本文对EDPB发布的数据主体权利-访问权指南《Guidelines 01/2022 on data subject rights - Right of access(Version 2.0)》(下称“01/22号指南”)的要求进行提炼,旨在为需要满足GDPR的出海企业提供参考。
重要定义
EDPB
欧洲数据保护委员会(European Data Protection Board)是欧盟的一个独立机构,具有法人资格,旨在确保欧盟《通用数据保护条例》(GDPR)的贯彻实施,并促进欧盟数据保护机构之间的合作。2018年5月25日,EDPB取代了第29条工作组。
访问权
访问权,也称为(数据)主体查阅请求权,是全球数据保护法中最基本的数据主体权利之一。例如,美国、新加坡、巴西和欧洲国家都制定了规范个人数据访问作为隐私保护的法律。在欧盟,早在《欧盟基本权利宪章》中第8条就规定了数据主体的访问权,现在又通过《一般数据保护条例》(GDPR)第15条对其做了更具体、更精确的规定。此权利通常通过主体访问请求 (SAR) 或数据主体访问请求 (DSAR) 来实现。
扩展知识:GDPR中规定的数据主体权利包括知情权、访问权、更正权、反对权、与自动化决策有关的权利、被遗忘权(又称“删除权”)、可携权和限制处理权。
适用范围
访问权适用于控制者处理的所有个人数据。
根据GDPR的规定,数据主体只有在以下情况下有权访问其个人数据:
- 数据主体已向数据控制者提出请求,并提供了充分的身份验证信息。
- 数据主体的请求与其自身直接关联的个人数据有关。
- 数据主体的请求不会侵犯其他人的权利和自由。
总的来说,数据主体只有在符合上述条件的情况下,才能行使访问权并要求数据控制者提供其个人数据的副本。数据控制者对其他人的个人数据具有保密责任,并需要根据GDPR的其他规定确保个人数据的保护和合法处理。
访问权允许数据主体确认其个人数据是否正在被处理,并获取该数据。
访问权是数据主体在GDPR下的一项重要权利,旨在促进透明度和数据控制。数据主体可以通过行使访问权了解个人数据的处理情况,包括处理的目的、数据接收方以及数据的具体内容。数据主体可以提交请求,要求数据控制者提供关于其个人数据的详细信息和副本。
数据控制者有责任响应数据主体的访问请求,在合理的时间内提供请求的数据副本,并提供有关数据处理的相关信息。这样,数据主体可以了解其个人数据的使用情况,并确保其数据在GDPR的要求下得到适当的保护和处理。
控制者的义务
控制者提供的信息包括处理目的、被处理的个人数据类别、数据接收者和保留期限等详细信息。
具体而言,数据控制者除了提供相关的个人数据外,还需向数据主体提供以下信息:
- 数据处理的目的;
- 个人数据的类别;
- 数据已经或将要披露给谁,特别是第三国或国际组织中的接受者;
- 个人数据会存储多久,如无法估计,则应说明用以确定留存时长的准则;
- 数据主体对其数据享有相关权利,包括向监管机构提出申诉的权利;
- 当个人数据并非直接从数据主体处收集,有关数据来源的任何信息;
- 是否对个体的个人数据采用了任何自动决策程序,例如数据特征分析。如果有,控制者必须提供“关于所涉及逻辑的有意义的信息,以及这种处理对数据主体的影响和预期的后果”
这些要求旨在确保数据主体了解其个人数据的处理情况,并能够有效行使他们在GDPR下的权利。数据控制者需要通过透明的信息提供,建立信任并遵守GDPR的规定,保护数据主体的权益和个人数据的合法处理。
申请方式
控制者应为数据主体提供清晰易懂的提交请求方式,以方便其行使访问权,如电子邮件、在线表格或书面形式。
数据控制者可以采取以下措施来响应数据主体查阅请求:
- 提供访问请求表单或模板:数据控制者可以提供一个访问请求表单或模板,其中包含必要的信息字段,如数据主体的身份验证信息、请求的详细描述等。这样,数据主体可以轻松地填写表单,并将其提交给数据控制者。
- 提供在线访问请求平台:数据控制者可以设置一个在线访问请求平台,使数据主体能够直接通过网络提交访问请求。这样,数据主体可以方便地访问平台并按照要求填写必要的信息。
- 提供电子邮件或书面方式:除了在线平台或表单外,数据控制者还可以接受电子邮件或书面提交的访问请求。在这种情况下,数据控制者应明确说明接收请求的电子邮件地址或邮寄地址,并提供必要的指导和要求。
无论采用哪种方式,数据控制者都应确保提交请求的过程对数据主体来说是简单、明确和易于理解的。并且,数据控制者需要及时回应数据主体的访问请求,提供所需的信息副本,并在符合GDPR规定的时间范围内完成整个过程。
响应的时间
控制者应在收到查阅请求后一个月内做出回应,不得无故拖延。
数据控制者必须“毫不拖延地,最迟在收到请求后一个月内”满足数据主体的查阅请求。GDPR下的数据主体查阅请求会给组织来一定的管理负担。组织需要识别、响应所有的数据主体的查阅请求。因此在收到任何此类请求之前,设计、记录和部署一个符合GDPR具体要求的数据主体查阅请求程序,并培训该程序所涉及的相关工作人员,以确其保能够满足GDPR对数据查阅和提供的有关规定。
用九智汇DSR产品通过用户行权机制保障数据服务场景的用户行使个人信息主体权利,确保平台及第三方服务合作对象在数据服务过程中满足个人信息权利响应(DSR,Data Subject Request)的合规建设要求。
在某些情况下,这一时限可以延长,但延长时应告知数据主体。
在某些情况下,数据控制者可以延长对访问请求的回应时间,但必须事先告知数据主体。
“必要时,考虑到请求的复杂性和数量,这一期限可再延长两个月。控制者应在收到请求后一个月内将任何此种延迟通知数据主体,并说明延迟的原因”
根据GDPR的规定,当数据控制者需要延长回应访问请求的时间时,他们有责任在一个月内与数据主体沟通,明确说明延长的原因以及预计的回应时间。数据控制者需要向数据主体提供适当的解释,以便数据主体了解为什么无法在规定的时间内回应他们的请求。
例如,如果访问请求涉及大量复杂的数据,或者需要进行额外的检查和验证,数据控制者可能需要额外的时间来处理请求。在这种情况下,他们应当及时通知数据主体并解释为什么需要延长回应时间。
重要的是,数据控制者应确保延长回应时间是合理和必要的,并且应尽最大努力在延长的时间内完成访问请求的处理,并向数据主体提供所需的信息副本。
总而言之,GDPR要求数据控制者在延长回应时间时与数据主体进行沟通,并在合理和必要的情况下延长回应访问请求的时间。这种延长应该是透明和合理的,且应在与数据主体的沟通中进行明确说明。
数据安全和保密
控制者有义务采取适当的技术和组织措施,确保应要求提供的个人数据的安全性和保密性。
由于向数据主体传达和提供个人数据属于一种数据处理操作,因此控制者始终有义务采取适当的技术和组织措施,以确保与数据处理风险相适应的安全级别(参见GDPR第 5(1)(f)、24 和 32 条)。5(1)(f)、24 和 32 条)。
在以常用电子形式提供数据副本的情况下(参见第 15(3)条),控制者应选择符合数据安全要求的电子方式。这可能包括加密、密码保护等。在数据安全要求必须对电子邮件进行端对端加密,但控制者只能发送普通电子邮件的情况下,控制者将不得不使用其他方式,如通过挂号信邮寄如 U盘等给数据主体。
收费
一般来说,控制者不能对提供个人数据的请求收取费用,但是,如果请求明显没有根据或过分,则可根据行政成本收取合理费用。
数据控制者不能对数据主体的首次查阅请求收取费用,而这在以前的《欧盟数据保护指令》(DPD)中是允许的。根据GDPR要求,首次的数据副本必须免费提供给数据主体。但数据控制者对任何额外的副本收取“基于管理成本的合理费用”
响应流程
以下是数据主体访问请求的响应流程的一般步骤:
在整个访问请求的响应流程中,控制者应尽可能地保护个人数据的安全性和保密性,并确保满足GDPR的要求。同时,确保与数据主体进行有效的沟通,并及时响应请求。