- المادة 15: للأفراد الحق في الحصول على بياناتهم الشخصية مجاناً
- لديك 30 يومًا تقويميًا للرد؛ قابلة للتمديد لمدة شهرين للطلبات المعقدة
- يجب عليك البحث في جميع الأنظمة - إدارة علاقات العملاء (CRM)، والبريد الإلكتروني، والملفات، والنسخ الاحتياطية - وليس فقط الأنظمة الواضحة
- لا تكشف مطلقًا عن البيانات الشخصية لأطراف ثالثة في ردك؛ قم بتنقيحه بعناية
طلب الوصول إلى صاحب البيانات (DSAR) هو طلب رسمي من أحد الأفراد للحصول على نسخة من جميع البيانات الشخصية التي تحتفظ بها مؤسستك عنه، بالإضافة إلى معلومات حول كيفية معالجتها. يمكن لأي شخص تحتفظ ببياناته أن يقدم واحدة - بما في ذلك الموظفين الحاليين والسابقين والعملاء والمحتملين وأفراد الجمهور.
يعد حق الوصول بموجب المادة 15 من اللائحة العامة لحماية البيانات أحد حقوق أصحاب البيانات الأكثر ممارسةً، وأحد الحقوق الأكثر تطلبًا من الناحية التشغيلية للوفاء بها بشكل صحيح. تتلقى السلطات الإشرافية في جميع أنحاء أوروبا بانتظام شكاوى حول المنظمات التي استجابت متأخرة أو غير كاملة أو كشفت عن بيانات الطرف الثالث دون تنقيحها.
مسار الشراء ذو الصلة HubSecure
دليل الامتثال لإدارة علاقات العملاء (CRM) الامتثال لإدارة علاقات العملاء (CRM) للشركات النامية وحدة إدارة علاقات العملاء (CRM) مقارنة HubSpot دليل الامتثال لإدارة علاقات العملاء (CRM) دليل المكتبة احجز عرضًا توضيحيًا لسير العمل
موارد الأمان والخصوصية والحوكمة ذات الصلة
تابع مع مركز الأمان والثقة HubSecure، واتفاقية معالجة البيانات، والمعالجات الفرعية، وسير عمل الامتثال، ومشغل الذكاء الاصطناعي المحكوم.
حالة الاستخدام ذات الصلة
ينتمي هذا الدليل إلى مجموعة بدائل مساحة العمل وأدلة دمج الأدوات. تابع مع مركز المنتج للحصول على بدائل مساحة العمل ودمج الأدوات.
ما الذي يجب أن يتضمنه DSAR في الرد؟
عند الرد على DSAR، يجب عليك تقديم ما يلي:
- تأكيد ما إذا كنت تقوم بمعالجة البيانات الشخصية الخاصة بالفرد
- نسخة من البيانات الشخصية نفسها
- أغراض المعالجة
- فئات البيانات المعنية
- المستلمون أو فئات المستلمين الذين تم الكشف عن البيانات لهم
- فترة الاحتفاظ أو المعايير المستخدمة لتحديدها
- حقوق الفرد في التصحيح والمحو والتقييد والاعتراض
- الحق في تقديم شكوى إلى السلطة الإشرافية
- إذا لم يتم جمع البيانات من الفرد: معلومات عن المصدر
- إذا كان خاضعًا لاتخاذ القرار الآلي: معلومات ذات معنى حول المنطق المعني
الساعة 30
الموعد النهائي هو 30 يومًا تقويميًا من تاريخ استلام الطلب - وليس 30 يوم عمل. إذا كان الطلب معقدًا أو تلقيت عددًا كبيرًا من الطلبات المتزامنة، فيمكنك تمديد الموعد النهائي لمدة شهرين إضافيين، ولكن يجب عليك إبلاغ الفرد خلال الثلاثين يومًا الأولى بأنه سيتم تمديد الموعد النهائي وشرح السبب.
تبدأ الساعة عند استلام الطلب، وليس عند الإقرار به أو عند البدء في معالجته. يتم احتساب الطلب المقدم شفهيًا، عبر وسائل التواصل الاجتماعي، أو عبر بريد إلكتروني غير رسمي.
أين تبحث
يجب أن تكون استجابة DSAR شاملة. لا يمكنك قصر البحث على نظام إدارة علاقات العملاء (CRM) الأساسي الخاص بك أو حساب بريد إلكتروني واحد. يجب البحث في كل نظام قد يحتوي على بيانات شخصية عن الفرد:
- أنظمة إدارة علاقات العملاء وإدارة العملاء
- حسابات البريد الإلكتروني (بما في ذلك صناديق البريد المشتركة والبريد المؤرشف)
- خوادم الملفات وأنظمة إدارة الوثائق
- أنظمة الموارد البشرية والرواتب (لـ DSARs للموظفين)
- أنظمة المحاسبة والفوترة
- أنظمة تسجيل المكالمات
- CCTV (في حالة وجود لقطات يمكن التعرف عليها)
- معالجات الطرف الثالث - تحقق من DPAs الخاصة بك بحثًا عن البيانات التي يحتفظ بها البائعون
- أرشيفات النسخ الاحتياطي (في حالة تضمين البيانات بخلاف ذلك)
نصيحة عملية: يؤدي الاحتفاظ بخريطة البيانات (سجل أنشطة المعالجة) إلى تقليل وقت استجابة DSAR بشكل كبير. إذا كنت تعرف بالضبط الأنظمة التي تحتفظ بفئات البيانات، فيمكنك البحث بشكل منهجي بدلاً من البحث المخصص.
تنقيح بيانات الطرف الثالث
أحد أكثر أخطاء DSAR شيوعًا هو الكشف عن المستندات التي تحتوي على بيانات شخصية عن أفراد آخرين. قد يحتوي ملف العميل، على سبيل المثال، على تفاصيل عن الأطراف المقابلة أو المراجع أو الموظفين. لم يقم هؤلاء الأفراد الخارجيون بتقديم الطلب، وقد يكون الكشف عن بياناتهم في حد ذاته انتهاكًا للقانون العام لحماية البيانات.
قبل إرسال أي مستند، قم بمراجعته للتأكد من عدم وجود بيانات شخصية خاصة بطرف ثالث وقم بتنقيحه بشكل مناسب. عندما يكون التنقيح واسع النطاق لدرجة أن الوثيقة تفقد كل معناها، يمكنك التفكير فيما إذا كان تقديمها في شكل منقح يخدم غرض حق الوصول. قم بتوثيق قرارات التنقيح الخاصة بك.
عندما يمكنك رفض أو تقييد DSAR
يمكن رفض DSARs أو تقييدها في ظروف ضيقة:
- الطلبات التي لا أساس لها من الصحة أو المبالغ فيها بشكل واضح - وخاصة الطلبات المتكررة التي تهدف بشكل واضح إلى المضايقة؛ يجب أن تكون قادرًا على إثبات ذلك
- الامتياز المهني القانوني - قد يتم حجب وثائق المشورة القانونية لأسباب تتعلق بالامتياز حيثما ينطبق ذلك
- منع الجريمة واكتشافها - قد يتم حجب بعض المعلومات ذات الصلة بالاحتيال أو التحقيق الجنائي
- معلومات مكافحة غسل الأموال - المعلومات التي من شأنها أن تكشف عن ملف SAR أو التحقيق المستمر بموجب تشريعات مكافحة غسل الأموال
إذا رفضت طلبًا، فيجب عليك إبلاغ الفرد بالأسباب وحقه في تقديم شكوى إلى السلطة الإشرافية وطلب الانتصاف القضائي.
هل يمكننا فرض رسوم على DSARs؟
لا، في معظم الحالات. يجب أن تكون الإجابات مجانية. ينطبق الاستثناء على الطلبات التي لا أساس لها أو المفرطة بشكل واضح - يجوز لك فرض رسوم معقولة أو رفض التصرف، ولكن يجب أن تكون قادرًا على تبرير التوصيف.
ماذا لو لم نتمكن من تحديد هوية الفرد؟
إذا لم تتمكن من التحقق من هوية مقدم الطلب بقدر معقول من اليقين، فيمكنك طلب معلومات إضافية لتحديد هويته. يجب ألا تطلب معلومات أكثر مما هو ضروري. إذا ظلت الهوية غير قابلة للتحقق، فقد لا تتمكن من الامتثال - قم بتوثيق ذلك بعناية.
هل يتمتع الموظفون بنفس الحقوق التي يتمتع بها العملاء؟
نعم وللموظفين (والموظفين السابقين) حقوق كاملة في إدارة الشؤون الإدارية بموجب الناتج المحلي الإجمالي. وكثيراً ما يكون الموظفون العاملون في هذه المناطق هم الأكثر تعقيداً - فهي تشمل نظم الموارد البشرية، والبريد الإلكتروني، واستعراضات الأداء، والسجلات التأديبية، والأكثر.
البيانات الهيكلية = سرعة استجابات إدارة الشؤون الإدارية
rlm;"مركز إدارة المخاطر والمستودع يحتفظان بجميع البيانات الشخصية للزبائن في مكان عمل محكوم".
Book a demoاستعراض الأفرقة المنظمة
Prepared by the HubSecure editorial team for operators, compliance leaders and IT reviewers evaluating secure client operations software.
المؤلفون: مراجعون؛ سياسة التحرير