我的組織必須在多長時間內回應主題存取請求 (SAR)?

在上一篇文章中,我們探討了 SAR 是什麼、誰可 特殊數據 以提出 SAR 以及在收到 SAR 時及時識別的重要性。在本文中,我們將繼續更詳細地考慮組織必須在多長時間內回應 SAR。

標準反應時間

出發點是,組織必須「不得無故拖延」並在收到 SAR 後一個月內對 SAR 做出回應。請注意,銀行假期或短月份沒有額外的時間(因此在聖誕節期間收到 SAR 的挑戰),並且這是提供完整答复的時間段,而不是保留信或部分答复。

如果回覆 SAR 的截止日期是週末,回覆日期為下一個工作天。如果在月底(例如1 月31 日)收到SAR,則回覆將在下個月月底到期,我的組織必須在多長時間內回應主題存取請求 因此在某些月份中,與其他組織相比,該組織可能會損失一天或更多的時間來做出回覆幾個月。

延長標準反應時間

在三種主要情況下,可以「延長」對 SAR 做出回應的標準一個月時間。

首先,如果:

  1. 您需要向該人索取身分證件,以驗證您正在與您認為的人打交道;
  2. 您需要更多資訊以便與特區打交道;或者
  3. 需要對特別行政區進行任何澄清,

那麼一個月的時鐘將從收到 SAR 特殊數據 之日開始,從您提出此類請求之日起停止,並在提供所需資訊/文件後重新開始。因此請注意,一個月的期限並不是從提供進一步資訊或澄清時開始計算的,而是時鐘只是暫停了。因此,組織不應拖延尋求額 融合資料庫 外的文件、資訊或 SAR 的澄清,認為這可以為他們贏得時間,因為事實並非如此!

融合資料庫

例如,可能會在 8 月 1 日收到 SAR,要求提供「您掌握的有關我的所有資訊」;計時從 8 月 1 日開始,答覆截止日期為 9 月 1 日。 SAR 的地址為 ABC Limited,而實際上您的公司名為 ABD Limited,並且是更廣泛的名稱相似的公司 電子郵件行銷團隊的首要任務是什麼 集團的一部分。因此,您在 8 月 2 日聯絡該人,明確 SAR 屬於哪家公司。時鐘停在 8 月 2 日。 8 月 3 日收到請求者的答复,提供了所需的說明,因此計時重新開始,必須在 9 月 2 日之前提供答复。

其次,如果組織選擇收取費用(如我們上一篇文章所述)特殊數據,則一個月的時間限制在付款後才開始計算。

最後,如果特別行政區比較複雜,或者個人 印尼數據 已經提出了多個特別行政區,並且您需要額外的時間來處理特別行政區,則可以將回复時間再延長兩個月。如果您確實需要更多時間,您必須在收到 SAR 後一個月內告知該個人,解釋需要額外時間並儘快提供資訊(即,如果發生以下情況,不要等到三個月期限的最後一天)這是沒有必要的!

什麼才算是複雜的 SAR?

這個問題的答案是非常具體的。資訊專員辦公室 ( ICO ) 指南包括以下因素範例,這些因素表明 SAR 很複雜,但組織必須證明情況確實如此(如果未來對該決定提出質疑,則應提供記錄文件) :

  • 檢索資訊的技術困難-特殊數據 特殊數據 例如資料是否以電子方式存檔。
  • 應用涉及大量特別敏感資訊的豁免。
  • 澄清向法定監護人揭露兒童資訊的潛在問題。
  • 涉及獲取資訊或以可理解的形式傳達訊息的任何專業工作。
  • 澄清向授權第三方披露敏感醫療資訊的潛在保密問題。
  • 需要獲得專業的法律建議。如果您定期獲取法律建議(例如,律師負責回覆或審查 SAR),那麼事情就不太複雜。
  • 搜尋大量非結構化手動記錄(僅適用於公共機構)。

 

我們的 資料保護團隊 在為組織遵守英國資料保護法提供建議方面擁有多年的經驗。若要與其中一位團隊交談,您可以 在此處聯絡 我們或致電 0800 2800 421聯絡我們。 

返回頂端