SCA连载文章GDPR系列 | 应对个人数据访问？该怎么做？

69 阅读 0 评论 46 点赞

我是靠谱客的博主霸气白开水，最近开发中收集的这篇文章主要介绍SCA连载文章GDPR系列 | 应对个人数据访问？该怎么做？，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

GDPR第三章数据主体的权利第15条明确规定了数据主体有访问权，遇到数据主体请求访问的个人数据时，公司应该怎么应对?也许有公司会想，这应该是一个极小概率的事件，但在欧盟，这是一个法律明文规定的责任。

如果您的企业业务已经延伸到欧盟国，或者即将要展开对欧盟市场的征战，那么实际实务中，企业可能会面临诸多此方面的问题，例如：

个人有权访问哪些数据？企业应该如何识别主体访问请求——要证明身份吗？可收费吗？可拒绝吗？企业又该怎样对主体数据访问请求作出响应——怎样向其提供信息？有时间限制吗？所提供信息涉及第三方的资料时怎么办？代表他人提出的请求时，要求提供儿童信息时，又该怎么办？企业使用数据处理者时，是否意味着，他们将不得不处理企业收到的任何主题访问请求？

一般来说，个人有权访问其个人数据，可以通过口头或书面形式提出访问请求，企业有一个月的时间来答复请求，且大多数情况下不可以收取费用来处理请求。具体内容，SCA结合GDPR法律原文，对以上相关问题整理如下，供诸位参考。

一、个人有权访问哪些数据？

1、根据GDPR第15条规定：数据主体有权从控制者处获得有关其个人数据是否被处理的确认信息，以及有权在该种情况下访问个人数据和以下信息：

（a）处理的目的；

（b）所涉个人数据的类别；

（c）已经或将要向其披露个人数据的数据接收者或数据接收者类别，特别是在第三国或国际组织的数据接收者；

（d）如果可能，个人数据的预计存储期间，在无法提供的情形下，应当提供确定该期间的标准；

（e）请数据控制者请求更正或删除个人数据或限制，就拒绝其处理与数据主体相关的数据的权利；

（f）向监管机关提出申诉的权利；

（g）个人数据非从数据主体处获得时，关于其来源的任何可用信息；

（h）包括数据画像在内的本条例第22条第1款和第4款提及的自动化决策机制，在

该类情况下，至少提供对数据主体的处理过程所涉及逻辑的有用信息以及处理的重要性和预计结果。

2、如果个人数据传输到第三国或国际组织，数据主体应有权被告知，依据本条例第46条对该传输采取适当安保措施。

3、数据控制者应当提供个人数据的副本。对于数据主体要求的任何进一步的副本，数据控制者可以依据管理成本收取合理的费用。数据主体以电子形式提出的请求，信息应当以通用的电子格式提供，数据主体对提供的方式另有要求的除外。

4、第3款规定的获取副本的权利不得对他人的权利和自由产生不利影响。

即：个人有权获得以下信息：

（a）确认企业正在处理他们的个人数据；

（b）他们的个人数据的副本；

（c）其他补充信息–这些主要与企业在隐私声明中提供的信息相对应。

企业必须免费向个人提供其个人数据的副本。同时，访问权的行使与数据可移植权的行使紧密相关——允许个人将其数据传输给另一个组织。

例如：

企业提供在线社交网络服务，个人可以在其中交换消息和图片。用户请求访问他们的个人数据并验证贵公司/组织处理了与他们有关的哪些个人数据。企业必须确认正在处理与他们有关的个人数据，并提供副本（例如姓名，联系方式，交换的消息和图片）。同时，还必须向他们提供有关处理的信息-通常这些内容在企业的服务的隐私声明中。

二、企业应该如何识别“请求”？

GDPR没有指出如何提出有效请求。因此，个人可以通过口头或书面形式向企业提出主题访问请求。也可以发送给企业的任何部门（包括通过社交媒体），而不必发送给特定的某人或联系人。只要个人明确要求企业提供自己的个人数据，请求就不必包含“主题访问请求”或“GDPR第15条”等字样。

对大多数企业来说这是一个挑战，因为企业的任何员工都可以收到有效的请求。但是，企业有法律责任识别个人已提出的请求并相应地进行处理。

因此，建议企业：

1、对定期与个人互动的员工，进行可能的特定培训，帮助他们来识别请求，并做出应对处理。

2、如果可以制定一条政策来记录企业收到的请求的详细信息，尤其是通过电话或亲自提出的请求，建议企业保留口头请求的日志。

能要求个人提供身份证明吗？

如果对提出请求的人的身份有疑问，可以要求更多信息。但是，仅能要求提供确认其身份所必需的信息。而且，企业需要尽快让个人知道，需要他们提供更多信息以确认其身份，然后再响应他们的请求。当收到其他信息确定了个人身份时，就要开始响应请求。

可以收费吗？

根据GDPR第15条第3款，数据控制者应当提供个人数据的副本。对于数据主体要求的任何进一步的副本，数据控制者可以依据管理成本收取合理的费用。

因此，在大多数情况下，企业不能因为遵守主题访问请求而收取费用。但是，在以下情况下，可以收取“合理费用”：

（a）它显然是没有根据的或过度的要求；

（b）个人在请求后要求提供其数据的进一步副本。

如果决定收取费用，则应立即与个人联系并告知他们。在收到费用之前，不需要遵守请求。

或者，企业可以拒绝遵守明显没有根据或过多的要求。

可以拒绝吗？

如果适用豁免，则可以拒绝（全部或部分）主题访问请求。如果满足以下条件，企业还可以拒绝遵守主题访问请求：

（a）明显没有根据；

（b）过多。

例如，某人提出请求，但随后提出撤回请求，以换取组织的某种形式的收益；或者该请求的意图是恶意的，故意用来骚扰组织；该请求对企业或特定员工提出了毫无根据的指控；个人针对的是对其怀有某些个人怨恨的特定雇员，等等。

但是企业应考虑具体情况以及个人是否真正想行使自己的权利，必须能够向个人证明为什么企业认为该请求明显没有根据或过分，应该向信息专员解释拒绝的理由。

三、企业应该如何向个人提供数据？

根据GDPR第15条第3款规定“……数据主体以电子形式提出的请求，信息应当以通用的电子格式提供，数据主体对提供的方式另有要求的除外。”

即：如果某人以电子方式提出请求，则除非该人另有要求，则应以常用的电子格式提供信息。

但是根据GDPR第15条第4款规定，“……获取副本的权利不得对他人的权利和自由产生不利影响。”

因此，提供远程访问不应对他人的权利和自由产生不利影响——包括商业秘密或知识产权。

必须在多长时间段内做出响应？

根据欧盟监管机构的规定，一般情况下，企业最迟应在收到请求后一个月内，无不当延迟的做出响应。

例如：一家企业在9月3日收到请求，时限将从同一天开始，企业可以在10月3日之前遵守该要求。如果由于下个月较短（并且没有相应的日历日期）而无法这样做，则响应日期为下个月的最后一天。如果相应的日期是在周末或公共假日，则必须在下一个工作日之前做出答复。

即企业必须满足请求的确切天数会有所不同，具体取决于发出请求的月份。

可以延长响应时间吗？

根据欧盟监管机构的规定，如果请求很复杂或收到了很多个人的请求，则可以将响应时间再延长两个月。但企业必须在收到请求后的一个月内告知个人，向其说明为什么需要延期。

如果数据包含有关其他人的信息，该怎么办？

响应主题访问请求可能涉及提供与提出请求的个人有关的另一个人有关的信息时，根据DPA 2018（DPA：aData Protection Act 2018《2018数据保护法》）规定，如果披露可以从该信息中识别的另一个人的信息，可不必遵守该请求，除非:

（a）另一人同意披露；

（b）未经该人的同意而遵守该要求是合理的。

在确定是否合理披露信息时，企业必须考虑所有相关情况，包括：

（a）将披露的信息类型；

（b）企业是否对另一人负有的任何保密义务；

（c）企业为征得另一人同意而采取的任何行动步骤；

（d）另一人是否有能力给予同意，或明确拒绝另一人的同意。

因此，企业在涉及披露与第三方有关的信息，要确定在每种情况下这样做是否合适。该决定将涉及平衡数据主体的访问权与其他人的权利。如果其他人同意公开有关他们的信息，那么不这样做是不合理的。但是，如果没有这样的同意，企业就必须判断决定是否仍然披露信息。

代表他人提出的请求又如何呢？

GDPR不阻止个人通过第三方提出主体访问请求。通常，这应该是代表委托人行事的律师，也可以是让个人感到信任的人。在这种情况下，企业需要确信提出请求的第三方有权代表个人行事，第三方有责任为此权利提供证据。

但如果企业认为某个人可能不明白将向代表其提出主体访问请求的第三方披露哪些信息，企业可以直接向该个人而不是第三方发送回复。个人在有机会查看信息后，可以选择与第三方共享信息。

要求提供有关儿童的信息怎么办？

即使孩子太小，无法理解主体访问权的含义，它仍然是儿童的权利，而不是父母或监护人之类的任何其他人的权利。因此，儿童有权获得关于他们的信息，即使在幼童的情况下，这些权利可能由那些对他们的父母行使。

在回应主体访问请求以获取关于孩子的信息之前，企业应该考虑儿童是否足够成熟，能够理解他们的权利。如果确信孩子能够理解他们的权利，那么通常应该直接对孩子做出回应。但是，如果孩子授权这样做，或者很明显这符合孩子的最大利益，可以允许父母代孩子行使孩子的权利。

除其他外，企业还应考虑以下因素：

（a）儿童的成熟程度及其做出此类决定的能力；

（b）个人数据的性质；

（c）可能适用的与父母获取或承担责任有关的法院命令；

（d）对儿童或青少年的任何保密义务；

（e）允许负有监护责任的人访问儿童或青少年信息的任何后果。比如是否有关于虐待或虐待的指控；

（f）如果负有父母责任的个人无法获得此信息，是否对儿童或青少年造成任何损害；

（g）儿童或青少年对父母是否应获得有关其信息的任何看法。

在苏格兰，除非有相反的证明，否则假定12岁或12岁以上的人具有足够的年龄和成熟度，能够行使其访问权。该假设不适用于英格兰和威尔士或北爱尔兰，在那里，根据对孩子的理解程度来评估其能力。

有关儿童提出请求的情况的更多信息，可以参阅GDPR关于儿童的指南。

如果企业是数据处理者，这是否意味着他们将不得不处理数据控制者收到的任何主体访问请求？

首先数据控制者有责任遵守主体访问请求。企业需要有适当的合同安排，以确保正确地处理主体访问请求，而不管它们是发送给数据控制者还是发送给数据处理者。

但是由于必须依靠数据处理者来提供需要响应的信息，可能无法确保完成一个月的时间限制。如上所述，如果请求很复杂或者企业收到了很多个人的请求，则能将期限延长两个月。

最后，本文由SCA安全通信联盟结合GDPR官方文案翻译整理，转载请注明出处。https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/