英国央行警告称,英国正面临史上时间最长的经济衰退,预计2025年,全国失业率将翻一番。由于员工数据保护权利意识的提高、持续的经济压力以及企业裁员数量的可能增加,员工们提出的数据访问请求数量 很有可能会增加。
什么是数据主体访问请求 (SAR)?
根据英国数据保护法律(《一般数据保护条例》和《2018数据保护法案》),个人有权访问任何组织持有的关于 他们的任何个人数据。通过提出数据主体访问请求(SAR),个人(即数据主体)不仅可以了解企业持有了他们的哪些个人信息,还可以了解这些信息的使用情况、保存时间、与谁共享以及从何处被获取的。数据主体访问请求(SAR)并没有的正式要求 ——个人可以以口头或书面形式提出,并且无需向特定机构提出申请(如工会等)。
收到SAR后,企业必须提供什么?
收到SAR后,企业必须提供自己持有的相关个人数据副本,以及请求中包含的任何其他补充信息; 并解释对个人信息处理的目的,相关数据将被保留多长时间以及可能向谁提供。
应对数据主体访问请求的时限是什么?
企业必须立即履行SAR,最迟在收到请求后的一个月内完成SAR。但如果请求很复杂,或者企业已经收到了个人的一些请求(例如,个人在提出SAR的同时,还请求删除其个人数据,以及获取数据为己用的请求),则有可能延长时限到两个月。
如果企业确实需要处理大量的个人信息,并且为了回应SAR,确实需要澄清所寻求的信息,则延期很可能被批准。
请求是否复杂将取决于具体情况,例如企业的规模和资源。在使用这一理由时,重要的是公司必须能够证明为什么该请求在当时的情况下是复杂的。
截止日期无限延长也是有可能的,但只有在公司需要处理大量个人信息并澄清该处理行为仅为了回应SAR时才有可能发生。
SAR对公司可能造成哪些不利影响?
SAR经常被那些计划或已经开始对其雇主提起诉讼的雇员作为一种法律策略来使用。通过进行SAR,雇员可以在劳动法庭索赔之前获得证据,同时迫使雇主承担处理其SAR的昂贵且耗时的工作。同样重要的是,在大多数情况下,除非该请求明显没有依据或属于过度请求,雇主不能向个人收取SAR费用。又或者如果个人要求进一步复制数据,公司只能就相关行政成本收取合理的费用。雇员可以通过这种方式,把SAR用作一种法律策略,迫使雇主尽早同意赔偿和获取更高赔偿金额的解决方案。
SAR 还以哪些其他方式使用?
同样,其他人也可以提出SAR作为提出索赔的第一步,目的是向企业寻求赔偿。例如,试图请求关于自己的监控录像就可以是人身伤害索赔的前兆。在企业VS消费者的情况下,心怀不满的消费者可能希望给企业带来不便,甚至可能与其他消费者联合起来,以群体的形式用SAR给企业带来不小的麻烦。
违规行为会受到哪些处罚?
根据信息专员办公室(ICO)发布的规定,SAR通常是带有“未知目的”的。这意味着企业必须遵守SAR,无论个人提出SAR的目的是什么。 但是,如果该公司认为该要求明显没有依据或属于过度请求,则可以拒绝配合。另一方面,那些提出SAR的个人如果认为拒绝不合理,可以向ICO投诉。ICO有多种方式对企业采取行动,并可能发出警告,谴责,执法通知或处罚通知。个人也可以就企业的违规行为寻求赔偿,也可以要求法院介入。请注意,拒绝SAR请求是一种犯罪。考虑到不同意SAR利于个人向公司提出索赔的风险,公司必须迅速,适当地回应 SAR。
3CS 如何提供帮助
由于任何员工都可能通过任何渠道收到任何格式的数据主题访问请求,3CS 可以通过提供员工培训和为这些请求准备标准表格来帮助您做好准备。我们还可以帮助您适当地回应该请求,确保您在正确的时间范围内仅提供必要的信息,并且确保您不会提供个人无权获得的任何信息,包括编辑文件以避免泄露其他人的个人数据,甚至侵犯他们的权利。请与您常用的3CS联系人联系以获取更多信息。
