Văn phòng Ủy viên Thông tin cập nhật hướng dẫn Bảo vệ Dữ liệu của họ

Văn phòng Ủy viên Thông tin (ICO) đã cập nhật hướng dẫn của họ về Yêu cầu Truy cập Đối tượng (SAR). Yêu cầu Quyền truy cập Chủ thể là nơi một người yêu cầu xem bạn giữ dữ liệu nào trên họ.

Bản cập nhật mới nhất này giải thích rõ ràng những gì cả GDPR và DPA mong đợi từ các doanh nghiệp khi nói đến SAR, trong đó khung thời gian bạn phải trả lời một yêu cầu đã thay đổi và thuật ngữ ‘rõ ràng là vô căn cứ hoặc quá mức’ đã được làm rõ.

Bất kể quy mô doanh nghiệp của bạn hay tình trạng Brexit của Vương quốc Anh; nếu bạn sử dụng, lưu trữ hoặc xử lý thông tin cá nhân, bạn cần lưu ý những thay đổi này và áp dụng chúng vào thực tế trong doanh nghiệp của bạn.

Trả lời các yêu cầu truy cập đối tượng

Mặc dù không có thay đổi nào về khoảng thời gian bạn phải ứng phó với SAR – đây vẫn là một tháng – đã có một sự thay đổi đối với ngày bắt đầu được công nhận của SAR. Thời gian bắt đầu của giai đoạn này bây giờ là kể từ ngày yêu cầu được đưa ra, thay vì một ngày sau khi nhận được yêu cầu.

Yêu cầu truy cập chủ thể không có căn cứ

Một yêu cầu vô căn cứ là một yêu cầu mà bạn tin rằng bạn không cần phải thực hiện vì nó không chính xác hoặc có vấn đề.

Đây không phải là tình huống hộp kiểm và sẽ yêu cầu bạn đánh giá và chứng minh quyết định của mình – giải thích quyết định này cho cá nhân đưa ra yêu cầu.

Một yêu cầu vô căn cứ có thể liên quan đến các trường hợp sau:

• ai đó cố gắng đạt được lợi ích hoặc lợi thế bằng cách đe dọa sử dụng quyền truy cập của họ
• ai đó đang cố gắng quấy rối một tổ chức hoặc gây ra sự gián đoạn. Ví dụ:
  • họ đã tuyên bố cụ thể rằng đó là ý định của họ
  • họ đã đưa ra những cáo buộc không có căn cứ chống lại doanh nghiệp hoặc một nhân viên
  • họ có ác cảm cá nhân với doanh nghiệp hoặc nhân viên
  • họ đang gửi các yêu cầu có hệ thống với ý định gây gián đoạn

Yêu cầu truy cập chủ thể quá mức

Yêu cầu quá mức là một yêu cầu liên quan đến nhiều công việc cho doanh nghiệp của bạn hoặc một lượng lớn dữ liệu được chuyển đến người yêu cầu.

Đối với các yêu cầu vô căn cứ, nếu bạn muốn từ chối SAR với lý do này, bạn cần giải thích điều này với người yêu cầu, bao gồm cả bằng chứng cho quyết định đó.

Một yêu cầu quá mức có thể liên quan đến các trường hợp sau:

• ai đó trước đây đã đưa ra một yêu cầu rõ ràng là vô căn cứ hoặc quá mức
• ai đó đã lặp lại một yêu cầu trước đó nằm ngoài khoảng thời gian hợp lý được xác định bởi:
  • bản chất của dữ liệu
  • mục đích của quá trình xử lý
  • tần suất dữ liệu được sửa đổi
• ai đó đã đưa ra một yêu cầu trùng lặp với một yêu cầu khác và:
  • các yêu cầu có tính chất tương tự
  • các yêu cầu đề cập đến cùng một dữ liệu
• ai đó đã yêu cầu một lượng lớn thông tin mặc dù được yêu cầu làm rõ lý do tại sao họ yêu cầu những chi tiết đó

Bạn cũng cần lưu ý rằng chỉ vì một yêu cầu phù hợp với các tiêu chí trên, đó không nhất thiết là một yêu cầu quá mức, đặc biệt nếu thời gian cần thiết để xử lý yêu cầu chỉ đơn thuần là quá tải và không có lý do nào khác để không cung cấp thông tin.

Những phần hướng dẫn nào đã được cập nhật?

Những thay đổi này ảnh hưởng đến quyền của chủ thể dữ liệu và do đó các hướng dẫn của ICO đã được cập nhật. Các quyền bị ảnh hưởng bởi những thay đổi này là:

• Quyền tiếp cận của họ
• Quyền cải chính của họ
• Quyền được xóa của họ
• Quyền hạn chế xử lý của họ
• Quyền của họ đối với khả năng di chuyển dữ liệu
• Quyền phản đối của họ

Cập nhật thường xuyên

ICO thường xuyên xem xét các hướng dẫn của họ phù hợp với những thay đổi từ EU và những thay đổi của ngành. Để có danh sách đầy đủ các sửa đổi đối với hướng dẫn của họ, vui lòng xem lại trang Có gì mới.