What is a DSAR under GDPR?

A Data Subject Access Request (DSAR) is a right under GDPR Article 15 allowing any individual to request a copy of the personal data an organization holds about them. Organizations must respond within 30 days, provide the data in an accessible format, and include information about processing purposes, retention periods, and third-party recipients. Requests can arrive through any channel, including email, web forms, or verbal communication.

How should organizations verify identity for a DSAR?

Identity verification must be proportionate to the sensitivity of the data involved. For routine requests, confirming details already on file like email address and account information is usually sufficient. For sensitive data, organizations may request a government-issued ID copy. Verification should not be used as a barrier to delay responses. Article 12 allows organizations to request additional information only when there are reasonable doubts about the requester's identity.

Обробка законних DSAR

Process a data subject access request end to end.

Що ви дізнаєтесь у Обробка законних DSAR

Верифікувати особу заявника за допомогою пропорційних заходів без вимоги надмірної персональної документації
Знаходити персональні дані в усіх організаційних системах, включаючи CRM, електронну пошту, аналітику та резервні бази даних
Коректно застосовувати винятки для юридично привілейованих матеріалів та персональних даних третіх осіб у спільних записах
Складати повний пакет відповіді, що відповідає всім вимогам статті 15 щодо інформації, в межах 30-денного дедлайну
Виявляти операційні вузькі місця в процесі DSAR та впроваджувати покращення ефективності для повторних запитів

Обробка законних DSAR — Кроки навчання

вступ

Сьогодні ви обробите законний DSAR від перевіреного клієнта – запит, який вимагає особливої уваги до термінів, виявлення даних і редагування третьою стороною.
Квитанція DSAR

Аліса отримує новий електронний лист у свою робочу скриньку вхідних повідомлень. Рядок теми вказує, що це офіційний запит на доступ суб’єкта даних. Електронний лист надійшов від jennifer.martinez@acme-corp.com – перевіреного клієнта, чия компанія має діючий контракт із CloudServe Technologies.
Підтвердження особи

Перш ніж обробити запит, Аліса повинна переконатися, що особа, яка робить запит, насправді Дженніфер Мартінес. Однак GDPR вимагає, щоб перевірка була пропорційною – Аліса не повинна створювати надмірних перешкод. Оскільки запит надійшов з адреси електронної пошти, яка вже пов’язана з обліковим записом клієнта, і містить правильний ідентифікатор клієнта, Аліса має достатні гарантії ідентифікації.
Реєстрація запиту

Аліса отримує доступ до черги DSAR на порталі конфіденційності. Вона бачить, що запит Дженніфер було автоматично зареєстровано з сьогоднішньою датою, яка починає 30-денний годинник відповіді. Система показує всю інформацію, необхідну для перевірки особи запитувача за наявними записами клієнтів.
Підтвердження надсилання

Після підтвердження особи Алісі потрібно надіслати Дженніфер електронний лист із підтвердженням. Це підтверджує отримання запиту та встановлює очікувані терміни відповіді. Хороша практика полягає в тому, щоб негайно підтверджувати DSAR, навіть якщо GDPR цього не вимагає.
Виявлення даних

Тепер Аліса повинна шукати особисті дані Дженніфер у всіх системах компанії. GDPR вимагає надання всіх особистих даних, які зберігаються про особу, а не лише таких очевидних місць, як CRM. Алісі потрібно перевірити: записи CRM, квитки в службу підтримки, системи виставлення рахунків, повідомлення електронною поштою, системні журнали та будь-які резервні копії, які можуть містити особисті дані.
Запуск пошуку даних

Аліса вводить електронну адресу Дженніфер для пошуку в усіх підключених системах. Портал конфіденційності автоматично надсилає запити CRM, системі продажу квитків підтримки, платіжній платформі та журналам доступу. Пошук повертає дані з кількох джерел – деякі містять лише дані Дженніфер, а деякі також містять дані про інших осіб.
Виклик керівника – вимоги до редагування

Переглядаючи результати пошуку, Аліса помічає, що кілька запитів у службу підтримки містять дані про інших співробітників ACME Corp, які отримали копію під час спілкування. Їй потрібні вказівки щодо обробки даних третіх сторін. Вона дзвонить своєму керівнику, Девіду Чену, щоб обговорити вимоги до редагування.
Перегляд і редагування даних

Слідуючи вказівкам Девіда, Аліса переглядає зібрані експортовані дані. Вона визначає кілька частин інформації, які потребують редагування: - Адреси електронної пошти інших співробітників ACME Corp у потоках запитів служби підтримки - Імена співробітників CloudServe, які обробляли запити служби підтримки - Внутрішні ідентифікатори квитків, які можуть відкрити дані інших клієнтів Аліса повинна надати Дженніфер усі свої дані, захищаючи конфіденційність інших.
Застосування редакцій

Аліса ретельно перевіряє кожне джерело даних і застосовує редагування, щоб захистити інформацію третіх сторін. Портал конфіденційності допомагає, висвітлюючи потенційні дані третіх сторін, але Аліса повинна приймати остаточне рішення щодо кожного редагування. Вона гарантує, що всі особисті дані Дженніфер залишаються видимими, тоді як інформація інших людей належним чином прихована.

Що ви дізнаєтесь у Обробка законних DSAR

Обробка законних DSAR — Кроки навчання

вступ

Квитанція DSAR

Підтвердження особи

Реєстрація запиту

Підтвердження надсилання

Виявлення даних

Запуск пошуку даних

Виклик керівника – вимоги до редагування

Перегляд і редагування даних

Застосування редакцій