英國央行警告稱,英國正面臨史上時間最長的經濟衰退,預計2025年,全國失業率將翻一番。由於員工數據保護權利意識的提高、持續的經濟壓力以及企業裁員數量的可能增加,員工們提出的數據訪問請求數量很有可能會增加。
什麼是數據主體訪問請求(SAR)?
根據英國數據保護法律(《一般數據保護條例》和《2018數據保護法案》),個人有權訪問任何組織持有的關於他們的任何個人數據。通過提出數據主體訪問請求(SAR),個人(即數據主體)不僅可以了解企業持有了他們的哪些個人資訊,還可以瞭解這些資訊的使用方式 、保存時間、與誰共用以及從何處被獲取的。數據主體訪問請求(SAR)並沒有的正式要求 ——個人可以以口頭或書面形式提出,並且無需向特定機構提出申請(如工會等)。
收到SAR后,企業必須提供什麼?
收到SAR后,企業必須提供自己持有的相關個人數據副本,以及請求中包含的任何其他補充資訊;並解釋對個人信息處理的目的,相關數據將被保留多長時間以及可能向誰提供。
應對數據主體訪問請求的時限是什麼?
企業必須立即履行SAR,最遲在收到請求后的一個月內完成SAR。但如果請求很複雜,或者企業已經收到了個人的一些請求(例如,個人在提出SAR的同時,還請求刪除其個人數據,以及獲取數據為己用的請求),則有可能延長時限到兩個月。
如果企業確實需要處理大量的個人資訊,並且為了回應SAR,確實需要澄清所尋求的資訊,則延期很可能被批准。
請求是否複雜將取決於具體情況,例如企業的規模和資源。在使用這一理由時,重要的是公司必須能夠證明為什麼該請求在當時的情況下是複雜的。
截止日期無限延長也是有可能的,但只有在公司需要處理大量個人資訊並澄清該處理行為僅為了回應SAR時才有可能發生。
SAR對公司可能造成哪些不利影響?
SAR經常被那些計劃或已經開始對其雇主提起訴訟的雇員作為一種法律策略來使用。通過進行SAR,雇員可以在勞動法庭索賠之前獲得證據,同時迫使僱主承擔處理其SAR的昂貴且耗時的工作。同樣重要的是,在大多數 情況下,除非該請求明顯沒有依據或屬於過度請求,僱主不能向個人收取SAR費用。又或者如果個人要求進一步複製數據,公司只能就相關行政成本收取合理的費用。雇員可以通過這種方式,把SAR用作一種法律策略,迫使僱主儘早同意賠償和獲取更高賠償金額的解決方案。
SAR 還以哪些其他方式使用?
同樣,其他人也可以提出SAR作為提出索賠的第一步,目的是向企業尋求賠償。例如,試圖請求關於自己的監控錄像就可以是人身傷害索賠的前兆。在企業VS消費者的情況下,心懷不滿的消費者可能希望給企業帶來不便,甚至可能與其他消費者聯合起來,以群體的形式用SAR給企業帶來不小的麻煩。
違規行為會受到哪些處罰?
根據資訊專員辦公室(ICO)發佈的規定,SAR通常是帶有“未知目的”的。這意味著企業必須遵守SAR,無論個人提出SAR的目的是什麼。但是,如果該公司認為該要求明顯沒有依據或屬於過度請求,則可以拒絕配合。另一方面,那些提出SAR的個人如果認為拒絕不合理,可以向ICO投訴。ICO有多種方式對企業採取行動,並可能發出警告,譴責,執法通知或處罰通知。個人也可以就企業的違規行為尋求賠償,也可以要求法院介入。 請注意,拒絕SAR請求是一種犯罪。考慮到不同意SAR利於個人向公司提出索賠的風險,公司必須迅速,適當地回應SAR。
3CS 如何提供幫助
由於任何員工都可能通過任何管道收到任何格式的數據主題訪問請求,3CS 可以通過提供員工培訓和為這些請求準備標準表格來説明您做好準備。我們還可以説明您適當地回應該請求,確保您在正確的時間範圍內僅提供必要的資訊,並且確保您不會提供個人無權獲得的任何資訊,包括編輯檔以避免洩露其他人的個人數據,甚至侵犯他們的權利。請與您常用的3CS聯繫人聯繫以獲取更多資訊。
