其次,根据之前的数据保护法,公司最多有40天的时间来回应可疑活动请求(SAR)。然而,根据《通用数据保护条例》(GDPR),公司必须在一个月内做出回应,如果请求特别复杂或数量众多,则可能延长两个月。
如需延长期限,公司必须通知个人并提供延长理由。一个月的期限自日起计算。
第三个关键变化是,SAR 不再要求以书面形式提出。请求可以通过电话、电子邮件或社 mint 数据库 交媒体口头提出。无需使用“主体访问请求”一词。必须明确指出,个人请求访问的是其自身的个人信息,而非他人的个人信息。
训练与处理
以上三点强调了确保组织内所有员工了解 SAR 是什么以及如何处理它的重要性。
这要求至少对所有员工进行普遍的意识教育,并对所有负责处理和维护个人数据的工作人员进行深入培训。
具体来说,在促进 SAR 方面,这需要开展适当的培训,不仅针对数据保护和合规人员和人力资源部门,还针对管理层和其他可能从现任或前任员工那里收到 SAR 的人员。
很多情况下,个人可能只是想知道自己被持有哪些数据,以便核实其准确性。他们也可能要求删除部分或全部数据,或者表达对个人数据处理的反对。
对于过去和现在的员工,雇主不太可能遵守大多数删除或反对处理的请求,因此不应依赖同意来处理员工的个人数据。
然而,与当今大多数隐私法一样,GDPR 不仅旨在允许个人查看组织拥有的有关他们的信息,而且还旨在提高数据的质量和准确性,并允许参与数据的处理方式和内容。
但是……虽然 SAR 可以帮助实现这些所谓的目标,但数据隐私专家的反馈表明,最近 SAR 数量增加背后有不同的动机……
隐私和信任:回报时间?
Dataguise 最近的一篇文章指出,过去 20 年里,各组织机构积累了越来越多的数据,并利用精心设计的法律机制(例如通知和合同)来最大限度地提高收集和使用个人信息的能力。但到了某个时候,我们作为数字消费者已经到达了一个临界点。
- Board index
- All times are UTC
- Delete cookies
- Contact us