Запросы на предмет доступа в рамках GDPR: что нужно знать работодателям сочинение пример

ООО "Сочинения-Про"

Ежедневно 8:00–20:00

Санкт-Петербург

Ленинский проспект, 140Ж

Сочинение на тему Запросы на предмет доступа в рамках GDPR: что нужно знать работодателям

В соответствии с Общим регламентом о защите данных (GDPR) («Регламент»), который вступает в силу 25 мая 2018 года, физические лица будут пользоваться расширенными правами с точки зрения их способности запрашивать и получать доступ к персональным данным у любых организаций, имеющих такие данные о них. В этой записке будут рассмотрены изменения в режиме запроса субъектного доступа («SAR») и даны некоторые советы для работодателей, чтобы убедиться, что они подали жалобу GDPR раньше наступающего срока.

Что такое SAR? SAR – это знакомая концепция, содержащаяся в Законе о защите данных 1998 года. SAR дают отдельным лицам право на право выяснения, какие личные данные хранятся о них в организации, почему организация хранит их и кому эта информация раскрывается этой организацией. Однако, согласно собственной официальной статистике ICO, неправильное обращение с SAR является проблемой защиты данных номер один, на которую жалуется общественность. В 2016 году 42% из более чем 18 000 жалоб, связанных с защитой данных, были поданы с правами заинтересованных лиц ICO на доступ к своим личным данным, находящимся в распоряжении организаций.

В соответствии с Общим регламентом о защите данных (GDPR) («Регламент») режим для SAR в целом аналогичен тому, к которому мы привыкли в рамках DPA. Тем не менее, есть ряд ключевых отличий, о которых должны знать работодатели, и ICO подготовила предварительное руководство для объяснения ключевых особенностей нового режима. Что если работодатели не соблюдают правила? Невыполнение указанного срока или предоставление работникам доступа ко всем запрашиваемым данным может привести к значительным штрафам для работодателей. Максимальный штраф в соответствии с GDPR за нарушения предметной области составляет до 4% ежегодного мирового оборота предыдущего финансового года или € 20 000 000. Что говорится в Положении?

Статья 15 Правил

В соответствии со статьей 15 Положения работники (субъект данных) имеют право запрашивать у своего работодателя (контролера):

     

  • Подтверждение того, что их данные обрабатываются, и где это так, следующая информация:
  •  

        

    1. Цель обработки;
    2.   

    3. Категории данных, которые обрабатываются;
    4.   

    5. Получатели или категории получателей, которым были или будут раскрыты персональные данные, в частности получатели в третьих странах или международных организациях;
    6.   

    7. Предполагаемый период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода;
    8.   

    9. Наличие права запрашивать у контроллера исправление или удаление персональных данных или ограничение обработки персональных данных, относящихся к субъекту данных или к возражению против такой обработки;
    10.   

    11. Право подать жалобу в надзорный орган;
    12.   

    13. Если личные данные не собраны у субъекта данных, любая доступная информация об их источнике; и
    14.   

    15. Наличие автоматизированного принятия решений, в том числе профилирования.
    16.  

     

  • Если личные данные передаются в третью страну или международную организацию, субъект данных имеет право на получение информации о соответствующих гарантиях, касающихся передачи;
  •  

  • Предоставьте копию личных данных, хранящихся по этому вопросу. За любые дополнительные копии, запрашиваемые субъектом данных, контролер может взимать разумную плату, основанную на административных расходах. Если субъект данных делает запрос с помощью электронных средств, информация должна предоставляться в общепринятой электронной форме; и • право на получение копии этих данных не должно отрицательно влиять на права и свободы других лиц.
  •  

  • Как GDPR изменит текущий режим SAR? Право физических лиц на получение доступа к личным данным, которыми располагают организации, является ключевым принципом DPA и останется таковым в рамках GDPR. Однако работодатели должны помнить о нескольких ключевых различиях:
  •  

  • Время для ответа В соответствии с GDPR работодатели должны ответить на SAR «без неоправданной задержки и в любом случае в течение одного месяца с момента получения запроса». Это сокращает предыдущий лимит в 40 дней по DPA. Несмотря на то, что стандартный срок ответа сокращается, GDPR позволяет работодателям продлить срок до двух месяцев (всего три месяца), если запросы особенно «сложные или многочисленные». В этом случае с субъектом данных необходимо связаться в течение одного месяца с момента его запроса и сообщить, почему необходимо продление. Было сказано, что определение того, будет ли запрос считаться «сложным», вероятно, будет зависеть от факта и контекста, но, вероятно, будет чрезвычайно полезно для работодателей, занимающихся особенно трудоемкими запросами. Концерт 63 из GDPR предполагает, что, когда работодатель обрабатывает большое количество информации о работнике, он должен попросить их «указать информацию или действия по обработке, к которым относится запрос». Чем больше сотрудник сузит свой запрос, тем сложнее будет показать «сложность». В любом случае на контроллере данных стоит бремя, чтобы показать, что запрос является «сложным», и маловероятно, что ICO оспорит утверждение, если работодатель может предоставить веские причины для задержки.
  •  

  • Плата Работодатели в настоящее время могут взимать до 10 фунтов стерлингов за выполнение запроса на доступ к теме. В соответствии с Правилами, сбор будет отменен, и информация должна предоставляться бесплатно. Это может оказать значительное влияние на некоторые организации, которые получают объемные запросы, такие как отделы социальных служб местных органов власти. Однако руководство ICO объясняет, что «разумная» плата может взиматься, если запрос, если запрос «явно чрезмерен или необоснован, особенно если он повторяется». В нем поясняется, что плата должна основываться на административных расходах, связанных с получением информации, и, несомненно, будет означать, что уровень платы может значительно варьироваться в зависимости от направления запроса.
  •  

  • ‘явно необоснованные или чрезмерные« запросы »
  •  

  • Помимо того, что работодатели могут взимать плату за «явно чрезмерные или необоснованные» запросы, теперь они также могут прямо отказаться от ответа на необоснованные запросы. Руководство ICO объясняет, что «вы должны объяснить причину этому человеку, информируя его об их праве подать жалобу в орган надзора и на средства судебной защиты без неоправданной задержки и не позднее, чем в течение одного месяца. «Тем не менее, работодатели обязаны показать, что запрос является« явно чрезмерным или необоснованным ». Недостаточно просто сказать, что усилия по поиску пула из тысяч электронных писем будут непропорциональными без каких-либо шагов по их изоляции или вовлечению в процесс их поиска. Если окажется, что существуют значительные технические трудности с восстановлением электронных писем, то работодатель может начать перемещаться на территорию непропорциональных усилий. В действительности планка для того, чтобы полагаться на запрос «явно чрезмерный или необоснованный», будет довольно высокой.
  •  

  • Электронный доступ
  •  

  • С 25 мая 2018 года сотрудники должны иметь возможность делать SAR в электронном виде. Если запрос сделан в электронном виде, информация должна предоставляться в общедоступной электронной форме, если физическое лицо не потребует иного. ICO также использовала пересмотренный код SAR для подтверждения того, что «отдельные лица могут создавать SAR, используя любую страницу Facebook или учетную запись Twitter, имеющуюся у вашей организации, другие сайты социальных сетей, на которые она подписывается, или, возможно, через сторонние веб-сайты организаций». В нем говорится, что организации могут направлять людей к отправке SAR через определенный канал связи, но «не могут настаивать на использовании определенного средства доставки для SAR». Однако ICO заявила, что организации имеют право просить заявителей подтвердить свою личность и что в некоторых случаях они могут отвечать на SAR, представленные через социальные сети, используя другие каналы связи.
  •  

  • Право скрывать личные данные
  •  

  • В соответствии с GDPR организации могут скрывать личные данные, если их раскрытие «отрицательно скажется на правах и свободах других». Правительство Великобритании должно будет ввести любые дополнительные исключения в отношении SAR, например, в отношении национальной безопасности, обороны и общественной безопасности. Какие шаги могут предпринять работодатели для подготовки к новому режиму? Работодатели могут предпринять ряд действий, чтобы убедиться, что они готовы к изменениям в мае 2018 года. Мы предлагаем, чтобы они рассмотрели следующие вопросы:
  •  

  • Обновление внутренних политик и процедур реагирования на запросы физических лиц в отношении их персональных данных в соответствии с новыми более широкими требованиями и правами GDPR, которые теперь включают – право на доступ к персональным данным, право на переносимость данных, исправление и удаление данные, чтобы ограничить и возражать против обработки, а также подать жалобу в орган надзора (защиты данных);
  •  

  • Если у вас его еще нет, опишите процесс обработки SAR, например, как определить, что представляет собой персональные данные, какие данные являются данными третьих сторон и какие обязательства теперь должна выполнять организация, чтобы обеспечить их соответствие;
  •  

  • Обучите персонал распознавать, когда запрос от сотрудника является SAR, убедитесь, что он осведомлен о новом, более коротком временном графике и о том, как обрабатывать запросы максимально эффективно;
  •  

  • Следите за всеми системами, в которых хранятся персональные данные, – это соответствует новому обязательству в рамках GDPR вести учет операций по обработке (статья 30). Это может касаться печатных документов, а также информации, хранящейся в электронном виде, такой как электронные письма, текстовые сообщения и электронные таблицы;
  •  

  • Обновите внутренние ИТ-системы, чтобы разрешить удаление, передачу личных данных и обеспечить быструю изоляцию данных, относящихся к отдельному человеку;
  •  

  • Ознакомьтесь с политикой хранения данных вашей организации и убедитесь, что соответствующие лица знают о них;
  •  

  • Рассмотрите возможность подготовки шаблонных ответных писем, чтобы гарантировать, что все элементы ответа на SAR соблюдаются в рамках GDPR, что должно помочь сделать ответы SAR более эффективными и тщательными;
  •  

  • Изучите передовой опыт GDPR и, возможно, создайте «портал доступа к субъектам данных», который позволит человеку быстро, легко и удаленно получить доступ к своей информации. Однако работодатели должны помнить, что это не должно «негативно влиять на права и свободы других», поэтому необходимо тщательно продумать вопрос о том, следует ли редактировать данные третьих сторон, прежде чем размещать их на портале.
Поделиться сочинением
Ещё сочинения
Нет времени делать работу? Закажите!

Отправляя форму, вы соглашаетесь с политикой конфиденциальности и обработкой ваших персональных данных.