Cele mai bune sfaturi despre cum să răspundeți la o solicitare de acces la un subiect de date

Publicat: 2022-07-19

Dacă compania dumneavoastră primește o cerere de acces la subiectul datelor (DSAR), este important să răspundeți prompt și corect. Nerespectarea acestui lucru poate duce la sancțiuni din partea Biroului Comisarului pentru Informații (ICO). În această postare pe blog, vă vom oferi sfaturi despre cum să răspundeți la DSAR în timp util și eficient.

Ce este o solicitare de acces pentru subiectul datelor (DSAR)?

Sursă

DSAR este o solicitare din partea unei persoane pentru informații despre sine deținute de o organizație. Acestea ar putea include numele lor, detaliile de contact sau orice alte date personale pe care organizația le are în dosar. GDPR oferă persoanelor dreptul de a face un DSAR, iar organizațiile trebuie să răspundă în termen de o lună.

Dacă o persoană face un DSAR verbal, organizația trebuie să îi furnizeze o confirmare scrisă în termen de cinci zile. Există unele excepții de la dreptul de a face un DSAR, inclusiv securitate națională sau investigații penale. Cu toate acestea, în majoritatea cazurilor, persoanele fizice au dreptul de a-și accesa datele. Dacă aveți întrebări despre realizarea unui DSAR, contactați Autoritatea locală pentru protecția datelor.

Sfaturi cheie pentru a răspunde la un DSAR

Iată zece sfaturi pentru a vă ajuta să răspundeți eficient:

Citiți cu atenție DSAR: Când primiți un DSAR, luați timp pentru a-l citi cu atenție. Acest lucru vă va ajuta să înțelegeți ce informații solicită persoana respectivă și dacă le puteți furniza sau nu.
Verificați identitatea solicitantului: înainte de a îndeplini orice DSAR, ar trebui să verificați identitatea solicitantului pentru a vă asigura că este cine spune că este. Acest lucru se poate face prin solicitarea unui act de identitate emis de guvern sau prin confirmarea identității acestora printr-o altă metodă.
Stabiliți dacă cererea este validă: după ce ați verificat identitatea solicitantului, va trebui să determinați dacă cererea este validă. Aceasta înseamnă asigurarea faptului că persoana are dreptul de a accesa informațiile solicitate în temeiul legislației privind protecția datelor.
Colectați informațiile solicitate: dacă determinați că DSAR este valid, va trebui să colectați informațiile solicitate. Acest lucru poate necesita colaborarea cu alte departamente sau persoane din cadrul organizației dvs. care au acces la datele relevante.
Pregătiți răspunsul: după ce ați colectat toate informațiile solicitate, va trebui să vă pregătiți răspunsul. Aceasta ar trebui să includă o scrisoare de intenție care să prezinte informațiile furnizate și orice documentație justificativă.
Examinați răspunsul: înainte de a trimite răspunsul dvs., ar trebui să îl revizuiți pentru a vă asigura că toate informațiile solicitate sunt incluse și corecte. De asemenea, ar trebui să verificați pentru a vă asigura că nimic din răspuns nu ar putea dăuna individului sau datelor acestuia.
Trimiteți răspunsul: după ce ați revizuit și finalizat răspunsul, va trebui să-l trimiteți solicitantului. Acest lucru se poate face prin poștă, e-mail sau altă metodă specificată în DSAR.
Păstrați o evidență a cererii și a răspunsului: este important să păstrați o evidență atât a DSAR, cât și a răspunsului dvs. în cazul oricăror întrebări sau probleme. Acest lucru vă va ajuta, de asemenea, să urmăriți toate DSAR-urile pe care le-ați primit și la care ați răspuns.
Căutați ajutor dacă aveți nevoie: dacă nu sunteți sigur cum să răspundeți la un DSAR sau aveți alte întrebări, ar trebui să solicitați ajutor de la un profesionist calificat în protecția datelor. Aceștia vă vor putea sfătui cu privire la cea mai bună modalitate de a proceda și vă vor asigura că răspunsul dumneavoastră este în conformitate cu legea privind protecția datelor.
Păstrați-l simplu și clar : persoana are dreptul de a ști ce date cu caracter personal sunt deținute despre el, de ce sunt deținute și cum sunt utilizate. Ar trebui să furnizați aceste informații în mod clar și concis.
Fii transparent: Fii direct cu privire la proces și la ce se poate aștepta individul de la tine. Anunțați-i dacă vor exista întârzieri în îndeplinirea cererii lor și de ce.
Nu încercați să ascundeți nimic: individul are dreptul la toate informațiile pe care le dețineți despre el, așa că nu încercați să reține nimic. Acest lucru va afecta doar relația dumneavoastră cu persoana fizică și ar putea duce la acțiuni în justiție.
Păstrați confidențialitatea: Toate informațiile furnizate ca răspuns la o solicitare de acces la o persoană vizată trebuie să fie confidențiale. Aceasta include atât cererea în sine, cât și informațiile pe care le furnizați ca răspuns.
Răspundeți în termenul limită : trebuie să răspundeți la o solicitare de acces vizată în termen de o lună de la primirea acesteia. Dacă nu puteți respecta acest termen, anunțați persoana și explicați de ce.
Furnizați informațiile într-un format ușor de înțeles : persoana are dreptul de a-și primi datele într-un format ușor de citit și de înțeles. Evitați jargonul sau limbajul tehnic ori de câte ori este posibil.
Nu faceți presupuneri : fiecare solicitare de acces la subiectul datelor este diferită. Nu faceți presupuneri despre ceea ce dorește sau are nevoie individul sau despre cum va folosi informațiile pe care le furnizați.

Ce informații ar trebui incluse într-un răspuns DSAR

Sursă

Un răspuns la cererea de acces pentru subiectul de date (DSAR) ar trebui să includă toate datele personale deținute despre o persoană. Aceste date ar trebui să includă orice informații care ar putea fi utilizate pentru a identifica o persoană, cum ar fi numele, adresa, data nașterii sau detaliile de contact ale acesteia.

În plus, răspunsul ar trebui să includă orice informații colectate despre o persoană, cum ar fi istoricul de navigare sau istoricul achizițiilor. În cele din urmă, răspunsul ar trebui să explice și ce măsuri au fost luate pentru a proteja datele unei persoane împotriva accesării de către persoane neautorizate.

Prin furnizarea acestor informații, un răspuns DSAR ajută la asigurarea faptului că datele unei persoane sunt protejate și învăluite în transparență.

Sfaturi pentru compilarea și revizuirea solicitărilor de acces ale persoanelor vizate

GDPR impune obligații stricte organizațiilor de a gestiona datele cu caracter personal, inclusiv cererile de acces la subiect (SAR). Iată sfaturile noastre de top pentru compilarea și revizuirea SAR:

Asigurați-vă că aveți o echipă dedicată sau o persoană responsabilă cu gestionarea SAR. Acest lucru vă va ajuta să vă asigurați că cererile sunt tratate cu promptitudine și conform GDPR.
Stabiliți proceduri pentru tratarea SAR, inclusiv un proces clar pentru identificarea persoanei vizate, verificarea identității acestora și localizarea informațiilor relevante.
Răspundeți la SAR în termen de o lună, cu excepția cazului în care există un motiv întemeiat pentru prelungirea acestei perioade. Dacă trebuie să prelungiți termenul, trebuie să notificați persoana vizată în termen de o lună de la primirea solicitării acesteia.
Asigurați-vă că aveți un sistem în vigoare pentru a urmări cererile și pentru a vă asigura că acestea sunt tratate cu promptitudine.
Fiți cât mai specific posibil atunci când răspundeți la SAR, în special cu informațiile pe care le furnizați și cu motivele oricăror decizii pe care le-ați luat.
Dacă intenționați să rețineți informații de la o persoană vizată, rețineți că trebuie să aveți un temei legal valid pentru a face acest lucru.
Păstrați înregistrări ale tuturor SAR primite, inclusiv detalii despre modul în care au fost gestionate și rezultatul. Acest lucru vă va ajuta să identificați zonele în care procesele dumneavoastră ar putea fi îmbunătățite.
Examinați-vă procedurile în mod regulat pentru a vă asigura că sunt adecvate scopului și sunt conforme cu GDPR.
Fiți pregătit să faceți față unor SAR complexe, care vă pot necesita să căutați într-un volum mare de date. Acest lucru poate consuma mult timp și poate consuma resurse, așa că planificarea este importantă.
Solicitați consiliere juridică dacă nu sunteți sigur despre cum să gestionați un SAR sau dacă considerați că cererea este nefondată sau excesivă.

Pericole de a nu răspunde la solicitarea de acces la subiectul datelor

Sursă

Dacă alegeți să nu răspundeți la o solicitare de acces vizată, puteți încălca GDPR. Acest lucru ar putea duce la o amendă de până la 20 de milioane EUR sau patru procente din venitul anual global, oricare dintre acestea este mai mare. În plus, vi se poate cere să plătiți daune persoanei care a depus cererea.

Nerăspunsul la o solicitare de acces la un subiect de date expune, de asemenea, organizația dumneavoastră la riscul de deteriorare a reputației. Dacă se știe că nu respectați GDPR, oamenii pot pierde încrederea în organizația dvs. și pot alege să-și ducă afacerea în altă parte. Acest lucru ar putea avea un impact semnificativ asupra profitului tău.

În plus, nerespectarea unei solicitări de acces la o persoană vizată ar putea împiedica capacitatea dumneavoastră de a respecta alte cerințe GDPR, cum ar fi minimizarea datelor și acuratețea datelor. Dacă nu aveți informațiile solicitate, nu veți putea respecta aceste principii. Acest lucru ar putea duce la amenzi suplimentare din partea autorității de supraveghere.

În cele din urmă, dacă primiți o solicitare de acces la subiectul datelor de la o persoană care este, de asemenea, client sau angajat al organizației dvs., faptul că nu răspundeți ar putea pune în pericol relația respectivă. Persoana poate simți că nu-i prețuiești confidențialitatea și să aleagă să înceteze asocierea cu organizația ta.

După cum puteți vedea, multe riscuri sunt asociate cu eșecul de a răspunde la o solicitare de acces la subiectul datelor. Dacă primiți o astfel de solicitare, este important să vă consultați cu un consilier juridic pentru a vă asigura că luați măsurile adecvate pentru a vă conforma.

Concluzie

Răspunsul la o solicitare de acces vizată poate fi descurajantă, dar este important să respectați legea. Urmând aceste sfaturi, veți putea răspunde solicitărilor clienților. Te-ai confruntat vreodată cu o solicitare de acces vizată? Care a fost experiența ta? Anunță-ne!