22 1062702 68d0db3de48f4

Dreptul de acces în temeiul GDPR: Ce acoperă articolul 15 din AVG

Blog /

Articolul 15 din Regulamentul general privind protecția datelor – inclus în legislația olandeză prin Algemene Verordening Gegevensbescherming (AVG) – oferă fiecărei persoane dreptul neechivoc de a afla dacă o organizație îi prelucrează datele cu caracter personal, de a obține o copie și de a vedea contextul înconjurător, cum ar fi scopurile, destinatarii și perioadele de păstrare. Acest drept este coloana vertebrală a transparenței și responsabilității: permite persoanelor să verifice ce se deține despre ele și obligă companiile să își mențină practicile privind datele curate, documentate și justificabile.

Indiferent dacă solicitați propriul dosar HR sau vă pregătiți să răspundeți la o cerere de acces la date din partea unui client, cunoașterea exactă a domeniului de aplicare și a limitelor Articolului 15 reduce riscul de amenzi, litigii și daune aduse reputației. În paginile următoare, traducem textul legal în limba engleză simplă, ghidăm persoanele vizate printr-un șablon de cerere pas cu pas, ghidăm operatorii cu privire la termene, taxe și sarcini de redactare, semnalăm regulile specifice olandeze pe care Autoriteit Persoonsgegevens le aplică și încheiem cu liste de verificare practice pentru ambele părți.

Decodificarea Articolului 15 AVG în limbaj simplu

„Persoana vizată are dreptul de a obține din partea operatorului confirmarea dacă se prelucrează sau nu date cu caracter personal care o privesc și, în acest caz, acces la datele cu caracter personal...” — Articolul 15(1) GDPR

În termeni simpli: puteți întreba orice organizație „Stocați date despre mine? Dacă da, arătați-mi ce, de ce, cu cine le partajați și cât timp le păstrați.” Aceasta este esența dreptului de acces în temeiul RGPD; domeniul de aplicare al articolului 15 din AVG în Țările de Jos este identic, deoarece Uitvoeringswet AVG olandeză doar localizează aplicarea fără a schimba substanța.

Când depuneți o cerere, aveți dreptul la opt elemente concrete:

  1. Confirmarea prelucrării
  2. O copie a datelor cu caracter personal
  3. Scopurile prelucrării
  4. Categoriile de date implicate
  5. Destinatari sau categorii de destinatari
  6. Perioada de stocare planificată sau criteriile pentru determinarea acesteia
  7. Alte drepturi GDPR pe care le puteți exercita
  8. Garanții pentru orice transferuri în afara SEE

Dreptul este personal — numai persoana vizată (sau un reprezentant valid) îl poate invoca — și este absolut în ceea ce privește primirea propriilor date. Cu toate acestea, operatorii pot reduce sau refuza accesul atunci când ar fi afectate alte drepturi fundamentale (secrete comerciale, confidențialitatea vieții private a terților).

Text legal vs. termeni simpli

Clauza articolului 15 Ce înseamnă cu adevărat
15 (1) confirmare Întreabă „da/nu” dacă îți prelucrează datele.
15 (1) acces Obțineți datele reale plus contextul.
15(1)(c) destinatari Aflați cine vede sau obține datele, în interiorul sau în afara firmei.
15 (2) transferuri către țări terțe Aflați despre datele trimise în afara SEE și despre protecțiile utilizate.
15 (3) copiaţi Primiți informațiile într-un format digital reutilizabil, gratuit.

Principalele concluzii dintr-o privire

  • Cât timp poate dura un controler? O lună, extensibilă la trei pentru cazuri complexe.
  • Mă pot taxa? Nu, cu excepția cazului în care cererea este „în mod vădit nefondată sau excesivă”.
  • În ce format voi primi datele? Fișier electronic securizat (de exemplu, PDF sau CSV), cu excepția cazului în care solicitați altfel.
  • Trebuie să folosesc un formular special? Nuun e-mail, o scrisoare sau chiar un apel telefonic contează.
  • Ce se întâmplă dacă nu dețin nimic împotriva mea? Trebuie să anunțe acest lucru în scris, în același termen limită.

Cine poate exercita acest drept și față de cine?

În temeiul articolului 4 alineatul (1) din RGPD, persoana vizată „este orice persoană fizică vie, identificabilă - fie client, angajat, pacient sau elev minor. Fiecare dintre acestea poate invoca dreptul de acces în temeiul GDPR: domeniul de aplicare al articolului 15 din AVG nu discriminează în funcție de vârstă, naționalitate sau reședință. Cererile trebuie adresate către controlor: partea care decide de ce și cum datele sunt procesate. Un furnizor de cloud sau un birou de salarizare care doar stochează datele este un procesortrebuie să transmită cererea către controler, dar nu poate refuza instrucțiuni directe.

Rezidenții olandezi își pot îndrepta solicitarea și către o companie străină care vizează piața olandeză (de exemplu, o rețea socială cu sediul în Irlanda). Termenul de o lună începe să curgă din momentul în care operatorul primește solicitarea, indiferent de locul în care se află serverele sale.

Situații speciale: Reprezentanți, persoane decedate, părinți și tutori

  • Minori și adulți incapabili: un părinte, tutore sau curator poate acționa în numele lor în temeiul Cărții 1 din Codul Civil olandez.
  • Școli și patronatelevi și angajați se se poate depune o cerere de acces la informații personale (SAR); reprezentanții sunt opționali, nu obligatorii.
  • Persoanele decedate nu intră sub incidența GDPR, însă medicii, notarii și asigurătorii trebuie să respecte în continuare regulile de secret profesional înainte de a divulga fișiere conexe.

Responsabilitatea comună a operatorilor în sistemele partajate

Când două sau mai multe organizații de comun acord să determine scopurile sau mijloacele de prelucrare (articolul 26 din RGPD) - de exemplu, un angajator și furnizorul său de software pentru resurse umane - aceștia sunt operatori comuniAceștia trebuie să convină în mod transparent cine răspunde solicitărilor prevăzute la articolul 15 și să informeze persoana vizată, dar fiecare rămâne răspunzător dacă celălalt greșește.

Ce trebuie dezvăluit: Date și informații suplimentare

Atunci când invocați dreptul de acces în temeiul RGPD, domeniul de aplicare al articolului 15 din AVG obligă operatorul să predea două lucruri: date cu caracter personal reale și un pachet de detalii contextualeGândește-te la asta ca la primirea atât a fotografiei, cât și a legendei acesteia. Legislația împarte obligația de dezvăluire în opt categorii, enumerate mai jos.

Art. 15 alin. (1) punct Ce ar trebui să primești
(a) Confirmare Un clar da nu dacă datele dumneavoastră sunt prelucrate
(b) Scopuri Motivele pentru care există datele (de exemplu, salarizare, marketing)
(c) Categorii Tipuri precum date de contact, istoricul achizițiilor, jurnalele GPS
(d) Destinatari Echipe interne și parteneri externi sau procesatori
(e) Reținere Perioada sau criteriile exacte (de exemplu, „7 ani pentru legislația fiscală”)
(f) Drepturi Reamintire: puteți rectifica, șterge, restricționa, obiecta, reclama
(g) Sursă De unde provin datele dacă nu au fost colectate de la dvs.
(h) Transferuri Măsuri de siguranță pentru orice transport în afara SEE

Datele personale sunt mai mult decât nume și număr. Acestea acoperă profiluri comportamentale, scoruri de credit deduse, imagini CCTV, înregistrări vocale, ID-uri de dispozitive și chiar metadate aparent plictisitoare, cum ar fi marcajele temporale de conectare - orice poate fi legat, direct sau indirect, de o persoană identificabilă.

Explicația conceptului „Copie a datelor cu caracter personal”

A copiaţi înseamnă o reproducere inteligibilă, nu fișierul original pe hârtie. Așteptați-vă la:

  • Un PDF al fișei dumneavoastră de salarizare
  • Export CSV al notelor CRM
  • ZIP cu fișiere audio ale apelurilor de asistență
    Dacă ați trimis solicitarea prin e-mail, livrarea implicită ar trebui să fie, de asemenea, electronică și într-un format „utilizat în mod obișnuit”, cu excepția cazului în care solicitați pe hârtie.

Date personale vs. documente: Unde se trasează linia

Controlorii trebuie să extragă doar fragmentele care vă privesc. De exemplu, într-o notă de ședință care conține mai mulți angajați, remarcile dumneavoastră orale pot fi dezvăluite, în timp ce comentariile colegilor sunt redactate. În schimb, o notă semnată contract de muncă este dezvăluită în întregime deoarece fiecare clauză vă privește.

Informații suplimentare obligatorii

Dincolo de copia datelor, operatorul trebuie să explice: scopurile, categoriile, destinatarii, păstrarea datelor, drepturile disponibile, sursele de date, logica din spatele deciziilor automate (dacă există) și garanțiile de transfer. Fiți atenți la răspunsurile vagi - „în scopuri comerciale” sau „stocat atât timp cât este necesar” este puțin probabil să satisfacă cerințele Autorității de Reglementare a Persoanelor. Explicațiile complete, într-un limbaj clar, sunt cel mai bun scut împotriva reclamațiilor și amenzilor.

Cum se depune și se gestionează o cerere de acces la informații personale (SAR) în Olanda

O cerere de acces la informații poate fi făcută în orice mod dorește persoana vizată - telefonic, e-mail, scrisoare, mesaj direct pe rețelele sociale sau chiar un chatbot. Articolul 12 din RGPD interzice operatorilor să solicite un formular specific, așa că „Doresc o copie a tuturor datelor cu caracter personal pe care le dețineți despre mine” este suficient pentru a porni cronometrul. Cea mai bună practică, însă, este depunerea unei înregistrări scrise, astfel încât ambele părți să poată urmări termenele limită. Odată ce solicitarea este primită, operatorul trebuie imediat (1) să confirme primirea și (2) să înregistreze în jurnal. o luna perioadă de răspuns. Tăcerea sau întârzierea după prima lună riscă o plângere la Autoriteit Persoonsgegevens (AP) și potențiale amenzi.

Mai jos este un șablon concis, bilingv, pe care persoanele vizate îl pot copia și lipi; nu este necesar jargon juridic.

Subject: Subject Access Request – Article 15 GDPR/AVG

Dear [Controller],

I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data. 
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).

Kind regards,
[Name] | [Email] | [Any reference number]

---

Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR

Geachte [Verwerkingsverantwoordelijke],

Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt. 
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.

Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]

Controlorii ar trebui să creeze un flux de lucru simplu pentru admitere -[e-mail protejat] cutie poștală, număr de tichet, confirmare automată – pentru a dovedi conformitatea ulterior.

Verificarea identității fără colectare excesivă

Operatorul trebuie să fie „rezonabil” în verificarea cine solicită, fără a obține mai multe date decât are nevoie. AP recomandă:

  • Potriviți detaliile solicitării cu datele existente ale contului (nume de utilizator, ID client) ori de câte ori este posibil.
  • Dacă dovezile suplimentare sunt inevitabile, solicitați un pașaport redactat sau scanare permis de conducere cu BSN-ul, fotografia și MRZ-ul întunecate.
  • Nu păstrați niciodată copii mai mult decât este necesar pentru verificare; înregistrați verificarea, apoi ștergeți fișierul.

Înregistrare și păstrare a evidențelor pentru responsabilitate

Un jurnal SAR de bază îi mulțumește pe autoritățile de reglementare - și pe responsabilul cu protecția datelor (DPO). Înregistrați:

  1. Data primirii și canalul (e-mail, apel etc.)
  2. Pașii luați pentru verificarea identității
  3. Domeniul de aplicare al datelor localizate
  4. Echipe interne implicate
  5. Data și metoda de răspuns + orice prelungiri solicitate
  6. Rezumatul informațiilor furnizate sau motivele refuzului

Menținerea acestui registru susține principiul „responsabilității” prevăzut la Articolul 5 și oferă o pistă de audit predefinită în cazul în care AP vă bate la ușă.

Termenele limită, taxele și formatele de livrare ale operatorilor

Când ceasul pornește, controlerele au o luna pentru a răspunde la o cerere de acces la o persoană. Acestea pot prelungi o dată cu până la două luni suplimentare, dar numai pentru solicitări complexe sau numeroase și Aceștia trebuie să explice întârzierea în prima lună. Chiar dacă nu sunt deținute date cu caracter personal, operatorul trebuie să răspundă în același termen și să precizeze acest lucru în mod explicit.

Articolul 12(5) stabilește o regulă de zero taxe: accesul este gratuit. O taxă este permisă numai atunci când există o cerere. „în mod vădit nefondat sau excesiv”—gândiți-vă la un angajat care solicită copii identice în fiecare săptămână sau la un spammer care solicită date despre sute de profiluri false.

Livrarea trebuie să se facă într-un format securizat „utilizat în mod obișnuit”. O scurtă comparație:

Format Pro-uri Contra
PDF criptat Lizibil; redactare ușoară Posibile parole slabe
Export CSV Citibil de mașină; dimensiuni mici Mai greu pentru nespecialiști
Portal securizat 2FA și pistă de audit Costuri mari de întreținut

Indiferent de ruta aleasă, operatorii ar trebui să respecte preferințele rezonabile și să evite blocarea proprietății.

Transmitere securizată și minimizare a datelor

Nu trimiteți niciodată foi de calcul neprotejate prin e-mail. Folosiți fișiere protejate prin parolă (partajați cheia separat), portaluri HTTPS cu autentificare cu doi factori sau corespondență recomandată pentru pachetele de documente pe hârtie. Înainte de transmitere, ștergeți datele terților cu un software de redactare și eliminați câmpurile suplimentare. Acest lucru respectă minimizarea prevăzută la Articolul 5(1)(c), protejând în același timp colegii, secretele comerciale și trecătorii.

Motive legitime pentru restricționarea sau refuzul accesului

Articolul 15 este puternic, dar nu nelimitat. Alineatul 4 și considerentul 63 precizează clar că un operator poate limita sau chiar refuza divulgarea atunci când transmiterea informațiilor ar intra în conflict cu alte drepturi fundamentale sau ar fi în mod evident nerezonabilă. Sarcina probei revine operatorului: trebuie să... document de ce accesul deplin ar submina aceste interese concurente și cum ați atenuat impactul (de exemplu, redactarea parțială).

Protejarea confidențialității terților

Dezvăluirea unui lanț de e-mailuri care numește și colegi sau clienți poate dezvălui lor date cu caracter personal. Jurisprudența olandeză (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) confirmă faptul că operatorii pot șterne sau rezuma identificatorii terților, cu condiția ca solicitantul să înțeleagă în continuare contextul. Tehnici:

  • Nume și numere de telefon cu linie neagră
  • Înlocuiți cu termeni neutri („un alt angajat”)
  • Furnizați extrase în loc de întregul dosar

Secrete comerciale, proprietate intelectuală și drepturi de autor

Companiile nu sunt obligate să își deschidă kimono-ul algoritmic. Dacă dezvăluirea codului sursă, a formulelor de stabilire a prețurilor sau a materialelor protejate prin drepturi de autor ar expune know-how-ul confidențial, articolul 15(4) permite un răspuns calibrat. Soluție tipică: descrieți logica unei decizii automate într-un limbaj simplu, nu codul complet; oferiți fragmente dintr-un program de contract, nu din șablonul proprietar. Explicați întotdeauna de ce o dezvăluire mai profundă ar dăuna intereselor comerciale.

Prevenirea abuzului de drepturi

O cerere este vădit nefondat sau excesiv atunci când este repetitiv, hărțuitor sau în mod deliberat împovărător - gândiți-vă la rapoarte SAR săptămânale de tip copiere-lipire după ce au fost deja livrate toate datele. Operatorii pot atunci:

  1. Percepe o „taxă rezonabilă” care să reflecte costurile administrative, or
  2. Refuză complet să acționezi.
    În orice caz, trebuie să vă justificați poziția în scris și să informați persoana vizată cu privire la dreptul său de a depune o plângere la Autoritatea pentru Reprezentanți ai Persoanelor.

Căutarea despăgubirilor: Reclamații și litigii în Olanda

Atunci când un operator ratează ținta, persoanele vizate au la dispoziție opțiuni rapide și progresive pentru a-și exercita dreptul de acces în temeiul GDPR (domeniul de aplicare al articolului 15 din AVG).

  1. Împingere internă. Trimiteți o notificare datată care să facă referire la Articolul 15 și la termenul limită expirat; majoritatea organizațiilor se conformează odată ce li se solicită.
  2. Sesizarea Autoriteit Persoonsgegevens. Depuneți dosarul online. Autoritatea de Pauză (AP) poate dispune divulgarea dosarului, poate impune penalități zilnice sau poate percepe amenzi administrative. Cazurile simple se încheie adesea în termen de trei luni.
  3. Acțiune în instanță civilă. În temeiul articolului 82 din RGPD tribunalele olandeze poate acorda ordonanțe judecătorești și despăgubiri. Hotărârile recente au acordat între 250 și 2 500 de euro pentru acțiuni în instanță, cu proceduri accelerate. proceduri sumare ajutor disponibil pentru conflicte urgente legate de ocuparea forței de muncă.

Cooperarea transfrontalieră și ghișeul unic

Un rezident olandez poate depune o plângere la AP chiar dacă sediul central al operatorului în UE se află în altă parte. AP transmite dosarul prin intermediul GDPR. Ghișeu unic, Şi Comitetul european pentru protecția datelor poate depăși orice blocaj normativ - așadar geografia nu reprezintă o barieră în obținerea datelor.

Plan de conformitate pentru organizații

Un proces SAR ordonat începe cu mult înainte de sosirea primei solicitări. Construiți aceste elemente esențiale și 90% din problemele de acces vor dispărea:

  • Publicați o politică SAR scurtă, în limba engleză simplă și îndrumați personalul către aceasta.
  • Păstrați-vă Evidența Activităților de Prelucrare (RoPA) la zi - astfel încât să știți unde se află datele.
  • Perioadele de păstrare a hărților și factorii declanșatori de ștergere; datele învechite sunt date pe care nu trebuie niciodată să le predați.
  • Mențineți un flux de lucru pentru redactarea pas cu pas, cu verificare cu control dual.
  • Înregistrați fiecare solicitare, decizie și termen limită pentru Articolul 5 responsabilitate.
  • Efectuați exerciții anuale de simulare pentru a testa viteza, claritatea și lanțul de comandă.

Instruiți departamentul front-office, HR și IT cu privire la identificarea și triarea solicitărilor verbale; un apel telefonic ratat poate declanșa cronometrul de penalizare.

Automatizare și instrumente

Folosește software de descoperire a datelor, API-uri de verificare a identității și portaluri de descărcare securizate pentru a găsi, împacheta și transmite date rapid, lăsând întotdeauna loc pentru verificarea simțurilor umane și pentru context.

Integrarea cu alte drepturi ale persoanelor vizate

Proiectați fluxul de lucru SAR pentru a se ramifica în acțiuni de rectificare, ștergere sau portabilitate; o singură rețea coerentă evită căutările duplicate și răspunsurile inconsistente.

Împuternicirea persoanelor vizate: sfaturi practice pentru solicitări eficiente

Un SAR clar și bine definit economisește timp tuturor și îngreunează blocarea controlerului. Încercați aceste tactici:

  • Pinpoint ceea ce doriți: „Toate e-mailurile dintre mine și managerul Jansen din perioada 1 ian. – 31 mar. 2024.”
  • Mentiune Unde se află: „Tichete pentru sistemul HR și asistență tehnică”.
  • Spuneți-vă Format preferat (CSV, PDF) și canal securizat.
  • Semnalați urgența atunci când este relevantă („viitoare revizuirea performanței „pe 15 octombrie”).

Odată ce datele ajung în sistemul dvs., scanați pentru erori sau lacune și trimiteți imediat o solicitare de rectificare sau ștergere - urmărirea aceluiași traseu al dovezilor menține impulsul.

Strategia de escaladare dacă este ignorată

Ziua 31 și tot tăcere radio? Păstrează-ți politețea, dar fermitatea:

Subject: Reminder – Article 15 GDPR/AVG request overdue

Dear [Controller],

On [date] I requested access to my personal data. The one-month term has passed without a response. 
Please provide the information within seven days or explain the lawful basis for any refusal. 
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.

Regards,
[Name]

Documentați fiecare pas (date, e-mailuri, jurnale telefonice). Dacă săptămâna suplimentară expiră, depuneți o plângere online la AP și atașați setul de dovezi; instanțele și autoritățile de reglementare favorizează reclamanții bine organizați.

Încheierea dreptului dumneavoastră de acces

Articolul 15 din GDPR/AVG pune persoanele fizice în rolul principal: puteți întreba, vedea și contesta ce face o organizație cu datele dumneavoastră. Pentru operatori, procedurile clare, evidențele ordonate și eliminările sensibile nu sunt opționale - acestea sunt singura modalitate de a respecta termenul limită de o lună și de a evita amenințările atente ale Autorității de Reglementare a Persoanelor (Autoritate de Reglementare a Persoanelor).

Rețineți ghidul de bază:

  • cererea poate fi informală,
  • răspunsul trebuie să fie liber, prompt și complet,
  • limitele sunt înguste și trebuie justificate,
  • dezvăluirea parțială este mai bună decât refuzul general.

Respectați aceste reguli și dreptul de acces devine o sarcină de conformitate de rutină, în loc de o bătaie de cap în sala de judecată.

Aveți nevoie de un șablon SAR personalizat, de ajutor pentru a descifra datele terților sau de o strategie pentru un operator încăpățânat? Avocații specializați în confidențialitate de la Law & More sunteți gata să interveniți – indiferent dacă sunteți o persoană vizată care caută răspunsuri sau o companie care caută certitudini.

postări asemănatoare

Law & More