Лучшие советы о том, как ответить на запрос доступа к субъекту данных

Опубликовано: 2022-07-19

Если ваша компания получает запрос на доступ к субъекту данных (DSAR), важно ответить быстро и правильно. Невыполнение этого требования может привести к штрафам со стороны Управления комиссара по информации (ICO). В этом сообщении блога мы дадим вам советы о том, как своевременно и эффективно реагировать на запросы DSAR.

Что такое запрос на доступ к субъекту данных (DSAR)?

Источник

DSAR — это запрос от человека информации о себе, хранящейся в организации. Это может включать их имя, контактные данные или любые другие личные данные, которые есть у организации. GDPR предоставляет физическим лицам право подать DSAR, а организации должны ответить в течение одного месяца.

Если физическое лицо делает DSAR устно, организация должна предоставить ему письменное подтверждение в течение пяти дней. Есть некоторые исключения из права на подачу DSAR, в том числе расследования национальной безопасности или уголовных расследований. Однако в большинстве случаев физические лица имеют право доступа к своим данным. Если у вас есть какие-либо вопросы о создании DSAR, обратитесь в местный орган по защите данных.

Основные советы по реагированию на DSAR

Вот десять советов, которые помогут вам эффективно реагировать:

  • Внимательно прочитайте DSAR. Когда вы получите DSAR, найдите время, чтобы внимательно прочитать его. Это поможет вам понять, какую информацию запрашивает человек и можете ли вы ее предоставить.
  • Проверьте личность запрашивающего: перед выполнением любого DSAR вы должны проверить личность запрашивающего, чтобы убедиться, что он тот, за кого себя выдает. Это можно сделать, запросив удостоверение личности государственного образца или подтвердив свою личность другим способом.
  • Определите, является ли запрос действительным: после того, как вы проверили личность отправителя запроса, вам нужно будет определить, является ли запрос действительным. Это означает обеспечение права человека на доступ к запрошенной информации в соответствии с законом о защите данных.
  • Соберите запрошенную информацию. Если вы определите, что DSAR действителен, вам потребуется собрать запрошенную информацию. Для этого может потребоваться работа с другими отделами или отдельными лицами в вашей организации, у которых есть доступ к соответствующим данным.
  • Подготовьте ответ: после того, как вы соберете всю запрошенную информацию, вам нужно будет подготовить свой ответ. Это должно включать сопроводительное письмо с изложением предоставленной информации и любой подтверждающей документации.
  • Просмотрите ответ. Прежде чем отправить ответ, вы должны просмотреть его, чтобы убедиться, что вся запрошенная информация включена и является точной. Вы также должны убедиться, что ничто в ответе не может нанести вред человеку или его данным.
  • Отправить ответ: После того, как вы просмотрели и завершили свой ответ, вам нужно будет отправить его запрашивающей стороне. Это можно сделать по почте, электронной почте или другим способом, указанным в DSAR.
  • Ведите учет запроса и ответа: важно вести учет как DSAR, так и вашего ответа в случае возникновения каких-либо вопросов или проблем. Это также поможет вам отслеживать все DSAR, которые вы получили и на которые ответили.
  • Обратитесь за помощью, если она вам нужна. Если вы не знаете, как ответить на запрос DSAR, или у вас есть какие-либо другие вопросы, вам следует обратиться за помощью к квалифицированному специалисту по защите данных. Они смогут посоветовать вам, как лучше действовать, и убедиться, что ваш ответ соответствует закону о защите данных.
  • Будьте проще и понятнее : человек имеет право знать, какие личные данные о нем хранятся, почему они хранятся и как они используются. Вы должны предоставить эту информацию четко и кратко.
  • Будьте прозрачными: откровенно рассказывайте о процессе и о том, что человек может ожидать от вас. Сообщите им, будут ли какие-либо задержки в выполнении их запроса и почему.
  • Не пытайтесь ничего скрыть: человек имеет право на всю информацию, которую вы о нем храните, поэтому не пытайтесь ничего скрывать. Это только повредит вашим отношениям с человеком и может привести к судебному иску.
  • Сохраняйте конфиденциальность: вся информация, предоставленная в ответ на запрос доступа субъекта данных, должна быть конфиденциальной. Это включает в себя как сам запрос, так и информацию, которую вы предоставляете в ответ.
  • Ответить в установленные сроки : вы должны ответить на запрос доступа субъекта данных в течение одного месяца с момента его получения. Если вы не можете уложиться в этот срок, сообщите об этом человеку и объясните, почему.
  • Предоставляйте информацию в удобном для понимания формате : человек имеет право получать свои данные в формате, который легко читается и понимается. По возможности избегайте жаргона или технического языка.
  • Не делайте предположений : каждый запрос на доступ к субъекту данных отличается. Не делайте предположений о том, чего человек хочет или в чем нуждается, или о том, как он будет использовать предоставленную вами информацию.

Какая информация должна быть включена в ответ DSAR

Источник

Ответ на запрос доступа к субъекту данных (DSAR) должен включать все личные данные, хранящиеся о физическом лице. Эти данные должны включать любую информацию, которая может быть использована для идентификации человека, например его имя, адрес, дату рождения или контактные данные.

Кроме того, ответ должен включать любую информацию, собранную о человеке, такую ​​как его история просмотров или история покупок. Наконец, в ответе также должно быть объяснено, какие шаги были предприняты для защиты личных данных от несанкционированного доступа.

Предоставляя эту информацию, ответ DSAR помогает гарантировать, что данные человека защищены и окутаны прозрачностью.

Советы по составлению и рассмотрению запросов на доступ субъекта данных

GDPR налагает на организации строгие обязательства по обработке персональных данных, включая запросы на субъектный доступ (SAR). Вот наши главные советы по составлению и проверке SAR:

  • Убедитесь, что у вас есть специальная группа или лицо, ответственное за обработку SAR. Это поможет обеспечить быстрое рассмотрение запросов в соответствии с GDPR.
  • Внедрите процедуры для работы с SAR, включая четкий процесс идентификации субъекта данных, проверки его личности и поиска соответствующей информации.
  • Отвечайте на SAR в течение одного месяца, если нет веской причины для продления этого периода. Если вам необходимо продлить срок, вы должны уведомить субъекта данных в течение одного месяца с момента получения его запроса.
  • Убедитесь, что у вас есть система для отслеживания запросов и обеспечения их быстрого рассмотрения.
  • Будьте как можно более конкретными при ответе на SAR, особенно в отношении информации, которую вы предоставляете, и причин любых решений, которые вы приняли.
  • Если вы намереваетесь скрыть информацию от субъекта данных, имейте в виду, что для этого у вас должно быть действующее юридическое основание.
  • Ведите учет всех полученных SAR, включая сведения о том, как они были обработаны, и о результатах. Это поможет вам определить области, в которых ваши процессы могут быть улучшены.
  • Регулярно проверяйте свои процедуры, чтобы убедиться, что они соответствуют назначению и GDPR.
  • Будьте готовы иметь дело со сложными SAR, которые могут потребовать поиска в большом объеме данных. Это может занять много времени и ресурсов, поэтому планирование важно.
  • Обратитесь за юридической консультацией, если вы не знаете, как обращаться с SAR, или если вы считаете запрос необоснованным или чрезмерным.

Опасности отсутствия ответа на запрос доступа субъекта данных

Источник

Если вы решите не отвечать на запрос доступа субъекта данных, вы можете нарушить GDPR. Это может привести к штрафу в размере до 20 миллионов евро или четырех процентов от вашего глобального годового дохода, в зависимости от того, что больше. Кроме того, от вас может потребоваться возместить ущерб лицу, подавшему запрос.

Отсутствие ответа на запрос субъекта данных о доступе также подвергает вашу организацию риску нанесения ущерба репутации. Если станет известно, что вы не соблюдаете GDPR, люди могут потерять доверие к вашей организации и решить заняться своим бизнесом в другом месте. Это может оказать существенное влияние на вашу прибыль.

Кроме того, если вы не ответите на запрос доступа субъекта данных, это может помешать вам соблюдать другие требования GDPR, такие как минимизация данных и точность данных. Если у вас нет запрошенной информации, вы не сможете соблюдать эти принципы. Это может привести к дополнительным штрафам со стороны надзорного органа.

Наконец, если вы получите запрос на доступ к субъекту данных от лица, которое также является клиентом или сотрудником вашей организации, отсутствие ответа может поставить под угрозу эти отношения. Человек может решить, что вы не цените его конфиденциальность, и решит прекратить его связь с вашей организацией.

Как видите, многие риски связаны с отсутствием ответа на запрос доступа субъекта данных. Если вы получили такой запрос, важно проконсультироваться с юрисконсультом, чтобы убедиться, что вы предпринимаете соответствующие шаги для его выполнения.

Вывод

Ответить на запрос доступа субъекта данных может быть сложно, но важно соблюдать закон. Следуя этим советам, вы сможете отвечать на запросы клиентов. Вы когда-нибудь имели дело с запросом доступа субъекта данных? Каков был ваш опыт? Дайте нам знать!

Digiprove печатьThis content has been Digiproved © 2022 Tribulant Software