Najlepsze wskazówki, jak odpowiedzieć na żądanie dostępu podmiotu danych

Opublikowany: 2022-07-19

Jeśli Twoja firma otrzyma żądanie dostępu do danych osobowych (DSAR), ważne jest, aby odpowiedzieć szybko i poprawnie. Niezastosowanie się do tego może skutkować karami nałożonymi przez Biuro Komisarza ds. Informacji (ICO). W tym poście na blogu przedstawimy wskazówki dotyczące szybkiego i skutecznego reagowania na DSAR.

Co to jest żądanie dostępu podmiotu danych (DSAR)?

Źródło

DSAR to prośba od osoby fizycznej o informacje na jej temat przechowywane przez organizację. Może to obejmować ich imię i nazwisko, dane kontaktowe lub wszelkie inne dane osobowe, które organizacja posiada w aktach. RODO zapewnia osobom fizycznym prawo do złożenia DSAR, a organizacje muszą odpowiedzieć w ciągu jednego miesiąca.

Jeśli dana osoba sporządza ustnie DSAR, organizacja musi dostarczyć jej pisemne potwierdzenie w ciągu pięciu dni. Istnieją pewne wyjątki od prawa do złożenia DSAR, w tym dotyczące bezpieczeństwa narodowego lub dochodzeń kryminalnych. Jednak w większości przypadków osoby fizyczne mają prawo dostępu do swoich danych. Jeśli masz jakiekolwiek pytania dotyczące sporządzania DSAR, skontaktuj się z lokalnym organem ochrony danych.

Kluczowe wskazówki dotyczące reagowania na DSAR

Oto dziesięć wskazówek, które pomogą Ci skutecznie reagować:

  • Przeczytaj uważnie DSAR: Kiedy otrzymasz DSAR, poświęć trochę czasu na jego uważne przeczytanie. Pomoże Ci to zrozumieć, o jakie informacje prosi dana osoba i czy możesz je podać.
  • Sprawdź tożsamość wnioskodawcy: Przed wypełnieniem jakiegokolwiek DSAR należy sprawdzić tożsamość wnioskodawcy, aby upewnić się, że jest tym, za kogo się podaje. Można to zrobić, prosząc o dowód tożsamości wydany przez rząd lub potwierdzając swoją tożsamość inną metodą.
  • Określ, czy żądanie jest ważne: Po zweryfikowaniu tożsamości wnioskodawcy należy określić, czy żądanie jest ważne. Oznacza to zapewnienie, że osoba fizyczna ma prawo dostępu do żądanych informacji zgodnie z przepisami o ochronie danych.
  • Zbierz żądane informacje: Jeśli stwierdzisz, że DSAR jest ważny, będziesz musiał zebrać żądane informacje. Może to wymagać współpracy z innymi działami lub osobami w Twojej organizacji, które mają dostęp do odpowiednich danych.
  • Przygotuj odpowiedź: Po zebraniu wszystkich wymaganych informacji będziesz musiał przygotować swoją odpowiedź. Powinno to zawierać list motywacyjny przedstawiający dostarczone informacje oraz wszelkie dokumenty uzupełniające.
  • Przejrzyj odpowiedź: Przed wysłaniem odpowiedzi należy ją przejrzeć, aby upewnić się, że wszystkie wymagane informacje są zawarte i dokładne. Należy również sprawdzić, czy nic w odpowiedzi nie może potencjalnie zaszkodzić danej osobie lub jej danym.
  • Wyślij odpowiedź: Po przejrzeniu i sfinalizowaniu odpowiedzi musisz wysłać ją do wnioskodawcy. Można to zrobić pocztą, e-mailem lub inną metodą określoną w DSAR.
  • Prowadź rejestr wniosku i odpowiedzi: Ważne jest, aby prowadzić rejestr zarówno DSAR, jak i odpowiedzi w przypadku jakichkolwiek pytań lub problemów. Pomoże to również w śledzeniu wszystkich DSAR, które otrzymałeś i na które odpowiedziałeś.
  • Szukaj pomocy, jeśli jej potrzebujesz: Jeśli nie masz pewności, jak odpowiedzieć na DSAR lub masz jakiekolwiek inne pytania, powinieneś zwrócić się o pomoc do wykwalifikowanego specjalisty ds. ochrony danych. Będą mogli doradzić Ci, jak najlepiej postępować i upewnić się, że Twoja odpowiedź jest zgodna z przepisami o ochronie danych.
  • Zachowaj prostotę i jasność : osoba fizyczna ma prawo wiedzieć, jakie dane osobowe są przechowywane na jej temat, dlaczego są przechowywane i jak są wykorzystywane. Powinieneś podać te informacje jasno i zwięźle.
  • Bądź przejrzysty: bądź otwarty na temat procesu i tego, czego dana osoba może od Ciebie oczekiwać. Poinformuj ich, czy będą jakieś opóźnienia w realizacji ich prośby i dlaczego.
  • Nie próbuj niczego ukrywać: osoba ma prawo do wszystkich informacji, które posiadasz, więc nie próbuj niczego ukrywać. Zaszkodzi to tylko Twoim relacjom z daną osobą i może prowadzić do działań prawnych.
  • Zachowaj poufność: Wszystkie informacje dostarczone w odpowiedzi na wniosek o dostęp osoby, której dane dotyczą, muszą być poufne. Obejmuje to zarówno samo żądanie, jak i informacje, które podajesz w odpowiedzi.
  • Odpowiedz w terminie : Musisz odpowiedzieć na żądanie dostępu osoby, której dane dotyczą, w ciągu jednego miesiąca od jego otrzymania. Jeśli nie możesz dotrzymać tego terminu, poinformuj tę osobę i wyjaśnij, dlaczego.
  • Podaj informacje w łatwym do zrozumienia formacie : osoba ma prawo do otrzymywania swoich danych w formacie, który jest łatwy do odczytania i zrozumiały. W miarę możliwości unikaj żargonu lub języka technicznego.
  • Nie rób założeń : każde żądanie dostępu osoby, której dane dotyczą, jest inne. Nie rób założeń dotyczących tego, czego chce lub potrzebuje dana osoba, ani tego, w jaki sposób wykorzysta podane przez Ciebie informacje.

Jakie informacje należy zawrzeć w odpowiedzi DSAR

Źródło

Odpowiedź na żądanie dostępu podmiotu danych (DSAR) powinna zawierać wszystkie dane osobowe dotyczące danej osoby. Dane te powinny zawierać wszelkie informacje, które można wykorzystać do identyfikacji osoby, takie jak imię i nazwisko, adres, data urodzenia lub dane kontaktowe.

Ponadto odpowiedź powinna zawierać wszelkie informacje zebrane o danej osobie, takie jak historia przeglądania lub historia zakupów. Wreszcie odpowiedź powinna również wyjaśniać, jakie kroki podjęto w celu ochrony danych osoby fizycznej przed dostępem osób nieuprawnionych.

Dostarczając te informacje, odpowiedź DSAR pomaga zapewnić, że dane osoby są chronione i ukryte w przejrzystości.

Wskazówki dotyczące kompilowania i przeglądania wniosków o dostęp osób, których dane dotyczą

RODO nakłada na organizacje surowe obowiązki w zakresie przetwarzania danych osobowych, w tym wniosków o dostęp do podmiotów (SAR). Oto nasze najważniejsze wskazówki dotyczące kompilowania i przeglądania SAR:

  • Upewnij się, że masz dedykowany zespół lub osobę odpowiedzialną za obsługę SAR. Pomoże to zapewnić szybkie rozpatrzenie wniosków zgodnie z RODO.
  • Wprowadzenie procedur postępowania z SAR, w tym jasnego procesu identyfikacji osoby, której dane dotyczą, weryfikacji jej tożsamości i lokalizacji odpowiednich informacji.
  • Odpowiedz na SAR w ciągu jednego miesiąca, chyba że istnieje dobry powód do przedłużenia tego okresu. Jeśli chcesz przedłużyć termin, musisz powiadomić osobę, której dane dotyczą, w ciągu miesiąca od otrzymania jej wniosku.
  • Upewnij się, że masz system do śledzenia wniosków i zapewnienia, że ​​są one szybko rozpatrywane.
  • Odpowiadaj na SAR jak najbardziej konkretnie, w szczególności podając informacje, które przekazujesz, oraz powody podjętych decyzji.
  • Jeśli zamierzasz nie ujawniać informacji osobie, której dane dotyczą, pamiętaj, że musisz mieć do tego ważną podstawę prawną.
  • Prowadź rejestr wszystkich otrzymanych SAR, w tym szczegóły dotyczące ich obsługi i wyniku. Pomoże Ci to zidentyfikować obszary, w których Twoje procesy mogą zostać ulepszone.
  • Regularnie sprawdzaj swoje procedury, aby upewnić się, że są odpowiednie do celu i zgodne z RODO.
  • Przygotuj się na radzenie sobie ze złożonymi SAR-ami, które mogą wymagać przeszukiwania dużej ilości danych. Może to być czasochłonne i zasobochłonne, dlatego ważne jest planowanie.
  • Zasięgnij porady prawnej, jeśli nie masz pewności, jak postępować z SAR lub jeśli uważasz, że wniosek jest bezpodstawny lub nadmierny.

Niebezpieczeństwa związane z brakiem odpowiedzi na żądanie dostępu podmiotu danych

Źródło

Jeśli zdecydujesz się nie odpowiadać na żądanie dostępu osoby, której dane dotyczą, możesz naruszyć RODO. Może to skutkować grzywną w wysokości do 20 milionów euro lub 4% globalnych rocznych przychodów, w zależności od tego, która z tych wartości jest wyższa. Dodatkowo możesz być zobowiązany do zapłaty odszkodowania osobie, która złożyła wniosek.

Brak odpowiedzi na żądanie dostępu osoby, której dane dotyczą, naraża również Twoją organizację na ryzyko utraty reputacji. Jeśli rozejdzie się, że nie przestrzegasz RODO, osoby fizyczne mogą stracić zaufanie do Twojej organizacji i zdecydować się na przeniesienie swojej działalności gdzie indziej. Może to mieć znaczący wpływ na wyniki finansowe.

Ponadto brak odpowiedzi na żądanie dostępu osoby, której dane dotyczą, może utrudnić spełnienie innych wymogów RODO, takich jak minimalizacja danych i dokładność danych. Jeśli nie masz wymaganych informacji, nie będziesz w stanie przestrzegać tych zasad. Mogłoby to prowadzić do dodatkowych kar ze strony organu nadzorczego.

Wreszcie, jeśli otrzymasz wniosek o dostęp osoby, której dane dotyczą, od osoby, która jest również klientem lub pracownikiem Twojej organizacji, brak odpowiedzi może zagrozić tej relacji. Dana osoba może czuć, że nie cenisz jej prywatności i zdecydować się na zakończenie związku z Twoją organizacją.

Jak widać, wiele zagrożeń wiąże się z brakiem odpowiedzi na żądanie dostępu osoby, której dane dotyczą. Jeśli otrzymasz taki wniosek, ważne jest, aby skonsultować się z radcą prawnym, aby upewnić się, że podejmujesz odpowiednie kroki w celu spełnienia.

Wniosek

Odpowiadanie na żądanie dostępu osoby, której dane dotyczą, może być zniechęcające, ale ważne jest, aby przestrzegać prawa. Postępując zgodnie z tymi wskazówkami, będziesz w stanie odpowiadać na prośby klientów. Czy kiedykolwiek miałeś do czynienia z wnioskiem o dostęp osoby, której dane dotyczą? Jakie było twoje doświadczenie? Daj nam znać!

Pieczęć DigiproveThis content has been Digiproved © 2022 Tribulant Software