符合 GDPR 的信息处理流程
收到信息请求后,首先需要确定并验证该请求是否符合GDPR的规定。
提出下列问题很重要:
我们是否会处理该人的数据?
该人有授权吗?
我们处理此人的哪些数据?
应以何种形式提供信息?
确认收讫
任何个人数据的处理都应合法、公平和透明。应该让个人清楚透明地了解,他们的个人数据是否正在被收集、使用、访问或以其他方式处理,以及个人数据被处理或将要被处理的程度。根据 GDPR 第 13 条提供信息的义务是组织透明义务的重要组成部分。
原则上,对数据主体的信息请求的回复应包含处理的目的、数据接收者和处理的法律依据以及处理的持续时间。发送收据确认非常重要,这样您才能知道您的请求正在处理,以及预计在什么时间范围内处理。
有提供信息的义务吗?
如果公司需要处理大量有关个人的信息,则公司可能会在响应请求之前要求个人具体说明信息并澄清其请求所涉及的事项或处理活动。回应请求的截止日期将暂停,直到公司收到澄清为止。这叫做“停止计时”。
对于公司而言,相应的公司负责回答数据主体的请求。对于联合控制人的情况,接收请求的公司应当负责回应。每个数据主体都有权行使其信息权利。但是,根据 BDSG 第 34 条第 1 款第 2 项的规定,提供信息的义务也有例外,特别是如果数据仅因为根据保留规定不能被删除而被存储;
如果数据仅用于数据安全或数据保护控制目的;
如果有法律义务保持保密;
如果为了科学研究的目的而需要存储或传输;
如果数据是为了自身目的而存储的并且来自可公开访问的来源;
如果数据存储用于公司自身的目的,而 阿联酋号码数据 提供该信息会严重危及业务目的。
数据主体还可以提交数据副本的请求,在这种情况下,重要的是根据《联邦数据保护法》(BDSG)第 34 条使与请求者无关的数据无法识别,从而提供所有数据。
什么情况下没有提供信息的义务?
如果信息请求明显毫无根据或不相称,尤其是重复性请求,公司可能会拒绝遵守数据主体的信息请求;在这种情况下,控制者可以收取合理的费用
或拒绝遵守信息请求。控制者负有举证责任,证明信息请求明显毫无根据或者过度。拒绝回应信息请求的其他原因是,公司可以证明信息请求经常重复(过度),有滥用的嫌疑,并且信息请求除了扰乱运营之外没有其他目的。如果公司拒绝遵守请求,则必须在一个月内通知该人并解释拒绝的原因。如果公司拒绝回应信息请求,则必须在一个月内回应请求并说明拒绝的原因。如果个人数据已被删除、未保存或未匿名存储,则无需提供负面信息。如果公司不再拥有数据主体的个人数据,例如B.由于数据已经被删除且未保存,且如果数据已经不可逆地匿名化,公司必须向请求者提供负面信息。