在2020年10月21日,即英国信息专员办公室(ICO)提供了有关访问权的指南草案后约一年之后,ICO发布了有关数据主体访问请求(DSAR)的最新指南。 这里 (指导)。

在以前的帖子中 这里,我们介绍了DSAR是什么以及指南草案的重点原则领域。

那么,发生了什么变化?总体而言,该指南提供了更深入的建议和更多示例,以帮助组织理解如何在处理DSAR时满足通用数据保护条例(GDPR)第15条的要求。

但是,在三个特定领域中,ICO提供了进一步的解释。

1.停下来澄清一下

在协商过程中,ICO收到反馈,当组织要求数据主体澄清其DSAR的范围时,在数据主体答复时,给定一个月的截止日期,就没有足够的时间来充分响应了。针对组织面临的这一实际问题,ICO解释说组织可以 停止计时 寻求数据主体的澄清。该指南还提到,组织仅应在以下情况下寻求澄清:(a)确实需要,以及(b)组织处理有关数据主体的大量信息。尽管数据主体没有义务回答和澄清其原始要求,但ICO提醒组织不要期望他们“不遗余力”。”。在这种情况下,组织“可以选择进行合理的搜索”,而“不要求进行与提供信息访问的重要性不合理或不相称的搜索”。

2.明显毫无根据或明显过多的请求

DSAR可以是 毫无根据 如果(a)数据主体明显不打算行使其访问权,例如,如果他们提出撤回DSAR,“以换取组织的某种形式的利益”,或者(b)请求具有恶意的意图。但是,组织必须记住,这不是一个清单,它会自动证明DSAR显然是没有根据的,并且每个请求都必须根据自己的事实来考虑。

ICO还澄清了 明显过度 DSAR将“显然显然是不合理的”。组织将需要基于请求是否与处理请求所涉及的负担或成本相平衡时是否相称,并考虑到请求的所有情况,包括:

  • 所要求信息的性质;
  • 请求的上下文,以及组织与个人之间的关系;
  • 拒绝提供信息甚至拒绝承认组织是否拥有该信息可能会对个人造成实质性损害;
  • 该组织的可用资源;
  • 该请求是否在很大程度上重复了先前的请求,并且还没有经过合理的时间间隔;要么
  • 它是否与其他请求重叠(尽管如果它与一组完全独立的信息有关,则不太可能过多)。

DSAR不会仅仅因为个人需要大量信息而明显过分,所以这可能是一种平衡工作,可能使组织挠头。

如果DSAR明显没有根据或明显过多,则组织可以拒绝遵守该请求。但是,必须将此情况告知数据主体,以及其向ICO或其他监管机构提出投诉的权利以及其寻求通过法院强制执行的权利的原因。考虑到ICO可能会审查拒绝响应的请求,因此对于组织来说,最好记录为什么拒绝DSAR的记录。

3.明显过多,明显没有根据或重复请求的费用

该指南指出,作为拒绝遵守DSAR的替代方法,组织可以在DSAR明显过多,明显没有根据或要求在DSAR之后提供更多数据副本的情况下收取合理的费用,以支付管理费用。在确定合理的费用时,组织可以考虑(a)复印,打印,邮寄的费用以及将信息传输给数据主体所涉及的任何其他费用(例如, 在在线平台上提供信息的成本),(b)设备和用品(例如USB,信封)和(c)员工时间,应按“合理的每小时费率”收费。

任何此类费用都应以“合理,相称和一致的方式”收取,并应设定无偏向的收费标准,并应要求提供。

结论

访问权是个人的一项基本权利。毫无疑问,通常可以将它们视为组织的相当大的行政管理甚至是沉重的负担,但正确处理DSAR确实有助于唤起人们对组织如何以及为何使用个人的个人数据的信任和信心。 ICO的指南旨在帮助组织“正确地做到这一点”,并与他们计划发布一系列进一步的DSAR相关资源的计划一起,应被监管机构视为可喜的进步。请签入以获取更多更新。