenhang mit verspäteten Antworten und den daraus resultierenden Bußgeldern zu schützen. Weisen Sie den Aufgaben innerhalb des Prozesses und dem Fall als Ganzem Fälligkeitstermine zu, um die Erfüllung jedes DSAR innerhalb des erforderlichen Zeitrahmens zu vereinfachen.
Über die BPM-Plattform können Sie Prozesslandkarten verwenden, um den Datenfluss transparent zu machen, und Workflows erstellen, um Prüfpfade für personenbezogene Daten zu verwalten und aufzubewahren. Die Software zeichnet automatisch auf, wie Sie versuchen, die DSAR einzuhalten. Wenn eine Antwort nicht innerhalb der Frist fertig gestellt werden kann, gibt es eine Aufzeichnung über die Bemühungen, die unternommen wurden, um die Anforderungen zu erfüllen. Sie können Ihre BPM-Software auch nutzen, um eine Vorlage für die Antworten zu erstellen. Wenn alle personenbezogenen Daten, die zu der Anfrage gehören, abgerufen sind, wird die Antwort automatisch erstellt und an den Anfragenden gesendet.
Erfahren Sie mehr darüber, wie Sie durch Prozessautomatisierung die Einhaltung der Vorschriften für Datenzugriffsanfragen erleichtern können, unter ProcessMaker.
