Beste Tipps zur Reaktion auf eine Auskunftsanfrage einer betroffenen Person

Veröffentlicht: 2022-07-19

Wenn Ihr Unternehmen eine Auskunftsanfrage für betroffene Personen (DSAR) erhält, ist es wichtig, umgehend und korrekt zu reagieren. Andernfalls können Strafen vom Information Commissioner's Office (ICO) verhängt werden. In diesem Blogbeitrag geben wir Ihnen Tipps, wie Sie rechtzeitig und effizient auf DSARs reagieren können.

Was ist eine Datensubjekt-Zugriffsanfrage (DSAR)?

Quelle

DSAR ist eine Anfrage einer Einzelperson nach Informationen über sich selbst, die von einer Organisation gehalten werden. Dies können Name, Kontaktdaten oder andere personenbezogene Daten sein, über die die Organisation verfügt. Die DSGVO gibt Einzelpersonen das Recht, eine DSAR zu stellen, und Organisationen müssen innerhalb eines Monats antworten.

Wenn eine Person mündlich einen DSAR macht, muss die Organisation ihr innerhalb von fünf Tagen eine schriftliche Bestätigung zukommen lassen. Es gibt einige Ausnahmen vom Recht, einen DSAR zu stellen, einschließlich der nationalen Sicherheit oder strafrechtlichen Ermittlungen. In den meisten Fällen haben Einzelpersonen jedoch das Recht, auf ihre Daten zuzugreifen. Wenn Sie Fragen zur Erstellung eines DSAR haben, wenden Sie sich an Ihre örtliche Datenschutzbehörde.

Wichtige Tipps für die Reaktion auf eine DSAR

Hier sind zehn Tipps, die Ihnen dabei helfen, effektiv zu reagieren:

  • Lesen Sie die DSAR sorgfältig durch: Wenn Sie eine DSAR erhalten, nehmen Sie sich die Zeit, sie sorgfältig zu lesen. Dies hilft Ihnen zu verstehen, welche Informationen die Person anfordert und ob Sie diese bereitstellen können oder nicht.
  • Überprüfen Sie die Identität des Anforderers: Bevor Sie eine DSAR erfüllen, sollten Sie die Identität des Anforderers überprüfen, um sicherzustellen, dass er derjenige ist, für den er sich ausgibt. Dies kann erfolgen, indem Sie nach einem von der Regierung ausgestellten Ausweis fragen oder ihre Identität auf andere Weise bestätigen.
  • Stellen Sie fest, ob die Anfrage gültig ist: Nachdem Sie die Identität des Anforderers überprüft haben, müssen Sie feststellen, ob die Anfrage gültig ist. Dies bedeutet sicherzustellen, dass die Person ein Recht auf Zugang zu den angeforderten Informationen im Rahmen des Datenschutzrechts hat.
  • Sammeln Sie die angeforderten Informationen: Wenn Sie feststellen, dass der DSAR gültig ist, müssen Sie die angeforderten Informationen sammeln. Dies kann die Zusammenarbeit mit anderen Abteilungen oder Personen innerhalb Ihrer Organisation erfordern, die Zugriff auf die relevanten Daten haben.
  • Bereiten Sie die Antwort vor: Nachdem Sie alle angeforderten Informationen gesammelt haben, müssen Sie Ihre Antwort vorbereiten. Dies sollte ein Anschreiben enthalten, in dem die bereitgestellten Informationen und alle unterstützenden Unterlagen aufgeführt sind.
  • Überprüfen Sie die Antwort: Bevor Sie Ihre Antwort senden, sollten Sie sie überprüfen, um sicherzustellen, dass alle angeforderten Informationen enthalten und korrekt sind. Sie sollten auch sicherstellen, dass nichts in der Antwort die Person oder ihre Daten potenziell schädigen könnte.
  • Antwort senden: Nachdem Sie Ihre Antwort überprüft und fertiggestellt haben, müssen Sie sie an den Anfragenden senden. Dies kann per Post, E-Mail oder einer anderen im DSAR angegebenen Methode erfolgen.
  • Bewahren Sie eine Aufzeichnung der Anfrage und Antwort auf: Es ist wichtig, sowohl die DSAR als auch Ihre Antwort im Falle von Fragen oder Problemen aufzubewahren. Dies hilft Ihnen auch dabei, alle DSARs zu verfolgen, die Sie erhalten und auf die Sie geantwortet haben.
  • Holen Sie sich Hilfe, wenn Sie sie brauchen: Wenn Sie sich nicht sicher sind, wie Sie auf eine DSAR reagieren sollen, oder wenn Sie andere Fragen haben, sollten Sie sich an einen qualifizierten Datenschutzexperten wenden. Sie können Sie beraten, wie Sie am besten vorgehen, und sicherstellen, dass Ihre Antwort datenschutzkonform ist.
  • Halten Sie es einfach und klar : Die Person hat das Recht zu wissen, welche personenbezogenen Daten über sie gespeichert werden, warum sie gespeichert werden und wie sie verwendet werden. Diese Informationen sollten Sie klar und prägnant angeben.
  • Seien Sie transparent: Seien Sie offen über den Prozess und darüber, was die Person von Ihnen erwarten kann. Teilen Sie ihnen mit, ob es Verzögerungen bei der Erfüllung ihrer Anfrage geben wird und warum.
  • Versuchen Sie nicht, etwas zu verbergen: Die Person hat ein Recht auf alle Informationen, die Sie über sie haben, also versuchen Sie nicht, etwas zurückzuhalten. Dies schadet nur Ihrer Beziehung zu der Person und könnte zu rechtlichen Schritten führen.
  • Halten Sie es vertraulich: Alle Informationen, die als Antwort auf eine Auskunftsanfrage einer betroffenen Person bereitgestellt werden, müssen vertraulich sein. Dies umfasst sowohl die Anfrage selbst als auch die Informationen, die Sie als Antwort bereitstellen.
  • Innerhalb der Frist antworten: Sie müssen innerhalb eines Monats nach Erhalt auf eine Auskunftsanfrage einer betroffenen Person antworten. Wenn Sie diese Frist nicht einhalten können, teilen Sie dies der Person mit und erklären Sie den Grund.
  • Geben Sie die Informationen in einem leicht verständlichen Format an : Die Person hat das Recht, ihre Daten in einem leicht lesbaren und verständlichen Format zu erhalten. Vermeiden Sie Fachjargon oder Fachsprache, wo immer es möglich ist.
  • Machen Sie keine Vermutungen : Jeder Auskunftsantrag einer betroffenen Person ist anders. Machen Sie keine Annahmen darüber, was die Person will oder braucht oder wie sie die von Ihnen bereitgestellten Informationen verwenden wird.

Welche Informationen sollten in einer DSAR-Antwort enthalten sein?

Quelle

Eine Antwort auf eine Datensubjekt-Zugriffsanfrage (DSAR) sollte alle personenbezogenen Daten enthalten, die über eine Person gespeichert sind. Diese Daten sollten alle Informationen enthalten, die zur Identifizierung einer Person verwendet werden könnten, wie z. B. Name, Adresse, Geburtsdatum oder Kontaktdaten.

Darüber hinaus sollte die Antwort alle Informationen enthalten, die über eine Person gesammelt wurden, wie z. B. deren Browserverlauf oder Kaufverlauf. Schließlich sollte die Antwort auch erläutern, welche Schritte unternommen wurden, um die Daten einer Person vor dem Zugriff durch Unbefugte zu schützen.

Durch die Bereitstellung dieser Informationen trägt eine DSAR-Antwort dazu bei, dass die Daten einer Person geschützt und transparent sind.

Tipps zum Erstellen und Überprüfen von Zugriffsanfragen betroffener Personen

Die DSGVO erlegt Organisationen strenge Verpflichtungen zum Umgang mit personenbezogenen Daten auf, einschließlich Auskunftsanfragen (SARs). Hier sind unsere Top-Tipps für die Erstellung und Überprüfung von SARs:

  • Stellen Sie sicher, dass Sie ein dediziertes Team oder eine Person haben, die für die Bearbeitung von SARs verantwortlich ist. Dies trägt dazu bei, dass Anfragen umgehend und gemäß der DSGVO bearbeitet werden.
  • Richten Sie Verfahren für den Umgang mit Verdachtsmeldungen ein, einschließlich eines klaren Prozesses zur Identifizierung der betroffenen Person, Überprüfung ihrer Identität und Lokalisierung der relevanten Informationen.
  • Reagieren Sie innerhalb eines Monats auf SARs, es sei denn, es gibt einen triftigen Grund für eine Verlängerung dieser Frist. Wenn Sie den Zeitraum verlängern müssen, müssen Sie die betroffene Person innerhalb eines Monats nach Erhalt ihres Antrags benachrichtigen.
  • Stellen Sie sicher, dass Sie über ein System verfügen, um Anfragen zu verfolgen und sicherzustellen, dass sie umgehend bearbeitet werden.
  • Seien Sie bei der Beantwortung von Verdachtsmeldungen so spezifisch wie möglich, insbesondere bei den von Ihnen bereitgestellten Informationen und den Gründen für alle von Ihnen getroffenen Entscheidungen.
  • Wenn Sie beabsichtigen, einer betroffenen Person Informationen vorzuenthalten, müssen Sie sich bewusst sein, dass Sie dafür eine gültige Rechtsgrundlage haben müssen.
  • Bewahren Sie Aufzeichnungen über alle erhaltenen SARs auf, einschließlich Einzelheiten darüber, wie sie behandelt wurden und das Ergebnis. Dies wird Ihnen helfen, Bereiche zu identifizieren, in denen Ihre Prozesse verbessert werden könnten.
  • Überprüfen Sie Ihre Verfahren regelmäßig, um sicherzustellen, dass sie zweckmäßig und mit der DSGVO konform sind.
  • Seien Sie darauf vorbereitet, mit komplexen Verdachtsmeldungen umzugehen, bei denen Sie möglicherweise eine große Datenmenge durchsuchen müssen. Dies kann zeitaufwändig und ressourcenintensiv sein, daher ist Planung wichtig.
  • Lassen Sie sich rechtlich beraten, wenn Sie sich nicht sicher sind, wie Sie mit einer SAR umgehen sollen, oder wenn Sie glauben, dass die Anfrage unbegründet oder übertrieben ist.

Gefahren der Nichtbeantwortung einer Auskunftsanfrage einer betroffenen Person

Quelle

Wenn Sie sich entscheiden, auf eine Auskunftsanfrage einer betroffenen Person nicht zu antworten, verstoßen Sie möglicherweise gegen die DSGVO. Dies kann zu einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent Ihres weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Darüber hinaus müssen Sie möglicherweise Schadensersatz an die Person zahlen, die den Antrag gestellt hat.

Wenn Sie auf eine Auskunftsanfrage einer betroffenen Person nicht reagieren, besteht für Ihr Unternehmen auch das Risiko, dass Ihr Ruf geschädigt wird. Wenn bekannt wird, dass Sie die DSGVO nicht einhalten, können Einzelpersonen das Vertrauen in Ihr Unternehmen verlieren und sich dafür entscheiden, ihr Geschäft woanders zu verlagern. Dies könnte erhebliche Auswirkungen auf Ihr Endergebnis haben.

Darüber hinaus kann die Nichtbeantwortung einer Auskunftsanfrage einer betroffenen Person Ihre Fähigkeit beeinträchtigen, andere DSGVO-Anforderungen wie Datenminimierung und Datengenauigkeit einzuhalten. Wenn Sie die angeforderten Informationen nicht haben, können Sie diese Grundsätze nicht einhalten. Dies könnte zu zusätzlichen Bußgeldern der Aufsichtsbehörde führen.

Wenn Sie schließlich eine Auskunftsanfrage einer betroffenen Person von einer Person erhalten, die auch ein Kunde oder Mitarbeiter Ihres Unternehmens ist, könnte eine Nichtbeantwortung dieser Beziehung diese Beziehung gefährden. Die Person hat möglicherweise das Gefühl, dass Sie ihre Privatsphäre nicht schätzen, und entscheidet sich dafür, ihre Verbindung zu Ihrer Organisation zu beenden.

Wie Sie sehen können, sind viele Risiken mit der Nichtbeantwortung einer Auskunftsanfrage einer betroffenen Person verbunden. Wenn Sie eine solche Anfrage erhalten, ist es wichtig, einen Rechtsbeistand zu konsultieren, um sicherzustellen, dass Sie die entsprechenden Schritte unternehmen, um der Aufforderung nachzukommen.

Fazit

Die Beantwortung einer Auskunftsanfrage einer betroffenen Person kann entmutigend sein, aber es ist wichtig, das Gesetz einzuhalten. Wenn Sie diese Tipps befolgen, können Sie auf Kundenanfragen reagieren. Haben Sie sich jemals mit einem Auskunftsersuchen einer betroffenen Person befasst? Was war Ihre Erfahrung? Lass uns wissen!

Digiprove-SiegelThis content has been Digiproved © 2022 Tribulant Software