מענה לבקשת נושא מידע לעיין במידע שהארגון מעבד עליו מחייב את הארגון לאתר את המידע המבוקש מכל מערכות המידע שלו - פיזיות ואלקטרוניות - לרבות מערכות גיבוי - כך מבהירה טיוטת הנחיה שפרסם רגולטור הפרטיות הבריטי (Information Commissioner's Office - ICO) מוקדם יותר החודש. ההנחיה עוסקת בישום הזכות שה-GDPR מקנה לנושאי מידע לבקש עותק מהמידע שמעובד עליהם ולברר פרטים נוספים על אופן עיבוד המידע, שיתופו עם אחרים וכדומה.
טיוטת ההנחיה ממליצה לארגונים הכפופים ל-GDPR להיערך באופן נאות לטיפול בבקשות לעיון במידע, בין היתר באמצעות:
- שקיפות מוגברת לנושאי המידע המבהירה כיצד הם רשאים לממש את זכותם לעיין במידע.
- הדרכת צוותי העובדים בארגון שיש להם נגיעה לטיפול בבקשות עיון במידע.
- מינוי גורם ראשי שיהיה אמון על ניהול הטיפול בבקשות עיון.
- מיפוי מערכות המידע והתיקיות הפיזיות בהן שמור מידע אישי ותיעוד המיפוי.
- הכנת צ'ק ליסט לטיפול בבקשות עיון במידע על מנת להבטיח טיפול נכון ועקבי בכל הבקשות.
- אחזקת יומן טיפול בבקשות לעיון במידע, כאמצעי לתיעוד הבקשות שהתקבלו והמענה שניתן להן.
- גיבוש מדיניות שמירת ומחיקת מידע שתבטיח שמידע נמחק כאשר מוצו מטרות השימוש בו וכך יצטמצם היקף המידע שיש לספק במענה לבקשת עיון במידע.
ההנחיה מפרטת גם אודות נסיבות בהן ניתן לסרב לבקשת העיון או לצמצמה, כדוגמת בקשה המשתרעת על מידע ניהולי-עסקי רגיש, מידע שנמסר בחוות דעת חסויה על מועמדים למשרה, וחיסיון מקצועי כדוגמת חיסיון עו"ד-לקוח.