Meilleurs conseils pour répondre à une demande d'accès à une personne concernée

Publié: 2022-07-19

Si votre entreprise reçoit une demande d'accès aux données (DSAR), il est important d'y répondre rapidement et correctement. Ne pas le faire peut entraîner des sanctions de la part du Bureau du Commissaire à l'information (ICO). Dans cet article de blog, nous vous fournirons des conseils sur la façon de répondre aux DSAR de manière rapide et efficace.

Qu'est-ce qu'une demande d'accès aux données personnelles (DSAR) ?

La source

DSAR est une demande d'un individu pour des informations sur lui-même détenues par une organisation. Cela peut inclure leur nom, leurs coordonnées ou toute autre donnée personnelle que l'organisation détient dans ses dossiers. Le GDPR donne aux individus le droit de faire un DSAR, et les organisations doivent répondre dans un délai d'un mois.

Si une personne fait un DSAR verbalement, l'organisation doit lui fournir une confirmation écrite dans les cinq jours. Il existe certaines exceptions au droit de faire un DSAR, y compris la sécurité nationale ou les enquêtes criminelles. Cependant, dans la plupart des cas, les individus ont le droit d'accéder à leurs données. Si vous avez des questions sur la création d'un DSAR, contactez votre autorité locale de protection des données.

Conseils clés pour répondre à un DSAR

Voici dix conseils pour vous aider à réagir efficacement :

  • Lisez attentivement le DSAR : Lorsque vous recevez un DSAR, prenez le temps de le lire attentivement. Cela vous aidera à comprendre quelles informations la personne demande et si vous pouvez ou non les fournir.
  • Vérifiez l'identité du demandeur : avant de répondre à tout DSAR, vous devez vérifier l'identité du demandeur pour vous assurer qu'il est bien celui qu'il prétend être. Cela peut être fait en demandant une pièce d'identité émise par le gouvernement ou en confirmant leur identité par une autre méthode.
  • Déterminer si la demande est valide : Une fois que vous avez vérifié l'identité du demandeur, vous devrez déterminer si la demande est valide. Cela signifie qu'il faut s'assurer que la personne a le droit d'accéder aux informations demandées en vertu de la loi sur la protection des données.
  • Recueillir les informations demandées : si vous déterminez que le DSAR est valide, vous devrez collecter les informations demandées. Cela peut nécessiter de travailler avec d'autres services ou personnes au sein de votre organisation qui ont accès aux données pertinentes.
  • Préparez la réponse : Une fois que vous avez recueilli toutes les informations demandées, vous devrez préparer votre réponse. Cela devrait inclure une lettre d'accompagnement décrivant les informations fournies et toute pièce justificative.
  • Examinez la réponse : avant d'envoyer votre réponse, vous devez l'examiner pour vous assurer que toutes les informations demandées sont incluses et exactes. Vous devez également vérifier que rien dans la réponse ne pourrait potentiellement nuire à la personne ou à ses données.
  • Envoyez la réponse : Une fois que vous avez examiné et finalisé votre réponse, vous devrez l'envoyer au demandeur. Cela peut être fait par courrier, par e-mail ou par une autre méthode spécifiée dans le DSAR.
  • Conservez un enregistrement de la demande et de la réponse : il est important de conserver un enregistrement du DSAR et de votre réponse en cas de questions ou de problèmes. Cela vous aidera également à suivre tous les DSAR que vous avez reçus et auxquels vous avez répondu.
  • Demandez de l'aide si vous en avez besoin : si vous ne savez pas comment répondre à un DSAR ou si vous avez d'autres questions, vous devez demander l'aide d'un professionnel qualifié de la protection des données. Ils pourront vous conseiller sur la meilleure façon de procéder et s'assurer que votre réponse est conforme à la loi sur la protection des données.
  • Restez simple et clair : L'individu a le droit de savoir quelles données personnelles sont détenues à son sujet, pourquoi elles sont détenues et comment elles sont utilisées. Vous devez fournir ces informations de manière claire et concise.
  • Soyez transparent : Soyez franc au sujet du processus et de ce que la personne peut attendre de vous. Faites-leur savoir s'il y aura des retards dans l'exécution de leur demande et pourquoi.
  • N'essayez pas de cacher quoi que ce soit : L'individu a droit à toutes les informations que vous détenez sur lui, alors n'essayez pas de cacher quoi que ce soit. Cela ne fera que nuire à votre relation avec la personne et pourrait entraîner des poursuites judiciaires.
  • Gardez-le confidentiel : Toutes les informations fournies en réponse à une demande d'accès d'une personne concernée doivent être confidentielles. Cela inclut à la fois la demande elle-même et les informations que vous fournissez en réponse.
  • Répondre dans le délai : Vous devez répondre à une demande d'accès d'une personne concernée dans un délai d'un mois à compter de sa réception. Si vous ne pouvez pas respecter ce délai, informez-en la personne et expliquez pourquoi.
  • Fournissez les informations dans un format facile à comprendre : La personne a le droit de recevoir ses données dans un format facilement lisible et compréhensible. Évitez le jargon ou le langage technique dans la mesure du possible.
  • Ne faites pas de suppositions : Chaque demande d'accès d'une personne concernée est différente. Ne présumez pas de ce que la personne veut ou a besoin ou de la façon dont elle utilisera les informations que vous fournissez.

Quelles informations doivent être incluses dans une réponse DSAR

La source

Une réponse à une demande d'accès aux données (DSAR) doit inclure toutes les données personnelles détenues sur un individu. Ces données doivent inclure toute information pouvant être utilisée pour identifier une personne, telle que son nom, son adresse, sa date de naissance ou ses coordonnées.

En outre, la réponse doit inclure toutes les informations collectées sur un individu, telles que son historique de navigation ou son historique d'achat. Enfin, la réponse doit également expliquer quelles mesures ont été prises pour protéger les données d'un individu contre l'accès par des personnes non autorisées.

En fournissant ces informations, une réponse DSAR permet de garantir que les données d'un individu sont protégées et entourées de transparence.

Conseils pour compiler et examiner les demandes d'accès des personnes concernées

Le RGPD impose des obligations strictes aux organisations en matière de traitement des données personnelles, y compris les demandes d'accès aux sujets (SAR). Voici nos meilleurs conseils pour compiler et réviser les SAR :

  • Assurez-vous d'avoir une équipe dédiée ou une personne responsable du traitement des SAR. Cela contribuera à garantir que les demandes sont traitées rapidement et conformément au RGPD.
  • Mettez en place des procédures pour traiter les SAR, y compris un processus clair pour identifier la personne concernée, vérifier son identité et localiser les informations pertinentes.
  • Répondre aux SAR dans un délai d'un mois, sauf s'il existe une bonne raison de prolonger ce délai. Si vous devez prolonger le délai, vous devez en informer la personne concernée dans un délai d'un mois à compter de la réception de sa demande.
  • Assurez-vous d'avoir un système en place pour suivre les demandes et vous assurer qu'elles sont traitées rapidement.
  • Soyez aussi précis que possible lorsque vous répondez aux SAR, en particulier avec les informations que vous fournissez et les raisons des décisions que vous avez prises.
  • Si vous avez l'intention de ne pas divulguer des informations à une personne concernée, sachez que vous devez disposer d'une base juridique valable pour le faire.
  • Conservez des enregistrements de tous les SAR reçus, y compris des détails sur la façon dont ils ont été traités et le résultat. Cela vous aidera à identifier les domaines où vos processus pourraient être améliorés.
  • Passez régulièrement en revue vos procédures pour vous assurer qu'elles sont adaptées à l'objectif et conformes au RGPD.
  • Soyez prêt à faire face à des SAR complexes, qui peuvent vous obliger à rechercher dans un grand volume de données. Cela peut prendre beaucoup de temps et de ressources, la planification est donc importante.
  • Demandez des conseils juridiques si vous n'êtes pas sûr de la façon de traiter une SAR ou si vous pensez que la demande est infondée ou excessive.

Dangers de ne pas répondre à la demande d'accès de la personne concernée

La source

Si vous choisissez de ne pas répondre à une demande d'accès d'une personne concernée, vous pouvez enfreindre le RGPD. Cela pourrait entraîner une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % de votre chiffre d'affaires annuel mondial, selon le montant le plus élevé. De plus, vous pourriez être tenu de payer des dommages-intérêts à la personne qui a soumis la demande.

Ne pas répondre à une demande d'accès d'une personne concernée expose également votre organisation à un risque d'atteinte à la réputation. Si l'on apprend que vous ne vous conformez pas au RGPD, les individus peuvent perdre confiance en votre organisation et choisir de prendre leurs affaires ailleurs. Cela pourrait avoir un impact significatif sur votre résultat net.

De plus, le fait de ne pas répondre à une demande d'accès d'une personne concernée pourrait entraver votre capacité à vous conformer aux autres exigences du RGPD, telles que la minimisation et l'exactitude des données. Si vous ne disposez pas des informations demandées, vous ne pourrez pas respecter ces principes. Cela pourrait entraîner des amendes supplémentaires de la part de l'autorité de surveillance.

Enfin, si vous recevez une demande d'accès à une personne concernée d'une personne qui est également un client ou un employé de votre organisation, ne pas répondre pourrait compromettre cette relation. La personne peut penser que vous ne tenez pas à sa vie privée et choisir de mettre fin à son association avec votre organisation.

Comme vous pouvez le constater, de nombreux risques sont associés au fait de ne pas répondre à une demande d'accès d'une personne concernée. Si vous recevez une telle demande, il est important de consulter un conseiller juridique pour vous assurer que vous prenez les mesures appropriées pour vous y conformer.

Conclusion

Répondre à une demande d'accès à une personne concernée peut être intimidant, mais il est important de se conformer à la loi. En suivant ces conseils, vous serez en mesure de répondre aux demandes des clients. Avez-vous déjà traité une demande d'accès d'une personne concernée ? Quelle a été votre expérience ? Faites le nous savoir!

Sceau DigiproveThis content has been Digiproved © 2022 Tribulant Software