A GDPR concede aos titulares das informações direitos específicos aos seus dados pessoais; esses direitos incluem a obtenção de cópias, a solicitação de alterações, a restrição do processamento, a exclusão ou o recebimento em formato eletrônico, para que possa ser transferido para outro controlador. Um pedido formal de um titular de dados a um controlador para realizar uma ação em seus dados pessoais é chamado de Solicitação de Assunto de Dados ou DSR. O controlador é obrigado a considerar prontamente cada DSR e fornecer uma resposta substantiva, tomando a ação solicitada ou fornecendo uma explicação para o motivo pelo qual o DSR não pode ser entregue pelo controlador.
A pesquisa “A Era da Privacidade: O custo do cumprimento contínuo – Benchmarking do Impacto Operacional Contínuo do GDPR e do CCPA” apresentou um dado afirmando que 58% das empresas europeias ja recebem mais de 11 solicitações por mês, mas 28% estão recebendo mais de 100 solicitações por mês.
O modelo da solicitação abaixo foi extraída do site Ship Your Enemies onde a pessoa preenche um formulário com seus dados e os dados da empresa “vítima”. O site gera o texto automaticamente permitindo que a pessoa encaminhe a solicitação por carta ou e-mail.
Modelo da DSR
Escrevo-lhe na qualidade de responsável pela proteção de dados da sua empresa e solicito o acesso aos meus dados pessoais, nos termos do artigo 15.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho da UE. 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46 / CE (o “RGDD”). Estou incluindo uma cópia da documentação necessária para verificar minha identidade. Por favor, informe o seguinte:
1. Por favor, confirme se algum dos meus dados pessoais está sendo processado. Se algum dos meus dados pessoais estiver sendo processado, forneça as informações sobre quais categorias de dados pessoais estão sendo processadas.
a. Em particular, por favor, diga-me o que você sabe sobre mim em seus sistemas de informação, estejam ou não contidos em bancos de dados, incluindo e-mails, documentos em suas redes, voz ou outras mídias que você possa armazenar.
b. Além disso, avise-me em quais países meus dados pessoais estão armazenados ou acessíveis. Caso você utilize serviços em nuvem para armazenar ou processar meus dados, inclua os países nos quais os servidores estão localizados onde meus dados estão ou foram armazenados (nos últimos 12 meses). Se os dados pessoais forem armazenados em servidores fora do EEE, forneça essas informações.
c. Por favor, forneça-me uma cópia ou acesso aos meus dados pessoais que você tem ou está processando e, se possível, com informações sobre a data exata em que você obteve esses dados em particular.
2. Por favor, forneça-me uma lista detalhada das finalidades específicas do processamento dos meus dados pessoais.
3. Por favor, forneça uma lista de todos os terceiros com quem você tem (ou pode ter) compartilhado meus dados pessoais. Se esses terceiros fornecerem meus dados pessoais para outro assunto, forneça a quem esses assuntos são / foram.
a. Se você não puder identificar com certeza os terceiros específicos a quem você divulgou meus dados pessoais, forneça uma lista de terceiros a quem você pode ter divulgado meus dados pessoais.
b. Por favor, identifique em quais jurisdições os terceiros que você identificou em 1 (a) acima que esses terceiros com quem você tem ou pode ter compartilhado meus dados pessoais, de onde esses terceiros têm armazenamento ou podem acessar meus dados pessoais ou de quais jurisdições meus dados pessoais são acessados. Por favor, forneça informações sobre as bases legais para a transferência de meus dados pessoais para essas jurisdições. Caso você tenha feito isso, ou esteja fazendo isso, com base nas salvaguardas apropriadas, forneça uma cópia.
c. Além disso, gostaria de saber quais são as salvaguardas apropriadas em conformidade com o artigo 46 do GDPR que foram postas em prática em relação a esses terceiros que você identificou em relação à transferência dos meus dados pessoais.
4. Por favor, informe quanto tempo você armazena meus dados pessoais, e se a retenção é baseada na categoria de dados pessoais, por favor identifique quanto tempo cada categoria é retida.
5. Se você também coletar dados pessoais sobre mim de qualquer fonte que não seja eu mesmo, forneça-me todas as informações sobre sua fonte, conforme mencionado no Artigo 14 do GDPR.
6. Se estiver tomando alguma decisão automatizada sobre mim, incluindo perfil, quer com base no Artigo 22 do GDPR, forneça-me informações sobre a base para a lógica de tomada de tais decisões automatizadas, e o significado e as consequências de tais decisões. em processamento.
7. Gostaria de saber se meus dados pessoais foram ou não revelados inadvertidamente por sua empresa no passado ou como resultado de uma violação de segurança ou privacidade.
a. uma. Em caso afirmativo, informe os seguintes detalhes de cada uma dessas violações:
i. uma descrição geral do que ocorreu;
ii. a data e hora da violação (ou a melhor estimativa possível);
iii. a data e hora em que a violação foi descoberta;
iv. a fonte da violação (sua própria organização ou um terceiro a quem você transferiu meus dados pessoais);
v. detalhes dos meus dados pessoais que foram divulgados;
vi. avaliação de sua empresa sobre o risco de danos a mim mesmo, como resultado da violação;
vii. uma descrição das medidas tomadas ou que serão tomadas para impedir o acesso não autorizado aos meus dados pessoais;
viii. informações de contato para que eu possa obter mais informações e assistência em relação a essa violação, e
ix. informações e conselhos sobre o que posso fazer para me proteger contra danos, incluindo roubo de identidade e fraude.
b. Se você não puder afirmar com certeza se tal exposição ocorreu, através do uso de tecnologias apropriadas, por favor, informe quais medidas de mitigação você tomou, como
i. Criptografia dos meus dados pessoais;
ii. Estratégias de minimização de dados; ou,
iii. Anonimização ou pseudonimização;
iv. Qualquer outro meio
8. Gostaria de saber suas políticas e padrões de informações que você segue em relação à proteção de meus dados pessoais, como se você adota a ISO27001 para segurança da informação e, mais particularmente, suas práticas em relação ao seguinte:
a. Informe-me se você fez backup de meus dados pessoais em fita, disco ou outra mídia, e onde eles estão armazenados e como são protegidos, incluindo as etapas que você tomou para proteger meus dados pessoais de perda ou roubo, e se isso inclui criptografia.
b. Por favor, informe também se você possui alguma tecnologia que lhe permita, com razoável certeza, saber se meus dados pessoais foram divulgados, incluindo, sem limitação, o seguinte:
i. Sistemas de detecção de intrusão;
ii. Tecnologias de firewall;
iii. Tecnologias de acesso e gerenciamento de identidade;
iv. Ferramentas de auditoria e / ou segurança de banco de dados; ou,
v. Ferramentas de análise comportamental, ferramentas de análise de log ou ferramentas de auditoria;
9. Em relação aos funcionários e contratados, por favor, informe o seguinte:
a. Quais tecnologias ou procedimentos de negócios você tem para garantir que os indivíduos dentro de sua organização sejam monitorados para garantir que eles não divulguem deliberadamente ou inadvertidamente dados pessoais fora de sua empresa, por e-mail, webmail ou mensagens instantâneas ou outros.
b. Você já teve alguma situação em que funcionários ou contratados foram demitidos e / ou foi acusado de acordo com as leis criminais por acessar meus dados pessoais de forma inadequada ou, se você não conseguir determinar isso, de quaisquer clientes nos últimos doze meses.
c. Por favor, informe sobre quais medidas de treinamento e conscientização você tomou para assegurar que funcionários e contratados estejam acessando e processando meus dados pessoais em conformidade com o Regulamento Geral de Proteção de Dados.
Por último, gostaria que você soubesse desde o início que pretendo responder ao meu pedido no prazo de um mês, conforme exigido pelo artigo 12.º do GDPR, caso contrário, enviarei a minha pergunta com uma carta de reclamação às autoridades competentes em matéria de proteção de dados. No caso de você não ser capaz de responder à minha solicitação dentro da data especificada e, sob as medidas fornecidas pelo GDPR, ter o objetivo de prolongar tal prazo devido à complexidade da minha solicitação, responda às minhas perguntas na máxima extensão possível durante a solicitação. termo original de um mês. Se você precisar de qualquer informação adicional de mim mesmo para me identificar como sujeito de dados sendo processado por você, entre em contato comigo imediatamente.