2023年5月24日,英国信息专员办公室((Information Commissioner’s Office,简称ICO)发布了针对企业和雇主响应主体访问请求(Subject Access Requests,简称SARs)的新指南。
访问请求,通常被称为主体访问请求或SARs,即赋予某人向组织索取其个人信息副本的权利,包括他们从哪里获取信息,他们使用的目的以及与谁共享信息。个人可以索取其雇主或前雇主所持有的个人信息,如他们的出勤和疾病记录、个人发展或人力资源记录等。组织必须在收到请求后一个月内回复主体访问请求。如果该请求很复杂,则可以将回复时限延长至两个月,但逾期不回复就属于违规。如果组织未能及时或根本没有对主体访问请求做出回应,他们可能会被罚款或受到谴责。
信息专员办公室政策组经理Elanor McCombe表示ICO发布该指南的原因在于使雇主明白“重要的是不要被抓住”,该指南可以支持雇主以适当和及时的方式回应主体访问请求,并确保员工能够在需要时访问他们的个人数据。
Elanor McCombe补充道,“个人能够访问组织所持有信息的权利对于透明度至关重要,并已被载入法律。”“许多雇主误解了主体访问请求的性质或者低估了响应请求的重要性。例如,雇主可能不知道请求可以非正式提交,如通过社交媒体提交,或者不必包含‘主体访问请求’一词即可成为具有法律约束力的请求。同样,雇主可能没有意识到必须遵守严格的时间框架。”Elanor McCombe提示,对于那些仍然未能依法回应主体访问请求的人,ICO将继续维护和保护个人的数据权利,并在必要时采取适当行动。
拓展信息 / More Information
主体访问请求构成英国《通用数据保护条例》 (General Data Protection Regulation,简称GDPR)和《数据保护法》(Data Protecting Act,简称DPA)的一部分。从2022年4月至2023年3月,信息专员办公室接到了15,848 起与主体访问有关的投诉。
上周,ICO谴责普利茅斯市议会和诺福克郡议会未能回应信息访问请求。2022 年9月,ICO 对7个未能履行应对 SAR 职责的组织采取了行动。
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/05/ico-takes-action-against-plymouth-city-council-and-norfolk-county-council/
通过以下地址可阅读关于响应SARs的新指南。
https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/employers/sars-qa-for-employers/
2023年10月3日将举行的“2023年ICO 免费数据保护从业者会议”的注册现已开放。此次会议除了一系列主体演讲外,ICO专家还将全天为代表们举办一系列研讨会,讨论各种数据保护主体,包括SARs、网络安全以及如何负责任地共享数据。
https://dppc23.orcula.co.uk/home
编者注:
1.信息专员办公室(ICO)是英国数据保护和信息权利法的独立监管机构,维护公共利益的信息权利,促进公共机构的开放和个人的数据隐私。
2.ICO在《2018年数据保护法》(DPA2018)、《英国通用数据保护条例》(UK GDPR)、《2000年信息自由法》(FOIA)、《2004年环境信息条例》(EIR)、《2003年隐私和电子通信条例》(PECR)以及另外五项法案和法规中规定了具体职责。
3.ICO可以采取行动解决和改变收集,使用和保存个人信息的组织和个人的行为。这包括刑事起诉、非刑事执法和审计。
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。