Data Subject Access Request (DSAR) – בקשה של אדם לגשת למידע שיש עליו בארגון שלכם – הפכה לזכות בסיסית תחת GDPR ותיקון 13 לחוק הגנת הפרטיות הישראלי. 30 יום לענות. ארגון שלא ענה מסתכן בתלונה לרשות הגנת פרטיות.
אילו זכויות יש לנשואי מידע?
- Right of Access (סעיף 15 GDPR) – קבלת עותק של כל המידע שנאסף.
- Right to Rectification (סעיף 16) – תיקון מידע שגוי.
- Right to Erasure / "Right to be Forgotten" (סעיף 17) – מחיקת מידע בתנאים מסוימים.
- Right to Data Portability (סעיף 20) – קבלת המידע בפורמט מובנה (CSV, JSON).
- Right to Object (סעיף 21) – התנגדות לעיבוד, בעיקר לצרכי שיווק.
תהליך טיפול ב-DSAR: 5 שלבים
- 1קבלה ואימות זהות: קבלת הבקשה, אימות שמדובר בנשוא המידע עצמו (לא צד שלישי). ניתן לבקש תעודת זהות.
- 2מיפוי מקורות מידע: איפה יש מידע על האדם הזה? CRM? HR? Email? Logs? Analytics?
- 3איסוף ועיון: הורידו את כל המידע. סננו מידע שחורג מהבקשה (מידע על אחרים, Secret ארגוני).
- 4הכנת תגובה: מסמך ברור, בשפה המובנת, עם כל המידע. פורמט PDF/Excel.
- 5שליחה תוך 30 יום: בחינם (אלא אם הבקשה מוגזמת), בדרך מאובטחת.
מה מותר לסרב?
ניתן לדחות בקשה שמסכנת זכויות של אחרים, חושפת סודות מסחריים, או פוגעת בחקירה פלילית. הסירוב חייב להיות מנומק ולאפשר ערעור.
DSAR Automation הוא הכיוון. כלים כמו OneTrust, TrustArc, Osano מאפשרים Self-Service Portal שבו נשואי מידע מגישים בקשות ישירות – ומפחיתים עומס תפעולי ב-70%.
DSARזכויות נשוא מידעGDPRגנת פרטיותRight of Access