【隐私保护合规】数据主体访问请求（DSAR）

什么是数据主体访问请求（DSAR）？

数据主体访问请求（DSAR）是个人向组织提出的访问其个人信息或相关材料副本的请求，应视为个人“访问权”的表达，如《通用数据保护条例》（GDPR）所述。此类个人信息或其他敏感数据的请求可以通过书面或口头方式，通过所有可验证的平台传达给组织，也可以由第三方代表个人提出。

除非适用有效的豁免或限制，或者请求明显不一致或不合理，否则组织必须在规定的时间内提供DSAR中要求的信息，以保持符合GDPR中概述的数据主体权利和隐私法。

DSAR的目的是什么？

在大多数情况下，数据主体访问请求的目的是满足个人访问其个人数据的权利。个人提交DSAR请求有多种具体原因，但这通常有利于透明度，也有助于了解和跟踪组织如何以及出于何种目的使用其个人信息。DSAR请求可以任何形式提出，个人无需使用任何特定语言或正式引用，只要这是对其个人数据的明显请求。

虽然第三方可能代表个人进行DSAR，但根据隐私法，第三方有责任证明其有权这样做，组织应在允许访问个人数据之前对所提供的证据充满信心，如果有明显的担忧，应寻求法律建议。即使儿童也有权要求提供其个人数据或消费者数据的副本，如果组织有理由相信他们有足够的能力了解自己的权利，他们也可以直接得到答复。

DSAR请求流程和合规性

重要的是，组织始终准备好响应数据主体访问请求，前提是该请求合法合理，并且能够及时响应，通常在收到请求后不超过一个月。在请求复杂或包含各种项目的情况下，可以允许扩展。如果DSAR不具体，组织可以要求个人指定请求，在收到澄清之前，没有义务提供信息。

组织在收到数据主体访问请求后，可以也应该要求进行正式身份识别，并且应采取与个人数据相关的所有常规安全预防措施。所请求的数据可以以他们喜欢的任何格式提供给请求者，只要可以安全地完成，组织应在收到数据主体请求时验证请求者的偏好。

数据主体访问请求豁免

组织可以拒绝或部分拒绝遵守DSAR，其中法律限制可能适用于完成请求的数据处理。合规的障碍可能包括刑事责任、保密保护以及GDPR中详述的一些其他监管豁免。如果组织有任何正当理由拒绝向DSAR提供个人数据，则必须告知个人具体的豁免，以及他们寻求法律或纪律追索的权利。

在回应请求之前，组织应查阅有关隐私法豁免和限制的所有相关信息和法律资源。

资源

Information Commissioner’s Office - https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/