Usercentrics Cookiebot CMP 入選 Tekpon 2024 年頂尖合規軟體工具

在藝術下。根據 GDPR 15,個人有權存取組織持有的個人資料。這項權利也稱為主體存取請求 (SAR) 或資料主體存取請求 (DSAR),使個人能夠請求獲取其資料的副本以及有關資料處理方式的資訊。

當個人提交請求時,公司必須提供:

確認他們的數據正在被處理
個人資料的副本
其他信息,例如處理目的、收集和處理的個人資料類別以及任何資料共享的詳細信息
公司必須在一個月內回覆存取請求,儘管可能會申請延期,但這取決於當前的情況,並附帶與資料主體的溝通要求。

如果個人發現其個人資

料不準確或不完整,則他們享有第1 條規定的權利。 16 GDPR要求更正。然後要求公司立即糾正訊息,確保任何不準確或不完整的數據得到糾正或補充。

這項權利對於維護資料準確性並確保組織僅處理最新資訊至關重要。

4. 刪除權(或被遺忘權)
刪除權,又稱「被遺忘權」。 GDPR 17允許個人在某些情況下請求刪除其個人資料。這些情況包括:

對於收集資料的目的來說,這些資料不再是必要的
個人撤回同意,且沒有其他有效的法律依據進行處理
個人反對處理,沒有 BC 數據香港 壓倒性的合法法律依據

特殊數據

 

值得注意的是,刪除權並不是絕對的。在某些情況下,公司可能有法律依據或監管要求保留數據,例如遵守法律義 有機搜尋引擎認識團隊職業 務或捍衛法律索賠。

5. 限制處理的權利
根據藝術限制處理的權利。 18 GDPR使個人能夠限制其個人資料的處理方式。這意味著組織可以儲存數據,但不能將其用於任何進一步處理,除非滿足某些條件。

如果出現以下情況

個人可以請求限制理:

他們質疑數據的準確性(直到組織驗證其準確性)
處理是非法的,但個人不希望資料被刪除
組織不再需要這些數據,但個人需要這些數據來建立、行使或捍衛法律主張
個人反對處理(等待組織核實合法理由是否凌駕於個人權利之上)
6. 數據可攜權
資料可攜性使個人能夠根據第 1 條請求將其個人資料從一個組織轉移到另一個組織。 20 GDPR。此權利旨在增強使用者對個 數位數據 人資料的控制,並促進服務提供者之間的資訊自由流動。

資料可攜性的權利適用於以下情況:

數據的處理是基於同意或合約
處理是透過自動化方式進行的
在收到移植資料的請求後,組織必須以結構化、常用且機器可讀的格式提供資料。

7. 反對權
根據第 1 條,人們有權在某些情況下反對處理其個人資料。 21 GDPR。當處理是基於合法利益、直接行銷或研究目的時,此權利適用。

如果個人反對直接行銷,組織必須立即停止為此目的處理資料。對於其他反對意見,如果組織能夠證明有令人信服且合法的理由凌駕於個人權利之上,則可以繼續處理。

8. 與自動化決策和分析相關的權利
在藝術下。根據GDPR 22,法律規定個人有權不受僅基於自動化處理(包括分析)的決策的約束,前提是這些決策具有法律或重大影響。

組織必須確保個人有機會請求人工幹預、表達自己的觀點並挑戰自動化決策。

這項權利在金融等行業尤其重要,在這些行業中,自動化系統可以做出有關信用度的決策,並且在招聘過程中,可以使用演算法來評估候選人。

如何回應資料主體權利請求?
了解如何正確處理資料主體權利請求是 GDPR 合規性的一個重要面向。當公司收到 GDPR 個人權利請求時,可以遵循以下幾個最佳實踐:

個人驗證:在回應任何請求之前,請驗證個人身分以確保請求合法。
及時回應:GDPR 要求組織在 1 個月內回應資料主體權利請求。在某些情況下,該期限可能會再延長兩個月,但必須將延遲告知相關個人。
提供清晰的資訊:在滿足請求時,必須以簡潔、透明且易於理解的格式提供請求的資訊。
公司應實施處理歐盟資料主體權利請求的程序,以避免延遲或不完整的回應,並降低資料外洩風險,因為這些可能導致違規處罰。

誰來執行 GDPR 資料主體權利?
GDPR 資料主體權利的執行由每個歐盟成員國的資料保護機構 (DPA) 執行。這些機構負責監控合規性、處理投訴並對違反 GDPR 規則的組織採取行動。

除了監督資料保護之外,DPA 還有權對不遵守 GDPR 要求(包括與資料主體權利相關的要求)的組織實施制裁和罰款。如有必要,他們還可以進行審計、發出警告並命令組織停止資料處理活動。

認為自己的資料主體權利受到侵犯的個人可以向其國家 DPA 提出投訴,DPA 將調查此事並採取適當行動。

如果您違反了 GDPR 主體權利,會發生什麼?
不遵守 GDPR 資料主體權利可能會為組織帶來嚴重後果。 GDPR 根據違規嚴重程度處以兩級行政罰款:

一級罰款:對於不太嚴重的違規行為,例如未能維護準確的記錄或未將違規情況通知DPA,最高可達1000 萬歐元,或組織全球年收入的2%(以較高者為準) 。
二級罰款:對於更嚴重的違規行為,例如侵犯資料主體權利或未能獲得有效同意,最高可達 2000 萬歐元,或組織全球年收入的 4%(以較高者為準)。
除了經濟處罰之外,如果公司未能維護資料保護權利,還可能遭受聲譽損害,並失去消費者的信任以及合作夥伴或投資者的機會。

 

Scroll to Top