所有您需要了解数据主题访问请求(DSAR)

什么是dsar?

数据主题访问请求(DSAR)是隐私法规的常见要求,包括CCPA和GDPR。这些法规提供了有权申请公司对其所有信息的副本,对信息进行更改,甚至要求其删除。

使DSAR的个人有权收到您正在处理其个人数据的确认,该数据的副本,您的隐私声明和补充信息。Dsar.不是新的。组织和政府多年来使用过它们。但最近的消费者数据隐私法规介绍了几种变化,使个人更容易提出要求。这些变化走向数据处理的透明度,但它们为组织创造了一些挑战。

Dsar.不限于客户;您收集的个人数据的任何人 - 包括员工和承包商 - 有权提交一个。

数据主题请求类型

根据所涉及的权利,DSAR可以分为四类。

  • 访问请求

访问权

  • 可移植性请求

可移植性的权利

  • 改变请求

纠正权

擦除权利

请求删除权

  • 异议请求

限制处理的权利

对象数据处理的权利

退出的权利

对象自动化决策和分析的权利

什么应该是dsar回应?

个人 不要 需要提交DSAR的理由。受试者可以随时请求查看他们的数据。组织只能提出验证主题的身份并帮助他们找到所请求的信息的问题。

dsar的步骤

  1. 获取请求
  2. 请求日志记录
  3.  身份验证
  4.  Prioritization
  5.  Data Collection
  6.  Validation
  7.  Communication

获取请求

除非您将客户提供简单的方式提交DSAR,否则他们可能会使用他们找到的第一家公司电子邮件地址。拥有在线DSAR表单很智能,因为它有助于确保请求转到正确的位置并包含所有必需的信息。

 

请求日志记录

分配责任,用于创建和更新每个DSAR的记录到个人或部门。您可能会开发一个电子表格,该表显示请求日期,其状态和其他基本信息以进行跟踪进度。

 

身份验证

验证在响应之前提出请求的人的身份。您可能不会要求您尚未存在的受保护数据,但您可以要求请求者提供您所做的个人信息来验证请求。您对验证请求的数据必须与请求成比例。

优先化

根据复杂性或法律或业务程度的因素处理请求,以确保正常确定工作并确保满足响应截止日期。

数据采集

收集包含个人数据的所有记录以及以下补充文档

  1. 您的隐私声明
  2. 处理私有数据的目的声明
  3. 收集的个人数据类别
  4. 您共享个人数据的收件人(或收件人类别)
  5. 你保持个人数据多久
  6. 有关用户拥有的任何其他权利的建议,例如对象的权利或要求删除或整改的权利或与监督机构提出投诉
  7. 在您获得数据的位置,如果它不是直接来自主题
  8. 存在使用数据进行的任何自动决策
  9. 将数据传输到第三部分时使用的安全措施

验证

查看每个响应的完整性和准确性。您可以决定在向请求者发送答复之前按法律顾问审查。

沟通

安全和保密地与请求者分享响应。请记住,您必须在适用的规则定义的时间范围内响应,该规定是收到的请求的30天。

挑战

然而,挑战是 发现 您应该翻身的个人信息。在过去十年中,数据收集和扩散造成了巨大的增长,但组织往往会对数据治理和管理重视。基本上,数据到处都是,但大多数组织都没有它库存。