スライド資料、売り込み文句、プレゼンテーションを作成中ですか?ここで重要なポイントをご紹介します。
- 個人は、個人情報アクセス要求を提出することで、雇用主を含む特定の企業の自分のすべてのデータにアクセスできます。
- GDPR により、個人情報アクセス要求のコストがなくなり、必要な応答時間が 40 日から 30 日に短縮されます。
EU の一般データ保護規則 (GDPR) の 5 月 25 日の期限が急速に近づいており、今後の変更により、企業が顧客データとやり取りする能力は大きく変化するでしょう。
GDPRは、「忘れられる権利」に関する厳格な規制として知られています。これは、個人が企業に対して保有する個人データの消去を要求する権利です。しかし、GDPRには、雇用主を含む企業が保有する可能性のあるあらゆる情報にアクセスする権利も含まれています。
GDPRに基づくデータアクセスのプロセスは、1998年データ保護法とほぼ同じですが、若干の違いがあります。まず、個人は個人情報アクセスリクエスト(SAR)を提出する必要があります。ガーディアン紙が指摘しているように、これは「個人データの提供を求めるメール、ファックス、または手紙」です。
参照: GDPR 同意要求フォーム: サンプルテキスト (Tech Pro Research)
SARの提出に関する明確なガイドラインについては、情報コミッショナー事務局(ICO)の「個人情報アクセスに関する実務規範」をご覧ください。書面による申請であれば、特別なフォーマットは必要ありません。
データ プライバシー法に基づいて行われた SAR リクエストと GDPR に基づいて行われた SAR リクエストには、コストと時間枠という 2 つの主な違いがあります。
GDPR以前は、データへのアクセスに対して請求できる最高料金は10ポンド(約14ドル)でした。しかし、GDPRでは、標準的なリクエストについてはこの料金が免除されます。ただし、ICOは「リクエストが明らかに根拠がない、または過剰である場合、特に繰り返し行われる場合」には、企業は「合理的な料金」を請求できると指摘しています。
ICO の SAR ガイドラインによれば、個人は、自分に関して保持されている個人データについて説明を受け、その個人データが処理されているかどうか、なぜ処理されているのか、そのデータが他の場所に送信されるかどうかについて知らされ、データのコピーとそのソースの詳細が提供される必要がある。
GDPRに基づく個人データへのアクセスに関して変更されるもう1つの点は、企業が要求に応じなければならない期間です。データプライバシー法では、企業は要求を受け取ってから40日以内に回答する必要がありました。しかし、今後は要求を受け取ってから1ヶ月以内にデータを提供する必要があります。ICOのアクセス権に関するページによると、「要求が複雑または多数」の場合、企業はさらに2ヶ月の延長を申請できます。
電子的にリクエストが行われた場合、企業はアクセス可能な電子形式でデータを提供します。ただし、ICOのページには、GDPRのベストプラクティスとして、企業が容易にアクセスできるように安全なセルフサービスポータルシステムを構築することが推奨されていると記載されています。
