Melhores dicas sobre como responder a uma solicitação de acesso de titular de dados

Publicados: 2022-07-19

Caso sua empresa receba uma solicitação de acesso de titular de dados (DSAR), é importante responder prontamente e corretamente. Não fazer isso pode resultar em penalidades do Gabinete do Comissário de Informação (ICO). Nesta postagem do blog, forneceremos dicas sobre como responder aos DSARs de maneira oportuna e eficiente.

O que é uma Solicitação de Acesso do Titular de Dados (DSAR)?

Fonte

DSAR é uma solicitação de um indivíduo para obter informações sobre si mesmo mantida por uma organização. Isso pode incluir seu nome, detalhes de contato ou quaisquer outros dados pessoais que a organização tenha arquivado. O GDPR fornece aos indivíduos o direito de fazer um DSAR, e as organizações devem responder dentro de um mês.

Se um indivíduo fizer um DSAR verbalmente, a organização deve fornecer uma confirmação por escrito no prazo de cinco dias. Existem algumas exceções ao direito de fazer um DSAR, incluindo segurança nacional ou investigações criminais. No entanto, na maioria dos casos, os indivíduos têm o direito de acessar seus dados. Se você tiver alguma dúvida sobre como fazer um DSAR, entre em contato com a Autoridade de Proteção de Dados local.

Dicas importantes para responder a um DSAR

Aqui estão dez dicas para ajudá-lo a responder de forma eficaz:

  • Leia o DSAR com atenção: Ao receber um DSAR, reserve um tempo para lê-lo com atenção. Isso ajudará você a entender quais informações o indivíduo está solicitando e se você pode ou não fornecê-las.
  • Verifique a identidade do solicitante: Antes de cumprir qualquer DSAR, você deve verificar a identidade do solicitante para garantir que ele seja quem diz ser. Isso pode ser feito solicitando um documento de identidade emitido pelo governo ou confirmando sua identidade por meio de outro método.
  • Determinar se a solicitação é válida: Depois de verificar a identidade do solicitante, você precisará determinar se a solicitação é válida. Isso significa garantir que o indivíduo tenha o direito de acessar as informações solicitadas sob a lei de proteção de dados.
  • Colete as informações solicitadas: Se você determinar que o DSAR é válido, precisará coletar as informações solicitadas. Isso pode exigir o trabalho com outros departamentos ou indivíduos de sua organização que tenham acesso aos dados relevantes.
  • Prepare a resposta: Depois de coletar todas as informações solicitadas, você precisará preparar sua resposta. Isso deve incluir uma carta de apresentação descrevendo as informações fornecidas e qualquer documentação de apoio.
  • Revise a resposta: Antes de enviar sua resposta, você deve revisá-la para garantir que todas as informações solicitadas estejam incluídas e sejam precisas. Você também deve verificar para garantir que nada na resposta possa prejudicar o indivíduo ou seus dados.
  • Enviar a resposta: Depois de revisar e finalizar sua resposta, você precisará enviá-la ao solicitante. Isso pode ser feito por correio, e-mail ou outro método especificado no DSAR.
  • Mantenha um registro da solicitação e da resposta: É importante manter um registro do DSAR e de sua resposta em caso de dúvidas ou problemas. Isso também o ajudará a rastrear todos os DSARs que você recebeu e respondeu.
  • Procure ajuda se precisar: Se não tiver certeza de como responder a um DSAR ou tiver outras dúvidas, procure ajuda de um profissional de proteção de dados qualificado. Eles poderão aconselhá-lo sobre a melhor maneira de proceder e garantir que sua resposta esteja em conformidade com a lei de proteção de dados.
  • Mantenha-o simples e claro : O indivíduo tem o direito de saber quais dados pessoais estão sendo mantidos sobre ele, por que estão sendo mantidos e como estão sendo usados. Você deve fornecer essas informações de forma clara e concisa.
  • Seja transparente: seja franco sobre o processo e o que o indivíduo pode esperar de você. Deixe-os saber se haverá algum atraso no cumprimento de sua solicitação e por quê.
  • Não tente esconder nada: O indivíduo tem direito a todas as informações que você tem sobre ele, então não tente esconder nada. Isso só prejudicará seu relacionamento com o indivíduo e poderá levar a uma ação legal.
  • Mantenha-o confidencial: Todas as informações fornecidas em resposta a uma solicitação de acesso do titular dos dados devem ser confidenciais. Isso inclui a solicitação em si e as informações que você fornece em resposta.
  • Responder dentro do prazo : Você deve responder a uma solicitação de acesso de titular de dados no prazo de um mês após o recebimento. Se você não puder cumprir esse prazo, informe a pessoa e explique o motivo.
  • Fornecer as informações em um formato que seja fácil de entender : O indivíduo tem o direito de receber seus dados em um formato que seja facilmente legível e compreensível. Evite jargões ou linguagem técnica sempre que possível.
  • Não faça suposições : cada solicitação de acesso do titular dos dados é diferente. Não faça suposições sobre o que o indivíduo quer ou precisa ou como ele usará as informações que você fornecer.

Quais informações devem ser incluídas em uma resposta DSAR

Fonte

Uma resposta do Data Subject Access Request (DSAR) deve incluir todos os dados pessoais mantidos em um indivíduo. Esses dados devem incluir qualquer informação que possa ser usada para identificar um indivíduo, como nome, endereço, data de nascimento ou detalhes de contato.

Além disso, a resposta deve incluir qualquer informação coletada sobre um indivíduo, como seu histórico de navegação ou histórico de compras. Por fim, a resposta também deve explicar quais medidas foram tomadas para proteger os dados de um indivíduo de serem acessados ​​por indivíduos não autorizados.

Ao fornecer essas informações, uma resposta DSAR ajuda a garantir que os dados de um indivíduo estejam protegidos e envoltos em transparência.

Dicas para compilar e revisar solicitações de acesso do titular dos dados

O GDPR impõe obrigações estritas às organizações para lidar com dados pessoais, incluindo solicitações de acesso de assunto (SARs). Aqui estão nossas principais dicas para compilar e revisar SARs:

  • Certifique-se de ter uma equipe dedicada ou um indivíduo responsável por lidar com SARs. Isso ajudará a garantir que as solicitações sejam tratadas prontamente e de acordo com o GDPR.
  • Implemente procedimentos para lidar com SARs, incluindo um processo claro para identificar o titular dos dados, verificar sua identidade e localizar as informações relevantes.
  • Responda aos SARs dentro de um mês, a menos que haja uma boa razão para estender esse período. Se precisar de prorrogar o prazo, deverá notificar o titular dos dados no prazo de um mês a contar da receção do seu pedido.
  • Certifique-se de ter um sistema para acompanhar as solicitações e garantir que elas sejam tratadas prontamente.
  • Seja o mais específico possível ao responder a SARs, principalmente com as informações que você está fornecendo e os motivos de quaisquer decisões que você tomou.
  • Se você pretende reter informações de um titular de dados, esteja ciente de que você deve ter uma base legal válida para fazê-lo.
  • Mantenha registros de todos os SARs recebidos, incluindo detalhes de como eles foram tratados e o resultado. Isso irá ajudá-lo a identificar áreas onde seus processos podem ser melhorados.
  • Revise seus procedimentos regularmente para garantir que eles sejam adequados à finalidade e estejam em conformidade com o GDPR.
  • Esteja preparado para lidar com SARs complexos, que podem exigir que você pesquise um grande volume de dados. Isso pode consumir muito tempo e consumir muitos recursos, portanto, o planejamento é importante.
  • Procure aconselhamento jurídico se não tiver certeza sobre como lidar com um SAR ou se acreditar que a solicitação é infundada ou excessiva.

Perigos de não responder à solicitação de acesso do titular dos dados

Fonte

Se você optar por não responder a uma solicitação de acesso do titular dos dados, poderá violar o GDPR. Isso pode resultar em uma multa de até € 20 milhões ou quatro por cento de sua receita anual global, o que for maior. Além disso, você pode ser obrigado a pagar danos ao indivíduo que enviou a solicitação.

Não responder a uma solicitação de acesso do titular dos dados também coloca sua organização em risco de danos à reputação. Se for divulgado que você não está cumprindo o GDPR, os indivíduos podem perder a confiança em sua organização e optar por levar seus negócios para outro lugar. Isso pode ter um impacto significativo em sua linha de fundo.

Além disso, deixar de responder a uma solicitação de acesso de titular de dados pode prejudicar sua capacidade de cumprir outros requisitos do GDPR, como minimização de dados e precisão de dados. Se você não tiver as informações solicitadas, não poderá cumprir esses princípios. Isso pode levar a multas adicionais da autoridade supervisora.

Por fim, se você receber uma solicitação de acesso de titular de dados de um indivíduo que também seja cliente ou funcionário de sua organização, a não resposta poderá comprometer esse relacionamento. O indivíduo pode sentir que você não valoriza a privacidade dele e optar por encerrar sua associação com sua organização.

Como você pode ver, muitos riscos estão associados à falha em responder a uma solicitação de acesso do titular dos dados. Se você receber tal solicitação, é importante consultar um advogado para garantir que está tomando as medidas apropriadas para cumprir.

Conclusão

Responder a uma solicitação de acesso de titular de dados pode ser assustador, mas é importante cumprir a lei. Seguindo essas dicas, você poderá responder às solicitações dos clientes. Você já lidou com uma solicitação de acesso de titular de dados? Qual foi sua experiência? Nos informe!

Selo DigiproveThis content has been Digiproved © 2022 Tribulant Software