2023年5月24日,英國信息專員辦公室((Information Commissioner’s Office���,簡稱ICO)發(fā)布了針對企業(yè)和雇主響應(yīng)主體訪問請求(Subject Access Requests,簡稱SARs)的新指南。
訪問請求,通常被稱為主體訪問請求或SARs���,即賦予某人向組織索取其個(gè)人信息副本的權(quán)利,包括他們從哪里獲取信息�����,他們使用的目的以及與誰共享信息��。個(gè)人可以索取其雇主或前雇主所持有的個(gè)人信息���,如他們的出勤和疾病記錄、個(gè)人發(fā)展或人力資源記錄等�。組織必須在收到請求后一個(gè)月內(nèi)回復(fù)主體訪問請求。如果該請求很復(fù)雜����,則可以將回復(fù)時(shí)限延長至兩個(gè)月,但逾期不回復(fù)就屬于違規(guī)。如果組織未能及時(shí)或根本沒有對主體訪問請求做出回應(yīng)����,他們可能會(huì)被罰款或受到譴責(zé)。
信息專員辦公室政策組經(jīng)理Elanor McCombe表示ICO發(fā)布該指南的原因在于使雇主明白“重要的是不要被抓住”����,該指南可以支持雇主以適當(dāng)和及時(shí)的方式回應(yīng)主體訪問請求���,并確保員工能夠在需要時(shí)訪問他們的個(gè)人數(shù)據(jù)。
(資料圖)
Elanor McCombe補(bǔ)充道�,“個(gè)人能夠訪問組織所持有信息的權(quán)利對于透明度至關(guān)重要,并已被載入法律���?����!薄霸S多雇主誤解了主體訪問請求的性質(zhì)或者低估了響應(yīng)請求的重要性����。例如�����,雇主可能不知道請求可以非正式提交�,如通過社交媒體提交,或者不必包含‘主體訪問請求’一詞即可成為具有法律約束力的請求����。同樣���,雇主可能沒有意識到必須遵守嚴(yán)格的時(shí)間框架?����!盓lanor McCombe提示�,對于那些仍然未能依法回應(yīng)主體訪問請求的人,ICO將繼續(xù)維護(hù)和保護(hù)個(gè)人的數(shù)據(jù)權(quán)利�����,并在必要時(shí)采取適當(dāng)行動(dòng)�����。
拓展信息/ More Information
主體訪問請求構(gòu)成英國《通用數(shù)據(jù)保護(hù)條例》 (General Data Protection Regulation�,簡稱GDPR)和《數(shù)據(jù)保護(hù)法》(Data Protecting Act��,簡稱DPA)的一部分���。從2022年4月至2023年3月��,信息專員辦公室接到了15,848 起與主體訪問有關(guān)的投訴��。
上周�,ICO譴責(zé)普利茅斯市議會(huì)和諾福克郡議會(huì)未能回應(yīng)信息訪問請求�����。2022 年9月���,ICO 對7個(gè)未能履行應(yīng)對 SAR 職責(zé)的組織采取了行動(dòng)�����。
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/05/ico-takes-action-against-plymouth-city-council-and-norfolk-county-council/
通過以下地址可閱讀關(guān)于響應(yīng)SARs的新指南����。
https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/employers/sars-qa-for-employers/
2023年10月3日將舉行的“2023年ICO 免費(fèi)數(shù)據(jù)保護(hù)從業(yè)者會(huì)議”的注冊現(xiàn)已開放���。此次會(huì)議除了一系列主體演講外��,ICO專家還將全天為代表們舉辦一系列研討會(huì)����,討論各種數(shù)據(jù)保護(hù)主體,包括SARs�、網(wǎng)絡(luò)安全以及如何負(fù)責(zé)任地共享數(shù)據(jù)。
https://dppc23.orcula.co.uk/home
編者注:
1.信息專員辦公室(ICO)是英國數(shù)據(jù)保護(hù)和信息權(quán)利法的獨(dú)立監(jiān)管機(jī)構(gòu)�,維護(hù)公共利益的信息權(quán)利,促進(jìn)公共機(jī)構(gòu)的開放和個(gè)人的數(shù)據(jù)隱私���。
2.ICO在《2018年數(shù)據(jù)保護(hù)法》(DPA2018)���、《英國通用數(shù)據(jù)保護(hù)條例》(UK GDPR)、《2000年信息自由法》(FOIA)�、《2004年環(huán)境信息條例》(EIR)、《2003年隱私和電子通信條例》(PECR)以及另外五項(xiàng)法案和法規(guī)中規(guī)定了具體職責(zé)��。
3.ICO可以采取行動(dòng)解決和改變收集��,使用和保存?zhèn)€人信息的組織和個(gè)人的行為���。這包括刑事起訴、非刑事執(zhí)法和審計(jì)����。
標(biāo)簽:
要文