Kiat Terbaik tentang Cara Menanggapi Permintaan Akses Subjek Data

Jika perusahaan Anda menerima permintaan akses subjek data (DSAR), penting untuk merespons dengan segera dan benar. Kegagalan untuk melakukannya dapat mengakibatkan hukuman dari Kantor Komisaris Informasi (ICO). Dalam posting blog ini, kami akan memberi Anda tips tentang cara menanggapi DSAR secara tepat waktu dan efisien.

Apa itu Permintaan Akses Subjek Data (DSAR)?

Sumber

DSAR adalah permintaan dari seorang individu untuk informasi tentang diri mereka yang dimiliki oleh suatu organisasi. Ini dapat mencakup nama mereka, detail kontak, atau data pribadi lainnya yang disimpan organisasi. GDPR memberi individu hak untuk membuat DSAR, dan organisasi harus merespons dalam waktu satu bulan.

Jika seseorang membuat DSAR secara lisan, organisasi harus memberikan konfirmasi tertulis kepada mereka dalam waktu lima hari. Ada beberapa pengecualian terhadap hak untuk membuat DSAR, termasuk keamanan nasional atau investigasi kriminal. Namun, dalam banyak kasus, individu memiliki hak untuk mengakses data mereka. Jika Anda memiliki pertanyaan tentang membuat DSAR, hubungi Otoritas Perlindungan Data setempat.

Kiat Utama untuk Menanggapi DSAR

Berikut adalah sepuluh tip untuk membantu Anda merespons secara efektif:

• Baca DSAR dengan Hati-hati: Saat Anda menerima DSAR, luangkan waktu untuk membacanya dengan cermat. Ini akan membantu Anda memahami informasi apa yang diminta individu tersebut dan apakah Anda dapat memberikannya atau tidak.
• Periksa Identitas Pemohon: Sebelum memenuhi DSAR apa pun, Anda harus memeriksa identitas pemohon untuk memastikan mereka adalah yang mereka katakan. Ini dapat dilakukan dengan meminta ID yang dikeluarkan pemerintah atau mengonfirmasi identitas mereka melalui metode lain.
• Tentukan Apakah Permintaan Itu Valid: Setelah Anda memverifikasi identitas pemohon, Anda perlu menentukan apakah permintaan itu valid. Ini berarti memastikan bahwa individu tersebut memiliki hak untuk mengakses informasi yang diminta berdasarkan undang-undang perlindungan data.
• Kumpulkan Informasi yang Diminta: Jika Anda menentukan bahwa DSAR valid, Anda perlu mengumpulkan informasi yang diminta. Ini mungkin memerlukan kerja sama dengan departemen atau individu lain dalam organisasi Anda yang memiliki akses ke data yang relevan.
• Siapkan Tanggapan: Setelah Anda mengumpulkan semua informasi yang diminta, Anda perlu menyiapkan tanggapan Anda. Ini harus mencakup surat pengantar yang menguraikan informasi yang diberikan dan semua dokumentasi pendukung.
• Tinjau Tanggapan: Sebelum mengirim tanggapan Anda, Anda harus meninjaunya untuk memastikan bahwa semua informasi yang diminta disertakan dan akurat. Anda juga harus memeriksa untuk memastikan bahwa tidak ada respons yang berpotensi membahayakan individu atau data mereka.
• Kirim Tanggapan: Setelah Anda meninjau dan menyelesaikan tanggapan Anda, Anda harus mengirimkannya ke pemohon. Ini dapat dilakukan melalui surat, email, atau metode lain yang ditentukan dalam DSAR.
• Catat Permintaan Dan Tanggapan: Penting untuk menyimpan catatan DSAR dan tanggapan Anda jika ada pertanyaan atau masalah. Ini juga akan membantu Anda melacak semua DSAR yang telah Anda terima dan tanggapi.
• Cari Bantuan Jika Anda Membutuhkannya: Jika Anda tidak yakin bagaimana menanggapi DSAR atau memiliki pertanyaan lain, Anda harus mencari bantuan dari profesional perlindungan data yang berkualifikasi. Mereka akan dapat memberi tahu Anda tentang cara terbaik untuk melanjutkan dan memastikan bahwa tanggapan Anda sesuai dengan undang-undang perlindungan data.
• Tetap sederhana dan jelas : Individu memiliki hak untuk mengetahui data pribadi apa yang disimpan tentang mereka, mengapa disimpan, dan bagaimana data tersebut digunakan. Anda harus memberikan informasi ini dengan jelas dan ringkas.
• Bersikaplah transparan: Bersikaplah terbuka tentang proses dan apa yang dapat diharapkan individu dari Anda. Beri tahu mereka jika akan ada penundaan dalam memenuhi permintaan mereka dan alasannya.
• Jangan mencoba menyembunyikan apa pun: Individu memiliki hak atas semua informasi yang Anda simpan di dalamnya, jadi jangan mencoba menyembunyikan apa pun. Ini hanya akan merusak hubungan Anda dengan individu tersebut dan dapat mengarah pada tindakan hukum.
• Jaga kerahasiaannya: Semua informasi yang diberikan sebagai tanggapan atas permintaan akses subjek data harus dirahasiakan. Ini mencakup permintaan itu sendiri dan informasi yang Anda berikan sebagai tanggapan.
• Menanggapi dalam batas waktu : Anda harus menanggapi permintaan akses subjek data dalam waktu satu bulan setelah menerimanya. Jika Anda tidak dapat memenuhi tenggat waktu ini, beri tahu orang tersebut dan jelaskan alasannya.
• Menyediakan informasi dalam format yang mudah dipahami : Individu berhak menerima datanya dalam format yang mudah dibaca dan dimengerti. Hindari jargon atau bahasa teknis sedapat mungkin.
• Jangan berasumsi : Setiap permintaan akses subjek data berbeda. Jangan membuat asumsi tentang apa yang diinginkan atau dibutuhkan individu atau bagaimana mereka akan menggunakan informasi yang Anda berikan.

Informasi Apa yang Harus Disertakan dalam Tanggapan DSAR

Sumber

Respons Permintaan Akses Subjek Data (DSAR) harus mencakup semua data pribadi yang disimpan pada individu. Data ini harus mencakup informasi apa pun yang dapat digunakan untuk mengidentifikasi individu, seperti nama, alamat, tanggal lahir, atau detail kontak mereka.

Selain itu, tanggapan harus mencakup informasi apa pun yang dikumpulkan tentang seseorang, seperti riwayat penjelajahan atau riwayat pembelian mereka. Terakhir, tanggapan juga harus menjelaskan langkah-langkah apa yang telah diambil untuk melindungi data individu agar tidak diakses oleh individu yang tidak berwenang.

Dengan memberikan informasi ini, respons DSAR membantu memastikan bahwa data individu dilindungi dan diselimuti transparansi.

Tips untuk Mengkompilasi dan Meninjau Permintaan Akses Subjek Data

GDPR memberlakukan kewajiban ketat pada organisasi untuk menangani data pribadi, termasuk permintaan akses subjek (SAR). Berikut adalah tip utama kami untuk menyusun dan meninjau SAR:

• Pastikan Anda memiliki tim atau individu khusus yang bertanggung jawab untuk menangani SAR. Ini akan membantu memastikan bahwa permintaan ditangani dengan segera dan sesuai dengan GDPR.
• Menerapkan prosedur untuk menangani SAR, termasuk proses yang jelas untuk mengidentifikasi subjek data, memverifikasi identitasnya, dan menemukan informasi yang relevan.
• Tanggapi SAR dalam waktu satu bulan kecuali ada alasan bagus untuk memperpanjang periode ini. Jika Anda perlu memperpanjang jangka waktu, Anda harus memberi tahu subjek data dalam waktu satu bulan sejak diterimanya permintaan mereka.
• Pastikan Anda memiliki sistem untuk melacak permintaan dan memastikan bahwa permintaan tersebut ditangani dengan segera.
• Sespesifik mungkin saat menanggapi SAR, terutama dengan informasi yang Anda berikan dan alasan untuk setiap keputusan yang Anda buat.
• Jika Anda bermaksud untuk menahan informasi dari subjek data, ketahuilah bahwa Anda harus memiliki dasar hukum yang sah untuk melakukannya.
• Simpan catatan semua SAR yang diterima, termasuk rincian cara penanganannya dan hasilnya. Ini akan membantu Anda mengidentifikasi area di mana proses Anda dapat ditingkatkan.
• Tinjau prosedur Anda secara teratur untuk memastikan bahwa prosedur tersebut sesuai dengan tujuan dan sesuai dengan GDPR.
• Bersiaplah untuk menghadapi SAR yang kompleks, yang mungkin mengharuskan Anda untuk menelusuri data dalam jumlah besar. Ini bisa memakan waktu dan sumber daya, jadi perencanaan itu penting.
• Carilah nasihat hukum jika Anda tidak yakin tentang cara menangani SAR atau jika Anda yakin bahwa permintaan itu tidak berdasar atau berlebihan.

Bahaya Tidak Menanggapi Permintaan Akses Subjek Data

Sumber

Jika Anda memilih untuk tidak menanggapi permintaan akses subjek data, Anda dapat melanggar GDPR. Hal ini dapat mengakibatkan denda hingga €20 juta atau empat persen dari pendapatan tahunan global Anda, mana saja yang lebih besar. Selain itu, Anda mungkin diminta untuk membayar ganti rugi kepada individu yang mengajukan permintaan.

Tidak menanggapi permintaan akses subjek data juga menempatkan organisasi Anda pada risiko kerusakan reputasi. Jika tersiar kabar bahwa Anda tidak mematuhi GDPR, individu dapat kehilangan kepercayaan pada organisasi Anda dan memilih untuk membawa bisnis mereka ke tempat lain. Ini bisa berdampak signifikan pada laba Anda.

Selain itu, kegagalan untuk menanggapi permintaan akses subjek data dapat menghambat kemampuan Anda untuk mematuhi persyaratan GDPR lainnya, seperti minimalisasi data dan akurasi data. Jika Anda tidak memiliki informasi yang diminta, Anda tidak akan dapat mematuhi prinsip-prinsip ini. Hal ini dapat menyebabkan denda tambahan dari otoritas pengawas.

Terakhir, jika Anda menerima permintaan akses subjek data dari individu yang juga merupakan pelanggan atau karyawan organisasi Anda, tidak merespons dapat membahayakan hubungan tersebut. Individu tersebut mungkin merasa Anda tidak menghargai privasi mereka dan memilih untuk mengakhiri hubungan mereka dengan organisasi Anda.

Seperti yang Anda lihat, banyak risiko terkait dengan kegagalan merespons permintaan akses subjek data. Jika Anda menerima permintaan seperti itu, penting untuk berkonsultasi dengan penasihat hukum untuk memastikan bahwa Anda mengambil langkah yang tepat untuk mematuhinya.

Kesimpulan

Menanggapi permintaan akses subjek data dapat menjadi hal yang menakutkan, tetapi penting untuk mematuhi hukum. Dengan mengikuti tips ini, Anda akan dapat menanggapi permintaan pelanggan. Pernahkah Anda berurusan dengan permintaan akses subjek data? Apa pengalaman Anda? Beritahu kami!

This content has been Digiproved © 2022 Tribulant Software