Demandes des personnes concernées : délais, contrôles d’identité et preuves
Un guide pratique pour les demandes d'accès, d'effacement, de rectification et d'opposition sans perdre la piste d'audit.
Résumé opérationnel
Les DSR ont besoin de délais, de vérification d’identité et de preuves de recherche.Les prolongations et les refus doivent être documentés.Le bureau doit équilibrer les droits avec les obligations légales et les exemptions.Les demandes des personnes concernées sont délicates sur le plan opérationnel car elles combinent jugement juridique, vérification de l’identité, délais, recherche de documents, exemptions et communication minutieuse.
Un bon flux de travail commence par classer la demande, vérifier la personne si nécessaire, calculer le délai, attribuer les propriétaires, collecter les preuves et enregistrer la réponse ou la justification du refus.
Le bureau devrait être en mesure de montrer non seulement ce qu'il a répondu, mais aussi comment il a effectué la recherche, qui a examiné la réponse, si une extension a été utilisée et pourquoi des données ont été retenues.
s'applique
Ce guide est destiné aux bureaux traitant des demandes d'accès, de rectification, d'effacement, de restriction, de portabilité, d'objection ou de demandes liées au RGPD.
- Demandes d'accès clients
- Demandes d'effacement d'anciens clients
- Demandes des employés et des candidats
- Demandes impliquant des enregistrements AML ou des dossiers juridiques
- Demandes pour lesquelles l'identité ou l'autorité est incertaine
contexte
Les droits du RGPD sont sensibles sur le plan opérationnel car le bureau doit réagir correctement sans exposer les données de tiers, les informations privilégiées ou les enregistrements qui doivent légalement être conservés.
Le flux de travail doit donc combiner le suivi des délais avec un examen professionnel et des preuves de la recherche et de la décision.
faire
Le bureau devrait transformer cette obligation en un flux de travail reproductible avec des propriétaires nommés, des délais, des preuves et des décisions révisables.
- Classez la demande.
- Vérifiez l’identité ou l’autorité si nécessaire.
- Calculez le délai.
- Rechercher des systèmes et des fichiers.
- Appliquer des exonérations ou des droits de rétention.
- Préparez et approuvez la réponse.
- Terminez avec des preuves.
preuve
Le dossier doit contenir la demande, le contrôle d'identité, la date limite, l'étendue de la recherche, la réponse, la justification de la prolongation ou du refus et les preuves de clôture.
Erreurs fréquentes relevées par les autorités
- Démarrage tardif de l’heure limite.
- Répondre avant que l’identité ne soit vérifiée.
- Suppression des enregistrements soumis à des obligations AML ou de conservation légale sans examen.
- Ne pas documenter la portée de la recherche.
Checklist pratique
- Demande de journal.
- Vérifiez l'identité.
- Attribuer un propriétaire.
- Calculer le délai.
- Rechercher des preuves.
- Examinez les exemptions.
- Envoyer et enregistrer la réponse.
- Suit les délais DSR.
- Enregistre la vérification de l’identité et la portée.
- Prend en charge les actions d’extension, de refus et de fermeture.
- Conserve les preuves de réponse dans l’espace de travail RGPD.
Questions fréquentes
Pouvons-nous refuser une demande d’effacement en raison de la rétention AML ?
Parfois, les dossiers doivent être conservés pour des obligations légales. La raison doit être examinée et documentée.
Le délai d'un mois s'applique-t-il toujours ?
Le RGPD donne un délai de réponse standard avec extension possible dans certains cas ; le flux de travail doit calculer et enregistrer cela.
Les DSR doivent-ils être traités uniquement par courrier électronique ?
Le courrier électronique peut faire partie de la communication, mais les traces des preuves doivent être conservées dans un registre contrôlé.
Références officielles
Du savoir à la conformité
Lire est un début. Sceau transforme ces obligations en un flux qui s'exécute et se prouve tout seul.
Réserver une démo