信息来源: 金融中小企业,
现在我们比以往任何时候都更了解个人数据的重要性。每天,关于公司如何收集数据、保存数据的时间以及数据的用途等重要问题都会被提出。个人有合法权利知道这些问题的答案,企业有法律义务提供信息。
过去几年,尤其是疫情爆发以来,提交数据主体访问请求 (DSAR) 的人数显着增加。
本文由数据保护专家 DPO 中心撰写,提供有关 DSAR 的背景信息,并试图回答常见问题:DSAR 中应包含哪些内容以及可以保留哪些内容。
什么是 DSAR?
数据主体访问请求 (DSAR),也称为主体访问请求 (SAR),是个人向组织提出的有关其收集和存储的个人信息的正式请求。
根据欧洲经济区的《通用数据保护条例》(GDPR) 和英国的《通用数据保护条例》,个人拥有访问其个人信息的合法权利。 DSAR 可以口头或书面形式(包括通过社交媒体和消息系统)提出,并且不必针对组织内的特定人员。
以下是 DSAR 的一些实例:
- “我想知道你有什么关于我的信息”
- “我可以看一下我的人力资源档案吗?”
- “你能给我发一份电子邮件吗?”
- “我的账户详细信息是什么?”
为什么 DSAR 很重要?
DSAR 提高了企业内部数据处理流程的透明度,并使个人能够控制自己的个人信息。然而,DSAR 经常被视为一种负担。内部资源通常不可用,并且员工和主管不熟悉最佳实践 DSAR 流程。
DSAR 可以提供许多好处,并且可以被视为开发强大的数据治理的有用工具。 DSAR 处理可以改善运营、提高员工意识,并提供提高客户信任度和满意度的绝佳机会。
信任——履行 DSAR 表明对消费者和员工隐私权的尊重,从而培养信任和忠诚度。在生命科学领域,获得临床试验参与者的信任至关重要。
信心——及时回应 DSAR 可以减少投诉和争议的可能性,同时也可以增强公司声誉。
改进内部运营——通过评估所请求的数据,企业可以获得有价值的见解并对其数据保护策略进行重大改进。
DSAR 响应中应包含哪些信息?
每个 DSAR 必须单独处理,所需信息根据请求的具体情况而有所不同。
一般来说,以下是企业需要处理的最典型的 DSAR 形式:
数据摘要——此类请求通常要求公司提供有关个人的所有个人信息的完整列表。为了避免泄露,包含其他人个人信息的数据必须经过编辑。
数据处理确认——个人有权要求确认其个人信息的处理。公司必须根据要求提供这些信息,包括数据处理的目的、收集的数据类型和保留期限。这些详细信息与隐私政策中的详细信息相当。
数据更正——有时人们会联系公司来验证他们的信息,然后要求进行调整,例如新的地址或付款信息。对于此类请求,必须先提交信息,然后根据需要进行修改。
员工请求——这些请求与消费者请求同样重要,并且应该以同样的紧迫性进行处理。公司经常保存敏感信息,例如医疗信息,这需要在数据保护方面格外小心。
时间表和截止日期
DSAR 必须在收到请求后一个月内予以处理。如果有事情需要澄清,请按下暂停按钮;然而,这不能用作拖延战术。
答复期限可以延长两个月(总共三个月),但前提是请求被判断为复杂或由同一人提交多个请求。
复杂的请求可能包括:
- 检索存储信息的技术困难
- 公共机构需要搜索大量非结构化手动记录
- 澄清有关向授权第三方披露敏感医疗信息的保密问题
- 需要获得任何专业法律建议
这些不一定被认为是复杂的:
- 大量信息(尽管这可能会给复杂案件带来挑战)
- 大量单独的 DSAR
- 需要从多个系统检索数据
豁免:隐藏数据的原因是什么?
DSAR 豁免给企业带来了相当大的困惑,最近对指南的误读导致英国信息专员办公室 (ICO) 在 2022 年 4 月至 2023 年 3 月期间收到了超过 15,000 起投诉。
多项豁免允许组织保留数据以响应 DSAR。但是,个人必须在收到请求后一个月内获得关于为何扣留数据的解释。此外,个人有权向监管机构提出投诉并寻求法律救济。
以下是有效豁免的一些主要原因:
明显不合理或过度——该术语指明显毫无根据或不合理的请求,并根据具体情况决定。示例包括仅出于烦人或扰乱目的而提出的要求,以及需要花费过多时间才能完成的未定义的要求。
保护其他人的数据– 披露可识别他人身份的数据有豁免权,除非对方已给予许可。
保护他人的权利和自由– GDPR 第 15(3) 条概述了如何捍卫他人的权利和自由。如果根据请求提供信息可能危及他人的权利和自由(例如泄露身份或个人信仰),则适用豁免。
预防犯罪——出于犯罪和税务相关原因处理的个人数据不受访问权的限制,其中包括预防或侦查犯罪、逮捕或起诉罪犯以及评估或征收税款或关税。仅当遵守访问权可能会危及这些目标时,该豁免才适用。
用于管理预测或规划的个人数据——销售估算、人员配置计划和财务预测等数据不受 DSAR 合规性约束。披露此信息可能会泄露有关其运营和未来计划的敏感信息,从而损害该公司。
DSAR 最佳实践
DSAR 成功的关键是适当的规划和数据控制。如果您在响应请求时遇到困难,这可能表明您应该评估整个数据管理流程。
以下是有关 DSAR 最佳实践的一些有用建议:
- 数据映射——本质上,了解公司存储和处理哪些数据。这可以通过处理活动记录 (RoPA) 和可视化数据图来完成。
- 明确的内部程序——DSAR 政策和程序文件至关重要。其中应包括对 DSAR 外观的解释以及如何处理响应的步骤。
- 员工培训——对员工进行一般数据保护培训是成功数据管理的关键要素,并将有助于加强积极的隐私文化。培训还确保员工能够识别 DSAR 并帮助他们了解自己的责任。
- 定期检查第 1-3 点
信息来源: 金融中小企业