关于如何响应数据主体访问请求的最佳提示

已发表: 2022-07-19

如果您的公司收到数据主体访问请求 (DSAR),请务必及时正确地做出响应。 否则,可能会受到信息专员办公室 (ICO) 的处罚。 在这篇博文中,我们将为您提供有关如何及时有效地响应 DSAR 的提示。

什么是数据主体访问请求 (DSAR)?

资源

DSAR 是个人对组织持有的关于他们自己的信息的请求。 这可能包括他们的姓名、联系方式或组织存档的任何其他个人数据。 GDPR 赋予个人制定 DSAR 的权利,组织必须在一个月内做出回应。

如果个人口头提出 DSAR,组织必须在五天内向他们提供书面确认。 进行 DSAR 的权利有一些例外情况,包括国家安全或刑事调查。 但是,在大多数情况下,个人有权访问他们的数据。 如果您对制作 DSAR 有任何疑问,请联系您当地的数据保护机构。

响应 DSAR 的关键提示

以下是帮助您有效应对的十个技巧:

  • 仔细阅读 DSAR:当您收到 DSAR 时,请花时间仔细阅读。 这将帮助您了解个人要求的信息以及您是否可以提供这些信息。
  • 检查请求者的身份:在履行任何 DSAR 之前,您应该检查请求者的身份,以确保他们是他们所说的人。 这可以通过要求政府颁发的身份证或通过其他方法确认其身份来完成。
  • 确定请求是否有效:验证请求者的身份后,您需要确定请求是否有效。 这意味着确保个人有权根据数据保护法访问所请求的信息。
  • 收集请求的信息:如果您确定 DSAR 有效,您将需要收集请求的信息。 这可能需要与您组织内有权访问相关数据的其他部门或个人合作。
  • 准备回复:收集完所有要求的信息后,您需要准备回复。 这应该包括一封求职信,概述所提供的信息和任何支持文件。
  • 查看回复:在发送您的回复之前,您应该查看它以确保所有请求的信息都包括在内且准确无误。 您还应该检查以确保响应中的任何内容都不会潜在地损害个人或其数据。
  • 发送回复:审核并最终确定回复后,您需要将其发送给请求者。 这可以通过邮件、电子邮件或 DSAR 中指定的其他方法来完成。
  • 记录请求和响应:记录 DSAR 和您的响应以防出现任何问题或问题,这一点很重要。 这也将帮助您跟踪您收到和回复的所有 DSAR。
  • 需要时寻求帮助:如果您不确定如何回复 DSAR 或有任何其他问题,您应该向合格的数据保护专业人员寻求帮助。 他们将能够就最佳处理方式向您提供建议,并确保您的回复符合数据保护法。
  • 保持简单明了:个人有权知道持有关于他们的哪些个人数据、持有这些数据的原因以及如何使用这些数据。 您应该清楚简洁地提供此信息。
  • 保持透明:对流程以及个人对您的期望保持坦率。 让他们知道在满足他们的请求方面是否会有任何延迟以及原因。
  • 不要试图隐瞒任何事情:个人有权获得你掌握的所有信息,所以不要试图隐瞒任何事情。 这只会损害您与个人的关系,并可能导致法律诉讼。
  • 保密:为响应数据主体访问请求而提供的所有信息都必须保密。 这包括请求本身和您在响应中提供的信息。
  • 限时回复:您必须在收到数据主体访问请求后的一个月内回复。 如果您无法在截止日期前完成,请告知个人并解释原因。
  • 以易于理解的格式提供信息:个人有权以易于阅读和理解的格式接收其数据。 尽可能避免使用行话或技术语言。
  • 不要做假设:每个数据主体的访问请求都是不同的。 不要对个人想要或需要什么或他们将如何使用您提供的信息做出假设。

DSAR 响应中应包含哪些信息

资源

数据主体访问请求 (DSAR) 响应应包括个人持有的所有个人数据。 此数据应包括可用于识别个人的任何信息,例如他们的姓名、地址、出生日期或联系方式。

此外,响应应包括收集的有关个人的任何信息,例如他们的浏览历史或购买历史。 最后,回复还应说明已采取哪些措施来保护个人数据不被未经授权的个人访问。

通过提供此信息,DSAR 响应有助于确保个人数据受到保护并保持透明。

编译和审查数据主体访问请求的提示

GDPR 对组织规定了处理个人数据的严格义务,包括主题访问请求 (SAR)。 以下是我们编译和审查 SAR 的重要提示:

  • 确保您有专门的团队或个人负责处理 SAR。 这将有助于确保根据 GDPR 及时处理请求。
  • 制定处理 SAR 的程序,包括识别数据主体、验证其身份和查找相关信息的明确流程。
  • 除非有充分的理由延长此期限,否则应在一个月内回复 SAR。 如果您需要延长时限,您必须在收到他们的请求后的一个月内通知数据主体。
  • 确保您有一个系统来跟踪请求并确保及时处理它们。
  • 在回应 SAR 时尽可能具体,尤其是您提供的信息以及您做出任何决定的原因。
  • 如果您打算向数据主体隐瞒信息,请注意您必须有有效的法律依据才能这样做。
  • 保留收到的所有 SAR 的记录,包括处理方式和结果的详细信息。 这将帮助您确定可以改进流程的领域。
  • 定期审查您的程序,以确保它们符合目的并符合 GDPR。
  • 准备好处理复杂的 SAR,这可能需要您搜索大量数据。 这可能既耗时又耗费资源,因此规划很重要。
  • 如果您不确定如何处理 SAR,或者您认为该请求没有根据或过度,请寻求法律建议。

不响应数据主体访问请求的危险

资源

如果您选择不响应数据主体访问请求,您可能会违反 GDPR。 这可能会导致高达 2000 万欧元或全球年收入 4% 的罚款,以较高者为准。 此外,您可能需要向提交请求的个人支付损害赔偿。

不响应数据主体访问请求也会使您的组织面临声誉受损的风险。 如果有消息说您不遵守 GDPR,个人可能会失去对您组织的信任并选择将业务转移到其他地方。 这可能会对您的底线产生重大影响。

此外,未能响应数据主体访问请求可能会妨碍您遵守其他 GDPR 要求的能力,例如数据最小化和数据准确性。 如果您没有所要求的信息,您将无法遵守这些原则。 这可能会导致监管机构的额外罚款。

最后,如果您收到来自您组织的客户或员工的个人的数据主体访问请求,则不回复可能会危及这种关系。 个人可能会觉得您不重视他们的隐私并选择终止他们与您的组织的联系。

如您所见,许多风险与未能响应数据主体访问请求有关。 如果您收到此类请求,请务必咨询法律顾问,以确保您采取适当的步骤来遵守。

结论

响应数据主体访问请求可能令人生畏,但遵守法律很重要。 通过遵循这些提示,您将能够响应客户的请求。 您是否处理过数据主体访问请求? 你的经历是什么? 让我们知道!

Digiprove 密封件This content has been Digiproved © 2022 Tribulant Software