Revising the management of consents as records by check lists
Translated title
Sjekklistebasert revisjon for behandling av elektroniske samtykker
Author
Bennæs, Svein Olaf
Term
4. term
Publication year
2018
Submitted on
2018-06-14
Pages
26
Abstract
Den 25. maj 2018 trådte EU’s Databeskyttelsesforordning (GDPR) i kraft. Siden da skal virksomheder og offentlige myndigheder håndtere borgeres samtykker på en mere struktureret og veldokumenteret måde. Denne afhandling samler en praktisk tjekliste og tilhørende værktøjer, der kan bruges til at styre og dokumentere elektroniske samtykker. Tjeklisten er målrettet dataansvarlige (organisationer, der bestemmer formålet med brug af personoplysninger), journal- og arkivforvaltning (records management), databeskyttelsesrådgivere (DPO’er) og andre med ansvar for efterlevelse af GDPR og god dokumenthåndtering. Mange har oplevet henvendelser om at fortsætte behandling af personoplysninger efter GDPR’s ikrafttræden, og sager som Facebook/Cambridge Analytica har øget opmærksomheden på samtykke. EU’s justitskommissær Vera Jourová har understreget, at personoplysninger er meget værdifulde, og at virksomheder har et skærpet ansvar. Selvom arbejdet kan virke teoretisk, omsættes teorien til konkrete værktøjer. Et centralt valg er at betragte samtykke som et selvstændigt bevis (et “samtykkeobjekt”) med sin egen livscyklus – fra indhentning og brug til opbevaring og sletning – adskilt fra den overordnede forretningsproces. Tjeklistens kontrolpunkter adresserer specifikke GDPR-krav og er koblet til processer beskrevet i anerkendte standarder og rammeværk. Kontrollerne udføres ved at besvare tjeklistens spørgsmål og dokumentere referencer, hvor der mangler umiddelbare svar i den konkrete behandling. Formålet er at hjælpe organisationer med at vurdere, om deres systemer, rutiner og procedurer understøtter GDPR’s krav til samtykke, og om samtykkedokumentation vil kunne anerkendes som autentisk bevis i en fremtidig sag. Tjeklisten kan bruges selvstændigt eller indgå i en større revision eller en risiko- og sårbarhedsanalyse.
On 25 May 2018, the EU’s General Data Protection Regulation (GDPR) took effect. Since then, organizations must manage people’s consent for using personal data in a more structured and well-documented way. This thesis brings together a practical checklist and tools to manage and evidence electronic consents. The checklist is intended for data controllers (organizations that decide how personal data are used), records management professionals, Data Protection Officers (DPOs), and others responsible for GDPR and records management compliance. Many people received requests to continue processing their data after GDPR took effect, and cases such as Facebook/Cambridge Analytica have heightened attention to consent. EU Justice Commissioner Vera Jourová has emphasized that personal data are highly valuable and that companies carry greater responsibility. Although the work may seem theoretical, the theory is turned into practical controls. A key design choice is to treat consent as its own record (a “consent object”) with a distinct life cycle—from collection and use to storage and deletion—separate from the broader business process. The checklist’s control questions address specific GDPR requirements and are linked to processes described in recognized standards and frameworks. Controls are applied by answering the checklist and recording references where immediate answers are not available in the processing context. The goal is to help organizations assess whether their systems, routines, and procedures support GDPR’s consent requirements, and whether consent documentation would stand as authentic evidence if tested in a future case. The checklist can be used on its own or as part of a larger audit or a risk and vulnerability analysis.
[This abstract was generated with the help of AI]
Keywords
Documents