跳转到主要内容

文章分类

随着我们的生活和互联网越来越紧密地联系在一起,我们的个人信息变得越来越不隐私,越来越容易被人窃取。2019年的一项研究发现,超过一半的美国买家不相信组织在使用、共享或存储个人数据时会获得最大利益。2020年的一项民意调查发现,只有8%的受访者愿意将自己的所有信息透露给一家公司。

幸运的是,越来越多的监管机构正在为如何处理隐私创建法律框架,包括被称为通用数据保护条例(GDPR)的改变游戏规则的法律框架。GDPR为公民提供了更多关于企业和其他实体如何处理其个人信息的权利。

其中一项权利-访问权,或“主题访问权”-允许公众了解您的组织对他们的了解以及您如何使用这些信息。他们通过数据主体访问请求(DSAR)或主体权限请求了解这一点。

DSAR既微妙又复杂,可能需要一点技巧来导航。在本指南中,我们将解释如何在适当响应DSAR的同时遵守数据隐私法规。

目录

  • 什么是DSAR?
  • DSAR响应中包括哪些内容?
  • 谁可以提交DSAR?
  • 我可以拒绝回复DSAR吗?
  • 我必须提供一切吗?
  • 我必须以多快的速度响应DSAR?
  • 您可以为DSAR收取费用吗?
  • 在我的组织中,谁应响应DSAR?
  • 好吧,但我们如何处理DSAR?
  • 是什么让应对DSAR如此具有挑战性?
  • 遵守Osano

什么是DSAR?

个人可以向实体提交数据主体访问请求(DSAR),收到后,实体必须提供相应信息。GDPR对DSAR的正式解释如下:

  • “数据主体应有权访问已收集的与他或她有关的个人数据,并在合理的时间间隔内轻松行使该权利,以便了解和验证处理的合法性。”

《加州消费者隐私法》(CCPA)及其后续《加州隐私权法》(CPRA)维护类似权利。CCPA的解释如下:

  • “[……]立法机构的目的是通过确保以下权利,为消费者提供有效的方式来控制其个人信息,从而促进加利福尼亚人的隐私权:[……](4)加利福尼亚人访问其个人信息的权利。”

简言之当某人(或“数据主体”)提交DSAR(他们可以随时提交)时,您的组织必须回复您关于该主体的任何信息的副本。

DSAR不是新的;组织和政府已经使用了多年。但最近的消费者数据隐私条例引入了一些变化,使个人更容易提出请求。这些变化大大提高了数据处理的透明度,但也会给公司和组织带来挑战。

DSAR响应中包括哪些内容?

在响应DSAR时,您的组织通常会提供您关于某个主题的所有个人信息的完整列表。在某些情况下,受试者可能只要求提供具体细节。您有义务提供受试者要求的任何信息。

受试者可以要求:

  • 确认您处理他们的个人数据
  • 访问他们的个人信息
  • 您处理其数据的合法依据
  • 您将存储其数据的时间段(或用于确定该时间段的标准,即“只要您是客户”)
  • 任何相关信息 关于如何获得数据
  • 关于自动决策和分析的任何相关信息
  • 与您共享其信息的任何第三方的名称

个人不需要提交DSAR的理由。作为对请求的响应,实体可以提出的唯一问题是验证受试者身份并帮助定位所请求信息的问题。

诚然,这可能是一个负担-尤其是如果你不将受试者的所有数据保存在一个方便的地方。如有必要,我们建议实施一个数据映射过程来跟踪数据及其保存位置,以及一个报告工具来从多个来源中筛选信息。

谁可以提交DSAR?

任何人都可以提交请求;它们不限于客户或用户。员工、承包商、销售前景、求职者和捐赠者都可以向存储个人数据的组织提交DSAR。

在某些情况下,个人可以代表另一个人提交DSAR。

这通常发生在以下情况下:

  • 父母或监护人要求提供有关孩子的信息
  • 法院指定的官员正在处理某人的事务
  • 有人代表其客户或雇主要求提供信息
  • 数据主体向朋友或亲戚请求帮助

如果是这种情况,您的组织有责任确保请求真正代表数据主体。作为对这种DSAR类型的回应,您可以要求提供有关关系的支持性证据,如父母姓名的出生证明、监护文件或授权书文件。


我可以拒绝回复DSAR吗?

虽然响应大多数DSAR很重要,但您不必响应每个人。您的组织可以出于两个原因拒绝遵守:

  • 这一要求显然毫无根据。请求者不打算适当地行使其访问权。例如,他们可能计划使用请求对组织提出未经证实的索赔。
  • 请求过多。例如,过度请求是与另一个最近提交的请求重叠的请求。

也就是说,在拒绝响应DSAR时要小心。很难证明DSAR是无根据的还是过多的,而且很少有确切的定义或实例说明什么是合格的。此外,例外情况适用于每个组织。

例如,向跟踪数百个数据点的全球商业智能公司提交每月DSAR可能并不过分,但向只保留姓名和电子邮件地址的本地健身房提交这么多数据点可能会过分。

根据GDPR,组织不能创建一个为“可接受的”DSAR设置标准的一揽子策略。相反,您必须逐个考虑每个请求。如果您决定拒绝DSAR,请相信您有能力向当局提供理由。

我必须提供一切吗?

不,您只需要提供被视为个人数据的信息。组织不需要包含所有提到或引用数据主题的内容。例如,您不需要提供关于受试者销售账户的内部备忘录或说明。

此外,还可以编辑一些信息。您应该编辑私人组织信息和任何不在DSAR范围内的信息。最重要的是,编辑与其他人相关的任何信息。否则,您将犯下数据泄露。


我必须以多快的速度响应DSAR?

您应“毫不拖延地”回复DSAR,但最迟应在请求后一个月内。如果受试者的请求众多或复杂,您可以将最后期限延长两个月。也就是说,您必须在第一个月内回复请求,并解释为什么需要延期。

如果在40天内根本没有回复DSAR,您将面临巨额罚款和监管处罚。这也会玷污你的声誉:当然,假设是,如果你不愿意对数据透明,你一定在做一些邪恶的事情。


您可以为DSAR收取费用吗?

虽然曾经允许对数据请求收取费用,但在大多数情况下不再允许。只有在您认为付款符合前面列出的一个或两个例外情况时,才允许请求付款:DSAR明显没有根据或过高。

请记住:只有在你绝对确定自己可以在法庭上捍卫自己的立场时,才可以宣布DSAR没有根据或过度。在大多数情况下,响应DSAR比风险惩罚更简单、更便宜。

在我的组织中,谁应响应DSAR?

指定某人为数据保护官(DPO)会有帮助。此人应熟悉数据隐私法规和数据保护。

您的DPO不必为每个请求编写响应,但他们应该监督流程,以确保响应准确、及时且符合要求。事实上,记录您的DSAR响应过程是明智的,这样您组织中的任何人都可以遵守。

如果您的组织填写了大量DSAR,请考虑自动编译响应的过程。自动生成DSAR响应比手动编译每个响应更简单、更经济。


好吧,但我们如何处理DSAR?

没有处理DSAR的正式流程。事实上,数据主体在这里有很多自由。个人可以通过电话、亲自或通过点击应用程序中的“提交DSAR”按钮请求数据。

也就是说,受试者提交书面请求通常效率更高。这为双方创建了DSAR记录,包括制作日期、请求数据类型(或简称“所有数据”)和其他相关信息。

人们不必使用“DSAR”或“数据主体访问请求”这两个术语。他们可以说“我想看看你在我身上的数据”或“给我看你在我上保存的信息”

尽管缺乏处理DSAR的正式流程,但以下步骤被视为行业标准:

第1步:验证受试者的身份。

验证请求者的身份,以便您可以a)确定您是否拥有他们正在查找的信息,以及b)安全地分发信息。如果您将主题数据发送给错误的人,您可能会犯数据泄露。

第2步:澄清请求的性质。

查看DSAR以确定请求者想要知道什么。在大多数情况下,人们只是想查看您在他们身上的数据,但他们也可能会调用其他数据隐私权。例如,受试者可能要求“纠正”,或纠正不准确的数据。

一旦你明确了主题的要求,决定是否可以在一个月内回复。如果生成响应需要更多时间,请向请求者解释。

第3步:查看数据。

在向受试者发送请求的数据之前,请仔细查看。确保它不包括任何其他人的个人信息,以避免意外的数据泄露。此外,它有助于解释为什么您有关于某个主题的特定信息。

第4步:收集和打包数据。

接下来,将所有请求的数据收集到响应中;格式将取决于您提供的信息。实际的文件类型必须是通用的且易于访问。在可能的情况下,GDPR鼓励向数据主体提供对安全系统的远程访问,该系统将直接访问其个人数据。

如果受试者要求一切,确保你的回答尽可能全面。如果您的组织有任何保留,它可能会被指控侵犯受试者的权利。

第5步:解释受试者的权利。

在您的回复末尾,包括提醒个人其数据隐私权的部分。提及他们反对数据处理的权利和要求数据纠正的权利。此外,提及他们向监管机构提出投诉的能力。

步骤6:向受试者发送请求的数据。

提交贵组织对该主题的回复。记录您与请求者的通信,以便存在审计跟踪,以确保问责制和合规性。

是什么让应对DSAR如此具有挑战性?

从理论上讲,响应DSAR听起来很简单。然而,挑战在于定位要求您提供的个人信息。在过去十年中,我们看到了数据收集和扩散的巨大增长,但组织往往很少关注数据治理和管理。

换句话说,数据无处不在,但大多数实体都没有对其进行清点。

例如,一笔支付交易可能触发十几个系统,每个系统都有自己独特的数据点。为了筛选每个系统,必须有人不断地了解其数据操作。而且大多数组织都不清除数据,这使得搜索更加困难。

因此,响应DSAR需要仔细了解您存储的个人信息、其位置以及您拥有这些信息的原因。考虑实施数据治理策略以确保适当的DSAR响应。

遵守Osano

如果您认为您的组织太小,无法引起欧盟监管机构的注意,请三思。欧盟当局甚至对当地最小的商店也罚款。美国和欧盟共同签署了一项合作协议:即使您的公司仅位于美国,GDPR法律仍然适用。

但奥萨诺可以帮忙。对于DSAR响应,我们的工具有助于验证数据主体的身份,将任务分配给适当的所有者,并在所需时间内交付结果。我们还提供了一些工具来帮助自动化此过程,为您、团队和组织节省宝贵的时间。现在就顺从;我们来这里是为了简化它。

本文:

文章链接