22 1062702 68d0db3de48f4

Pravo pristupa prema GDPR-u: Što pokriva članak 15. AVG-a

Blog /

Članak 15. Opće uredbe o zaštiti podataka – ugrađen u nizozemsko pravo putem Zakona o općem postupku zaštite podataka (AVG) – daje svakoj osobi nedvosmisleno pravo da otkrije obrađuje li organizacija njezine osobne podatke, da dobije kopiju i da vidi kontekst poput svrha, primatelja i razdoblja čuvanja. To pravo je temelj transparentnosti i odgovornosti: omogućuje pojedincima da provjere što se o njima čuva i prisiljava tvrtke da svoje prakse upravljanja podacima održavaju čistima, dokumentiranima i obranjivima.

Bez obzira tražite li vlastiti HR dosje ili se pripremate odgovoriti na zahtjev klijenta za pristup podacima, poznavanje točnog opsega i ograničenja članka 15. smanjuje rizik od kazni, sporova i štete na ugledu. Na sljedećim stranicama prevodimo pravni tekst na jednostavan engleski, vodimo subjekte podataka kroz detaljan predložak zahtjeva, vodimo kontrolore o rokovima, naknadama i dužnostima uređivanja, označavamo nizozemska pravila koja provodi Autoriteit Persoonsgegevens te završavamo praktičnim kontrolnim listama za obje strane.

Dekodiranje članka 15 AVG na običnom engleskom jeziku

„Ispitanik ima pravo od kontrolora dobiti potvrdu o tome obrađuju li se osobni podaci koji se na njega odnose te, ako je to slučaj, pristup tim osobnim podacima…“ — članak 15. stavak 1. GDPR

Jednostavno rečeno: možete pitati bilo koju organizaciju „Pohranjujete li podatke o meni? Ako da, pokažite mi koje, zašto, s kim ih dijelite i koliko dugo ih čuvate.“ To je bit prava pristupa prema GDPR-u; opseg članka 15. AVG-a u Nizozemskoj je identičan jer nizozemski Uitvoeringswet AVG samo lokalizira provedbu bez promjene biti.

Kada podnesete zahtjev, imate pravo na osam konkretnih stavki:

  1. Potvrda obrade
  2. Kopija osobnih podataka
  3. Svrhe obrade
  4. Uključene kategorije podataka
  5. Primatelji ili kategorije primatelja
  6. Planirano razdoblje skladištenja ili kriteriji za njegovo određivanje
  7. Druga prava u vezi s GDPR-om koja možete ostvariti
  8. Zaštitne mjere za sve transfere izvan EGP-a

Pravo je osobno - samo subjekt podataka (ili valjani zastupnik) može se na njega pozvati - i ono je apsolutan u vezi s primanjem vlastitih podataka. Međutim, kontrolori mogu ograničiti ili odbiti pristup kada bi to narušilo druga temeljna prava (poslovne tajne, privatnost trećih strana).

Pravni tekst u odnosu na laičke uvjete

Članak 15. Što to stvarno znači
15 (1) potvrda Pitajte „da/ne“ ako obrađuju vaše podatke.
15 (1) pristup Dobijte stvarne podatke plus kontekst.
15 (1), (c) primatelji Saznajte tko vidi ili dobiva podatke, unutar ili izvan tvrtke.
15 (2) transferi iz trećih zemalja Saznajte više o podacima poslanim izvan EGP-a i korištenim zaštitama.
15 (3) kopija Primajte informacije besplatno u digitalnom formatu za višekratnu upotrebu.

Kratak pregled ključnih stvari za van

  • Koliko dugo može trajati kontrolor? Jedan mjesec, proširivo na tri za složene slučajeve.
  • Mogu li me optužiti? Ne, osim ako zahtjev nije „očito neutemeljen ili pretjeran“.
  • U kojem ću formatu primiti podatke? Sigurna elektronička datoteka (npr. PDF ili CSV) osim ako ne zatražite drugačije.
  • Moram li koristiti poseban obrazac? Ne; e-pošta, pismo ili čak telefonski poziv se računaju.
  • Što ako mi ništa ne skrivaju? Moraju to pismeno najaviti u istom roku.

Tko može ostvariti pravo i prema kome?

Prema članku 4(1) GDPR-a subjekt podataka je svaka živa, prepoznatljiva fizička osoba - bilo da se radi o kupcu, zaposleniku, pacijentu ili maloljetnom učeniku. Svaka od njih može se pozvati na pravo pristupa prema GDPR-u: područje primjene članka 15. AVG-a ne diskriminira prema dobi, nacionalnosti ili prebivalištu. Zahtjevi se moraju uputiti kontrolor: stranka koja odlučuje zašto i kako podaci se obrađuju. Pružatelj usluga u oblaku ili ured za obračun plaća koji samo pohranjuje podatke je procesor; mora proslijediti zahtjev kontroleru, ali ne može odbiti izravnu instrukciju.

Nizozemski stanovnici također mogu usmjeriti svoj zahtjev na stranu tvrtku koja cilja nizozemsko tržište (npr. društvenu mrežu sa sjedištem u Irskoj). Rok od mjesec dana počinje teći od trenutka kada kontrolor primi zahtjev, bez obzira na to gdje se nalaze njegovi poslužitelji.

Posebne situacije: zastupnici, preminule osobe, roditelji i skrbnici

  • Maloljetnici i osobe s invaliditetom: roditelj, skrbnik ili skrbnik može djelovati u njihovo ime prema Knjizi 1 nizozemskog građanskog zakonika.
  • Škole i poslodavciučenici i zaposlenici se može podnijeti Zahtjev za pristup subjektu (SAR); predstavnici nisu obavezni, već samo neobavezni.
  • Preminule osobe ne spadaju pod GDPR, no liječnici, javni bilježnici i osiguravatelji i dalje moraju poštivati ​​pravila profesionalne tajne prije otkrivanja povezanih dokumenata.

Zajednička odgovornost kontrolora u dijeljenim sustavima

Kada dvije ili više organizacija zajednički odrediti svrhe ili sredstva obrade (članak 26. GDPR-a) - na primjer, poslodavac i njegov dobavljač HR softvera - oni su zajednički kontroloriMoraju se transparentno dogovoriti tko odgovara na zahtjeve iz članka 15. i obavijestiti subjekta podataka, ali svaki ostaje odgovoran ako drugi propusti zadatak.

Što se mora otkriti: Podaci i dodatne informacije

Kada se pozivate na pravo pristupa prema GDPR-u, područje primjene članka 15. AVG-a obvezuje kontrolora da preda dvije stvari: stvarni osobni podaci i paket od kontekstualni detaljiZamislite to kao primanje i fotografije i njezinog opisa. Zakon dijeli obvezu otkrivanja u osam kategorija, navedenih u nastavku.

Članak 15(1) stavak Što biste trebali primiti
(a) Potvrda Jasno da ne obrađuju li se vaši podaci
(b) Svrhe Razlozi zbog kojih podaci postoje (npr. obračun plaća, marketing)
(c) Kategorije Vrste kao što su kontaktni podaci, povijest kupnje, GPS zapisi
(d) Primatelji Interni timovi i vanjski partneri ili obrađivači
(e) Zadržavanje Točno razdoblje ili kriteriji (npr. „7 godina za porezni zakon“)
(f) Prava Podsjetnik da možete ispraviti, izbrisati, ograničiti, prigovoriti, žaliti se
(g) Izvor Odakle potječu podaci ako nisu prikupljeni od vas
(h) Prijenosi Zaštitne mjere za svaku pošiljku izvan EGP-a

Osobni podaci su više od imena i broja. Obuhvaćaju profile ponašanja, izvedene kreditne ocjene, snimke nadzornih kamera, glasovne snimke, ID-ove uređaja, pa čak i naizgled dosadne metapodatke poput vremenskih oznaka prijave - sve što se može izravno ili neizravno povezati s prepoznatljivom osobom.

Objašnjenje „Kopije osobnih podataka“

A kopija znači razumljivu reprodukciju, a ne originalnu papirnatu datoteku. Očekujte:

  • PDF vaše platne evidencije
  • CSV izvoz CRM bilješki
  • ZIP s audio datotekama poziva podrške
    Ako ste zahtjev poslali e-poštom, zadana dostava također bi trebala biti elektronička i u „uobičajeno korištenom“ formatu, osim ako ne tražite papirnati oblik.

Osobni podaci u odnosu na dokumente: gdje povući granicu

Kontrolori moraju izdvojiti samo isječke koji se odnose na vas. Na primjer, u memorandumu sa sastanka koji sadrži nekoliko zaposlenika, vaše izgovorene primjedbe mogu se otkriti, dok se komentari kolega redigiraju. Suprotno tome, potpisani ugovor o radu otkriva se u cijelosti jer se svaka klauzula odnosi na vas.

Obavezne dodatne informacije

Osim kopije podataka, kontrolor mora objasniti: svrhe, kategorije, primatelje, zadržavanje, dostupna prava, izvore podataka, logiku iza automatiziranih odluka (ako postoji) i zaštitne mjere za prijenos. Pripazite na nejasne odgovore - „u poslovne svrhe“ ili „pohranjeno koliko je potrebno“ vjerojatno neće zadovoljiti Autoriteit Persoonsgegevens. Sveobuhvatna, jednostavna objašnjenja najbolja su zaštita od pritužbi i kazni.

Kako podnijeti i obraditi Zahtjev za pristup podacima (SAR) u Nizozemskoj

Zahtjev za pristup podacima subjekta podataka može se podnijeti na bilo koji način koji subjekt podataka želi - telefonom, e-mail, pismo, izravna poruka na društvenim mrežama ili čak chat bot. Članak 12. GDPR-a zabranjuje kontrolorima da zahtijevaju određeni obrazac, pa je „Želim kopiju svih osobnih podataka koje imate o meni“ dovoljno za pokretanje sata. Međutim, najbolja praksa je podnijeti pisani zapis kako bi obje strane mogle pratiti rokove. Nakon što zahtjev stigne, kontrolor mora odmah (1) potvrditi primitak i (2) zabilježiti u dnevnik jedan mjesec razdoblje odgovora. Šutnja ili kašnjenje nakon tog prvog mjeseca riskira pritužbu Autoriteit Persoonsgegevens (AP) i potencijalne novčane kazne.

U nastavku slijedi sažet, dvojezični predložak koji subjekti podataka mogu kopirati i lijepiti; nije potreban pravni žargon.

Subject: Subject Access Request – Article 15 GDPR/AVG

Dear [Controller],

I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data. 
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).

Kind regards,
[Name] | [Email] | [Any reference number]

---

Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR

Geachte [Verwerkingsverantwoordelijke],

Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt. 
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.

Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]

Kontrolori bi trebali stvoriti jednostavan tijek rada za prijem—[e-pošta zaštićena] poštanski sandučić, broj karte, automatska potvrda - kako bi se kasnije dokazala usklađenost.

Provjera identiteta bez prekomjernog prikupljanja podataka

Kontrolor mora biti „razuman“ u provjeri tko traži podatke bez pribavljanja više podataka nego što je potrebno. AP preporučuje:

  • Kad god je to moguće, uskladite detalje zahtjeva s postojećim podacima o računu (korisničko ime, ID klijenta).
  • Ako se dodatni dokazi ne mogu izbjeći, zatražite redigiranu putovnicu ili skeniranje vozačke dozvole s zatamnjenim BSN-om, fotografijom i MRZ-om.
  • Nikada ne čuvajte kopije dulje nego što je potrebno za provjeru; evidentirajte činjenicu provjere, a zatim izbrišite datoteku.

Vođenje evidencije i evidentiranje za odgovornost

Osnovni zapisnik SAR-a zadovoljava regulatore - i vašeg DPO-a. Zabilježite:

  1. Datum primitka i kanal (e-pošta, poziv itd.)
  2. Poduzeti koraci za provjeru identiteta
  3. Opseg lociranih podataka
  4. Uključeni interni timovi
  5. Datum i način odgovora + sva zatražena produženja
  6. Sažetak pruženih informacija ili razlozi za odbijanje

Vođenje ovog registra podržava načelo „odgovornosti“ iz članka 5. i pruža gotov revizorski trag ako vam AP pokuca na vrata.

Rokovi, naknade i formati isporuke za kontrolore

Kada sat krene, kontrolori imaju jedan mjesec kako bi odgovorili na zahtjev za pristup subjektu. Mogu produžiti rok jednom za do dva dodatna mjeseca, ali samo za složene ili brojne zahtjeve i Moraju objasniti kašnjenje unutar prvog mjeseca. Ako se ne čuvaju nikakvi osobni podaci, kontrolor i dalje mora odgovoriti unutar istog roka i to izričito navesti.

Članak 12(5) postavlja pravilo nulte naknade: pristup je besplatan. Naplata je dopuštena samo kada postoji zahtjev. „očito neutemeljeno ili pretjerano“—zamislite zaposlenika koji svaki tjedan traži identične kopije ili spamera koji traži podatke o stotinama lažnih profila.

Dostava mora biti u "uobičajeno korištenom" sigurnom formatu. Brza usporedba:

Format Prozodija Cons
Šifrirani PDF Čitljivo; lako uređivanje Moguće slabe lozinke
CSV izvoz Strojno čitljivo; mala veličina Teže za laike
Sigurni portal 2FA i revizijski trag Skupo za održavanje

Bez obzira na odabrani put, kontrolori bi trebali poštivati ​​razumne preferencije i izbjegavati vlasničko zaključavanje.

Siguran prijenos i minimiziranje podataka

Nikada ne šaljite nezaštićene proračunske tablice e-poštom. Koristite datoteke zaštićene lozinkom (dijelite ključ zasebno), HTTPS portale s dvofaktorskom autentifikacijom ili preporučenu poštu za papirnate pakete. Prije slanja, obrišite podatke trećih strana softverom za redigiranje i uklonite višak polja. To je u skladu s minimizacijom iz članka 5(1)(c) uz zaštitu suradnika, poslovnih tajni i prolaznika.

Legitimni razlozi za ograničavanje ili odbijanje pristupa

Članak 15. je moćan, ali ne i neograničen. Stavak 4. i uvodna izjava 63. jasno navode da kontrolor može smanjiti ili čak odbiti otkrivanje informacija kada bi predaja informacija bila u suprotnosti s drugim temeljnim pravima ili bi bila očito nerazumna. Teret dokazivanja je na kontroloru: morate dokument zašto bi puni pristup potkopao te suprotstavljene interese i kako ste ublažili utjecaj (npr. djelomičnom redakcijom).

Zaštita privatnosti trećih strana

Otkrivanje lanca e-pošte koji također imenuje kolege ili kupce može otkriti njihov osobni podaci. Nizozemska sudska praksa (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) potvrđuje da kontrolori mogu prekriti ili sažeti identifikatore trećih strana, pod uvjetom da podnositelj zahtjeva i dalje razumije kontekst. Tehnike:

  • Imena i telefonski brojevi na crnoj liniji
  • Zamijenite neutralnim izrazima („drugi zaposlenik“)
  • Dostavite izvatke umjesto cijele datoteke

Poslovne tajne, intelektualno vlasništvo i autorska prava

Tvrtke ne moraju otvarati svoj algoritamski kimono. Ako bi otkrivanje izvornog koda, formula za određivanje cijena ili materijala zaštićenog autorskim pravima otkrilo povjerljivo znanje, članak 15(4) omogućuje kalibrirani odgovor. Tipično rješenje: opišite logiku automatizirane odluke jednostavnim jezikom, a ne puni kod; navedite izvatke iz rasporeda ugovora, a ne vlasnički predložak. Uvijek objasnite zašto bi detaljnije otkrivanje štetilo komercijalnim interesima.

Sprječavanje zlouporabe prava

Zahtjev je očito neutemeljeno ili pretjerano kada je repetitivno, uznemirujuće ili namjerno opterećujuće - zamislite tjedne SAR-ove kopirane i lijepljene nakon što su svi podaci već dostavljeni. Kontrolori tada mogu:

  1. Naplatiti „razumnu naknadu“ koja odražava administrativne troškove, or
  2. Potpuno odbijte djelovati.
    U svakom slučaju, morate pismeno obrazložiti svoj stav i obavijestiti ispitanika o njegovom pravu na podnošenje pritužbe Agenciji za zaštitu osobnih podataka.

Traženje pravne zaštite: Pritužbe i parnice u Nizozemskoj

Kada kontrolor promaši cilj, ispitanici imaju brze, eskalirajuće mogućnosti za provedbu prava pristupa prema GDPR-u (područje primjene članka 15. AVG-a).

  1. Unutarnji poticaj. Pošaljite datiran podsjetnik s naznakom članka 15. i isteklim rokom; većina organizacija postupa u skladu s uputom.
  2. Autoriteit Persoonsgegevens pritužba. Podnesite zahtjev putem interneta. AP može naložiti otkrivanje podataka, nametnuti dnevne novčane kazne ili naplatiti administrativne globe. Jednostavni slučajevi često se zatvaraju u roku od tri mjeseca.
  3. Građanski sudski postupak. Prema članku 82. GDPR-a nizozemski sudovi može izdati sudske zabrane i dosuditi odštetu. Nedavnim presudama odobreno je 250–2500 eura za ovrhu, s ubrzanim postupkom kratki pregled olakšica dostupna za hitne slučajeve zaposlenja.

Prekogranična suradnja i sustav sve na jednom mjestu

Nizozemski stanovnik i dalje može podnijeti pritužbu AP-u čak i ako se sjedište kontrolora u EU nalazi negdje drugdje. AP prosljeđuje datoteku putem GDPR-a. One-stop-shop, A Europski odbor za zaštitu podataka može prekinuti svaku regulatornu blokadu - stoga geografija nije prepreka za dobivanje vaših podataka.

Nacrt usklađenosti za organizacije

Uredan SAR proces započinje puno prije nego što stigne prvi zahtjev. Izgradite ove osnovne elemente i 90% glavobolja s pristupom nestat će:

  • Objavite kratku, jednostavnu politiku SAR-a i uputite osoblje na nju.
  • Redovito ažurirajte svoju evidenciju o aktivnostima obrade podataka (RoPA) kako biste znali gdje se podaci nalaze.
  • Razdoblja zadržavanja karte i okidači brisanja; zastarjeli podaci su podaci koje nikada ne morate predati.
  • Održavajte postupni tijek rada redakcije s dvostrukom kontrolom pregleda.
  • Zabilježite svaki zahtjev, odluku i rok za članak 5. odgovornost.
  • Provodite godišnje vježbe za stolom kako biste testirali brzinu, jasnoću i lanac zapovijedanja.

Obučite osoblje recepcije, kadrovsku službu i IT odjel za uočavanje i trijažu usmenih zahtjeva; jedan propušteni telefonski poziv može pokrenuti kazneno vrijeme.

Automatizacija i alati

Koristite softver za otkrivanje podataka, API-je za provjeru identiteta i sigurne portale za preuzimanje kako biste brzo pronašli, pakirali i prenijeli podatke - uvijek ostavljajući prostor za ljudsku provjeru smisla i konteksta.

Integracija s drugim pravima ispitanika

Osmislite tijek rada SAR-a tako da se grana na radnje ispravljanja, brisanja ili prenosivosti; jedan koherentan cjevovod izbjegava dvostruke pretrage i nedosljedne odgovore.

Osnaživanje ispitanika: Praktični savjeti za učinkovite zahtjeve

Jasan, dobro usmjeren SAR štedi svima vrijeme i otežava kontroloru odugovlačenje. Isprobajte ove taktike:

  • Odrediti točno što želite: „Sve e-poruke između mene i menadžera Jansena od 1. siječnja do 31. ožujka 2024.“
  • Spomenuti gdje piše: „HR sustav i zahtjevi za korisničku podršku.“
  • Navedite svoje željeni format (CSV, PDF) i sigurni kanal.
  • Označi hitnost kada je to relevantno („nadolazeće pregled performansi 15. listopada“).

Nakon što podaci stignu, skenirajte ih u potrazi za greškama ili prazninama i odmah pošaljite zahtjev za ispravak ili brisanje - korištenje istog traga dokaza održava zamah.

Strategija eskalacije u slučaju ignoriranja

31. dan, a radio tišina i dalje? Budite pristojni, ali odlučni:

Subject: Reminder – Article 15 GDPR/AVG request overdue

Dear [Controller],

On [date] I requested access to my personal data. The one-month term has passed without a response. 
Please provide the information within seven days or explain the lawful basis for any refusal. 
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.

Regards,
[Name]

Dokumentirajte svaki korak (datume, e-poštu, zapise poziva). Ako istekne dodatni tjedan, podnesite online pritužbu AP-u i priložite svoj dokazni paket; sudovi i regulatori favoriziraju dobro organizirane podnositelje zahtjeva.

Završavanje vašeg prava pristupa

Članak 15. GDPR-a/AVG-a stavlja pojedince u vodeću ulogu: možete pitati, vidjeti i osporiti što organizacija radi s vašim podacima. Za kontrolore, jasni postupci, uredne evidencije i razumno redakturiranje nisu opcionalni - oni su jedini način da se poštuje rok od mjesec dana i izbjegne kritika Autoriteit Persoonsgegevens.

Zapamtite osnovnu taktiku:

  • zahtjev može biti neformalan,
  • odgovor mora biti slobodan, pravovremen i potpun,
  • granice su uske i moraju se opravdati,
  • Djelomično otkrivanje je bolje od općeg odbijanja.

Slijedite ta pravila i pravo pristupa postaje rutinski zadatak usklađenosti, a ne glavobolja u sudnici.

Trebate li prilagođeni predložak SAR-a, pomoć pri raspetljavanju podataka trećih strana ili strategiju za tvrdoglavog kontrolora? Odvjetnici za privatnost u Law & More spremni su se uključiti - bez obzira jeste li subjekt podataka koji traži odgovore ili tvrtka koja traži sigurnost.

Povezivati ​​se Pošta

Law & More