データ主体のアクセス要求に応答する方法に関する最良のヒント

公開: 2022-07-19

会社がデータ主体アクセス要求（DSAR）を受け取った場合、迅速かつ正確に応答することが重要です。そうしないと、情報コミッショナーオフィス（ICO）から罰則が科せられる可能性があります。このブログ投稿では、DSARにタイムリーかつ効率的に対応するためのヒントを提供します。

データ主体アクセス要求（DSAR）とは何ですか？

ソース

DSARは、組織が保有する自分自身に関する情報を求める個人からの要求です。これには、名前、連絡先の詳細、または組織が登録しているその他の個人データが含まれる場合があります。 GDPRは、個人にDSARを作成する権利を提供し、組織は1か月以内に対応する必要があります。

個人が口頭でDSARを作成する場合、組織は5日以内に書面による確認を提供する必要があります。国家安全保障や犯罪捜査など、DSARを作成する権利にはいくつかの例外があります。ただし、ほとんどの場合、個人には自分のデータにアクセスする権利があります。 DSARの作成について質問がある場合は、最寄りのデータ保護当局に連絡してください。

DSARに対応するための重要なヒント

効果的に対応するための10のヒントを次に示します。

DSARを注意深く読む：DSARを受け取ったら、時間をかけて注意深く読んでください。これは、個人が要求している情報と、それを提供できるかどうかを理解するのに役立ちます。
リクエスターのIDを確認する： DSARを実行する前に、リクエスターのIDをチェックして、要求者が本人であることを確認する必要があります。これは、政府発行のIDを要求するか、別の方法でIDを確認することで実行できます。
リクエストが有効かどうかを判断する：リクエスターのIDを確認したら、リクエストが有効かどうかを判断する必要があります。これは、個人がデータ保護法の下で要求された情報にアクセスする権利を確実に持つことを意味します。
要求された情報の収集： DSARが有効であると判断した場合は、要求された情報を収集する必要があります。これには、関連データにアクセスできる組織内の他の部門または個人との連携が必要になる場合があります。
回答の準備：要求されたすべての情報を収集したら、回答を準備する必要があります。これには、提供された情報とサポートドキュメントの概要を説明するカバーレターを含める必要があります。
回答を確認する：回答を送信する前に、回答を確認して、要求されたすべての情報が含まれ、正確であることを確認する必要があります。また、応答に個人またはそのデータに害を及ぼす可能性のあるものがないことを確認する必要があります。
応答の送信：応答を確認して確定したら、要求者に送信する必要があります。これは、メール、電子メール、またはDSARで指定されている別の方法で実行できます。
要求と応答の記録を保持する：質問や問題が発生した場合に備えて、DSARと応答の両方の記録を保持することが重要です。これは、受信して応答したすべてのDSARを追跡するのにも役立ちます。
必要に応じて助けを求める： DSARに応答する方法がわからない場合、またはその他の質問がある場合は、資格のあるデータ保護の専門家に助けを求める必要があります。彼らは、続行するための最良の方法についてアドバイスし、あなたの応答がデータ保護法に準拠していることを確認することができます。
シンプルかつ明確に保つ：個人には、自分について保持されている個人データ、保持されている理由、および使用方法を知る権利があります。この情報を明確かつ簡潔に提供する必要があります。
透明性を保つ：プロセスと、個人があなたに期待できることについて率直に話します。リクエストの処理に遅れが生じるかどうか、およびその理由を伝えます。
何も隠そうとしないでください。個人はあなたが保持しているすべての情報に対する権利を持っているので、何も差し控えようとしないでください。これは、個人との関係を損なうだけであり、法的措置につながる可能性があります。
機密を保持する：データ主体のアクセス要求に応じて提供されるすべての情報は機密でなければなりません。これには、リクエスト自体と、それに応じて提供する情報の両方が含まれます。
制限時間内に応答する：データ主体のアクセス要求を受信してから1か月以内に応答する必要があります。この期限に間に合わない場合は、その理由を個人に知らせて説明してください。
わかりやすい形式で情報を提供する：個人には、読みやすく理解しやすい形式でデータを受け取る権利があります。可能な限り、専門用語や専門用語は避けてください。
仮定しないでください：すべてのデータ主体のアクセス要求は異なります。個人が何を望んでいるか、何を必要としているか、またはあなたが提供した情報をどのように使用するかについて推測しないでください。

DSAR応答に含める必要のある情報

ソース

データ主体アクセス要求（DSAR）の応答には、個人が保持するすべての個人データを含める必要があります。このデータには、名前、住所、生年月日、連絡先など、個人を特定するために使用できる情報が含まれている必要があります。

さらに、応答には、閲覧履歴や購入履歴など、個人に関して収集された情報を含める必要があります。最後に、応答では、許可されていない個人によるアクセスから個人のデータを保護するためにどのような手順が実行されたかについても説明する必要があります。

この情報を提供することにより、DSAR応答は、個人のデータが保護され、透明性に包まれていることを確認するのに役立ちます。

データ主体のアクセス要求をコンパイルおよび確認するためのヒント

GDPRは、サブジェクトアクセスリクエスト（SAR）を含む、個人データを処理するための厳格な義務を組織に課します。 SARをコンパイルおよびレビューするためのヒントは次のとおりです。

SARの処理を担当する専任のチームまたは個人がいることを確認してください。これにより、リクエストがGDPRに従って迅速に処理されるようになります。
データ主体を特定し、その身元を確認し、関連情報を特定するための明確なプロセスを含む、SARを処理するための手順を導入します。
この期間を延長する正当な理由がない限り、1か月以内にSARに対応してください。時間枠を延長する必要がある場合は、要求を受け取ってから1か月以内にデータ主体に通知する必要があります。
リクエストを追跡し、リクエストが迅速に処理されるようにするためのシステムが整っていることを確認してください。
SARに対応するときは、特に提供する情報と決定の理由をできるだけ具体的に示してください。
データ主体からの情報を差し控える場合は、そのための有効な法的根拠が必要であることに注意してください。
受け取ったすべてのSARの記録を、それらがどのように処理され、結果が得られたかの詳細を含めて保持します。これは、プロセスを改善できる領域を特定するのに役立ちます。
手順を定期的に見直して、目的に適合し、GDPRに準拠していることを確認してください。
大量のデータを検索する必要がある複雑なSARに対処する準備をしてください。これは時間とリソースを大量に消費する可能性があるため、計画が重要です。
SARの処理方法がわからない場合、または要求が根拠のない、または過度であると思われる場合は、法律上の助言を求めてください。

データ主体のアクセス要求に応答しないことの危険性

ソース

データ主体のアクセス要求に応答しないことを選択した場合、GDPRに違反する可能性があります。これにより、最高2,000万ユーロ、または世界の年間収益の4％のいずれか大きい方の罰金が科せられる可能性があります。さらに、リクエストを送信した個人に損害賠償を支払う必要がある場合があります。

データ主体のアクセス要求に応答しないと、組織は評判を損なうリスクもあります。 GDPRに準拠していないという噂が広まった場合、個人は組織への信頼を失い、ビジネスを他の場所に移すことを選択する可能性があります。これは、収益に大きな影響を与える可能性があります。

さらに、データ主体のアクセス要求に応答しないと、データの最小化やデータの正確性など、他のGDPR要件に準拠する能力が妨げられる可能性があります。要求された情報がない場合、これらの原則を遵守することはできません。これにより、監督当局から追加の罰金が科せられる可能性があります。

最後に、組織の顧客または従業員でもある個人からデータ主体のアクセス要求を受け取った場合、応答しないとその関係が危険にさらされる可能性があります。個人は、あなたが彼らのプライバシーを尊重していないと感じ、あなたの組織との関係を終わらせることを選択するかもしれません。

ご覧のとおり、多くのリスクは、データ主体のアクセス要求に応答できないことに関連しています。そのような要求を受け取った場合は、弁護士に相談して、遵守するための適切な措置を講じていることを確認することが重要です。

結論

データ主体のアクセス要求に応答することは困難な場合がありますが、法律を遵守することが重要です。これらのヒントに従うことで、顧客の要求に応えることができます。データ主体のアクセス要求を処理したことがありますか？あなたの経験は何でしたか？我々に教えてください！