本文仅供参考，不构成法律或财务建议。请咨询我们的合格律师或财务顾问，以获得适合您具体职位的建议。

ICO向Smith、Law和Shepherds IFA Ltd（公司）发出了执行通知，因为未能响应两个数据主体访问请求（DSAR），违反了英国GDPR第15条。

背景

数据主体1于2020年4月14日向公司提交了DSAR。然后，数据主体1分别于2020年7月7日和2020年9月28日向公司发送了进一步的电子邮件，以寻求回复，并提醒公司其在数据保护法下的义务。

数据主体1未收到回复，因此于2020年11月24日向ICO投诉。因此，ICO于2021 4月15日致函该公司，提醒其履行义务，并要求其采取适当措施回应DSAR。

2021 6月9日，数据主体1仍未收到该公司的回复，因此再次联系ICO。2021 6月24日，ICO向该公司首席执行官发送了一封电子邮件，要求他确保Data Subject 1在7天内收到他的信息。这并没有发生。

ICO在2021 12月9日（提出请求后18个多月）后的几个月内继续与该公司联系，该公司仍未对数据主体1的DSAR做出回应。

数据主体2于2020年4月17日向公司提交了DSAR。数据主体2在2020年7月3日向公司发送了更多电子邮件，寻求回复。2020年11月30日，数据主体2向ICO投诉，ICO的一名案件官员于2021 6月29日致函该公司。

ICO继续与该公司联系，截至2021 12月9日，该公司仍未回复数据主体1的DSAR。

违反

ICO进行了调查，发现该公司违反了英国GDPR第15条，未能及时通知数据主体1和数据主体2其个人数据是否正在处理，并且在这种情况下，他们未能提供访问此类个人数据的权限。

英国GDPR第15条规定如下：

“（1）数据主体应有权从控制人处获得关于是否正在处理其个人数据的确认书，在这种情况下，有权访问个人数据……”

强制执行通知

考虑到违规程度，特别是收到DSAR后的时间长度，ICO认为向公司发出强制执行通知是相称的。

根据《执行通知》，公司必须在2022年3月16日之前通知数据主体1和2他们是否正在处理个人数据，如果是，则向他们提供此类数据的副本。

评论

这是一个有用的提醒，可以及时处理任何DSAR。如果您不确定如何响应DSAR，以及应该/不应该包括哪些信息，请紧急寻求法律建议。

本文：