22 1062702 68d0db3de48f4

Pravo pristupa prema GDPR-u: Šta obuhvata Član 15 AVG-a

Blog /

Član 15. Opće uredbe o zaštiti podataka – ugrađen u holandsko zakonodavstvo putem Zakona o općem postupku zaštite podataka (AVG) – daje svakoj osobi nedvosmisleno pravo da sazna da li organizacija obrađuje njene lične podatke, da dobije kopiju i da vidi kontekst kao što su svrhe, primaoci i periodi čuvanja. Ovo pravo je osnova transparentnosti i odgovornosti: omogućava pojedincima da provjere šta se o njima čuva i prisiljava kompanije da svoje prakse upravljanja podacima održavaju čistima, dokumentiranim i odbranjivim.

Bez obzira da li tražite vlastiti HR dosije ili se pripremate da odgovorite na zahtjev klijenta za pristup podacima, poznavanje tačnog opsega i ograničenja Člana 15 smanjuje rizik od kazni, sporova i štete po ugled. Na stranicama koje slijede prevodimo pravni tekst na jednostavan engleski jezik, vodimo subjekte podataka kroz detaljan predložak zahtjeva, vodimo kontrolore o rokovima, naknadama i dužnostima redakcije, označavamo pravila specifična za Holandiju koja provodi Autoriteit Persoonsgegevens, te završavamo praktičnim kontrolnim listama za obje strane.

Dekodiranje Člana 15 AVG na običnom engleskom jeziku

„Subjekt podataka ima pravo da od kontrolora dobije potvrdu o tome da li se obrađuju lični podaci koji se na njega odnose i, ako je to slučaj, pristup ličnim podacima…“ — Član 15(1) GDPR

Jednostavno rečeno: možete pitati bilo koju organizaciju „Da li pohranjujete podatke o meni? Ako da, pokažite mi koje, zašto, s kim ih dijelite i koliko dugo ih čuvate.“ To je suština prava pristupa prema GDPR-u; opseg člana 15 AVG-a u Holandiji je identičan jer holandski Uitvoeringswet AVG samo lokalizuje sprovođenje bez promjene suštine.

Kada podnesete zahtjev, imate pravo na osam konkretnih stavki:

  1. Potvrda obrade
  2. Kopija ličnih podataka
  3. Svrhe obrade
  4. Kategorije podataka koje su uključene
  5. Primaoci ili kategorije primalaca
  6. Planirani period skladištenja ili kriteriji za njegovo određivanje
  7. Druga prava u vezi s GDPR-om koja možete ostvariti
  8. Zaštitne mjere za sve transfere izvan EGP-a

Pravo je lično – samo subjekt podataka (ili važeći predstavnik) može se na njega pozvati – i ono je apsolutno u vezi s primanjem vaših vlastitih podataka. Međutim, kontrolori mogu ograničiti ili odbiti pristup kada bi to ugrozilo druga temeljna prava (poslovne tajne, privatnost trećih strana).

Pravni tekst u odnosu na laičke termine

Član 15. klauzule Šta to zaista znači
15 (1) potvrda Pitajte „da/ne“ ako obrađuju vaše podatke.
15 (1) pristup Prikupite stvarne podatke i kontekst.
15(1)(c) primalaca Saznajte ko vidi ili dobija podatke, unutar ili izvan firme.
15 (2) transferi iz trećih zemalja Saznajte više o podacima poslanim izvan EGP-a i korištenim zaštitama.
15 (3) kopiraj Primajte informacije besplatno u digitalnom formatu za višekratnu upotrebu.

Ključni za poneti na prvi pogled

  • Koliko dugo može biti potrebno kontroloru? Jedan mjesec, proširivo na tri za složene slučajeve.
  • Mogu li me optužiti? Ne, osim ako zahtjev nije „očigledno neosnovan ili pretjeran“.
  • U kojem formatu ću dobiti podatke? Sigurna elektronska datoteka (npr. PDF ili CSV) osim ako ne zatražite drugačije.
  • Moram li koristiti poseban obrazac? Ne; e-mail, pismo ili čak telefonski poziv se računaju.
  • Šta ako mi ništa ne zadržavaju? Moraju to pismeno najaviti u istom roku.

Ko može ostvariti pravo i prema kome?

Prema članu 4(1) GDPR-a subjekt podataka je svaka živa, identifikabilna fizička osoba - bilo da se radi o kupcu, zaposleniku, pacijentu ili maloljetnom učeniku. Svako od njih može se pozvati na pravo pristupa prema GDPR-u: opseg Člana 15. AVG-a ne diskriminira po dobi, nacionalnosti ili prebivalištu. Zahtjevi se moraju uputiti kontroler: stranka koja odlučuje zašto i kako podaci se obrađuju. Pružatelj usluga u oblaku ili zavod za obračun plaća koji samo pohranjuje podatke je procesor; mora proslijediti zahtjev kontroleru, ali ne može odbiti direktnu instrukciju.

Holandski stanovnici također mogu usmjeriti svoj zahtjev stranoj kompaniji koja cilja holandsko tržište (npr. društvena mreža sa sjedištem u Irskoj). Rok od mjesec dana počinje od trenutka kada kontrolor primi zahtjev, bez obzira na to gdje se nalaze njegovi serveri.

Posebne situacije: Predstavnici, Preminule osobe, Roditelji i staratelji

  • Maloljetnici i osobe s invaliditetom: roditelj, staratelj ili staratelj može djelovati u njihovo ime u skladu s Knjigom 1 holandskog građanskog zakonika.
  • Škole i poslodavciučenici i zaposleni sebe može podnijeti Zahtjev za pristup subjektu (SAR); predstavnici su opcionalni, a ne obavezni.
  • Preminule osobe ne spadaju pod GDPR, ali ljekari, notari i osiguravajuća društva i dalje moraju poštovati pravila profesionalne tajne prije otkrivanja povezanih dokumenata.

Zajednička odgovornost kontrolora u zajedničkim sistemima

Kada dvije ili više organizacija zajednički određuju svrhe ili sredstva obrade (Član 26. GDPR-a) - na primjer, poslodavac i njegov dobavljač HR softvera - oni su zajednički kontroloriMoraju se transparentno dogovoriti ko odgovara na zahtjeve iz člana 15 i obavijestiti subjekta podataka, ali svako ostaje odgovoran ako drugi propusti zadatak.

Šta se mora otkriti: Podaci i dodatne informacije

Kada se pozovete na pravo pristupa prema GDPR-u, opseg Člana 15 AVG-a obavezuje kontrolora da preda dvije stvari: stvarni lični podaci i paket od kontekstualni detaljiZamislite to kao primanje i fotografije i njenog opisa. Zakon dijeli obavezu otkrivanja informacija u osam kategorija, navedenih u nastavku.

Član 15(1) stavka Šta biste trebali primiti
(a) Potvrda Jasno da ne da li se vaši podaci obrađuju
(b) Svrhe Razlozi zbog kojih podaci postoje (npr. obračun plata, marketing)
(c) Kategorije Vrste kao što su kontakt podaci, historija kupovine, GPS zapisi
(d) Primaoci Interni timovi i vanjski partneri ili obrađivači
(e) Zadržavanje Tačan period ili kriteriji (npr. „7 godina za poreski zakon“)
(f) Prava Podsjetnik da možete ispraviti, izbrisati, ograničiti, prigovoriti, žaliti se
(g) Izvor Odakle podaci potiču ako nisu prikupljeni od vas
(h) Transferi Zaštitne mjere za svaku pošiljku izvan EGP-a

Lični podaci su više od imena i broja. Obuhvataju profile ponašanja, izvedene kreditne ocjene, snimke nadzornih kamera, glasovne snimke, ID-ove uređaja, pa čak i naizgled dosadne metapodatke poput vremenskih oznaka prijave - sve što se može direktno ili indirektno povezati s prepoznatljivom osobom.

Objašnjenje „Kopije ličnih podataka“

A kopiraj znači razumljivu reprodukciju, a ne originalnu papirnu datoteku. Očekujte:

  • PDF vaše platne evidencije
  • CSV izvoz CRM bilješki
  • ZIP sa audio datotekama poziva za podršku
    Ako ste zahtjev poslali e-poštom, standardna dostava bi također trebala biti elektronička i u „uobičajeno korištenom“ formatu, osim ako ne tražite papirni oblik.

Lični podaci naspram dokumenata: Gdje povući granicu

Kontrolori moraju izdvojiti samo dijelove koji se odnose na vas. Na primjer, u memorandumu sa sastanka koji sadrži nekoliko zaposlenika, vaše izgovorene primjedbe mogu biti otkrivene, dok su komentari kolega redigovani. Suprotno tome, potpisani ugovor o radu je objavljeno u cijelosti jer se svaka klauzula odnosi na vas.

Obavezne dodatne informacije

Pored kopije podataka, kontrolor mora objasniti: svrhe, kategorije, primaoce, zadržavanje, dostupna prava, izvore podataka, logiku iza automatiziranih odluka (ako postoji) i zaštitne mjere za prijenos. Obratite pažnju na nejasne odgovore - „u poslovne svrhe“ ili „pohranjeno koliko god je potrebno“ vjerovatno neće zadovoljiti Autoritet za zaštitu ličnih podataka. Sveobuhvatna, jednostavna objašnjenja su najbolja zaštita od pritužbi i kazni.

Kako podnijeti i obraditi Zahtjev za pristup podacima (SAR) u Nizozemskoj

Zahtjev za pristup podacima može se podnijeti na bilo koji način koji subjekt podataka želi – telefonom, E-mail, pismo, direktna poruka na društvenim mrežama ili čak chat bot. Član 12. GDPR-a zabranjuje kontrolorima da zahtijevaju određeni obrazac, tako da je „Želim kopiju svih ličnih podataka koje posjedujete o meni“ dovoljno da se pokrene vrijeme. Međutim, najbolja praksa je podnijeti pisani zapis kako bi obje strane mogle pratiti rokove. Nakon što zahtjev stigne, kontrolor mora odmah (1) potvrditi prijem i (2) evidentirati jedan mjesec period odgovora. Ćutanje ili kašnjenje nakon tog prvog mjeseca rizikuje tužbu Autoriteit Persoonsgegevens (AP) i potencijalne novčane kazne.

U nastavku slijedi koncizan, dvojezični predložak koji subjekti podataka mogu kopirati i lijepiti; nije potreban pravni žargon.

Subject: Subject Access Request – Article 15 GDPR/AVG

Dear [Controller],

I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data. 
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).

Kind regards,
[Name] | [Email] | [Any reference number]

---

Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR

Geachte [Verwerkingsverantwoordelijke],

Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt. 
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.

Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]

Kontrolori bi trebali kreirati jednostavan tijek rada za prijem podataka—[email zaštićen] poštanski sandučić, broj karte, automatska potvrda - kako bi se kasnije dokazala usklađenost.

Verifikacija identiteta bez prekomjernog prikupljanja podataka

Kontrolor mora biti „razuman“ u provjeri ko traži podatke, a da pritom ne prikupi više podataka nego što je potrebno. AP preporučuje:

  • Kad god je to moguće, uskladite detalje zahtjeva s postojećim podacima o računu (korisničko ime, ID klijenta).
  • Ako je dodatni dokaz neizbježan, zatražite redigovani pasoš ili skeniranje vozačke dozvole sa zatamnjenim BSN-om, fotografijom i MRZ-om.
  • Nikada ne čuvajte kopije duže nego što je potrebno za provjeru; evidentirajte činjenicu provjere, a zatim izbrišite datoteku.

Vođenje evidencije i evidentiranje radi odgovornosti

Osnovni SAR dnevnik zadovoljava regulatore - i vašeg DPO-a. Zabilježite:

  1. Datum prijema i kanal (e-pošta, poziv, itd.)
  2. Poduzeti koraci za provjeru identiteta
  3. Opseg lociranih podataka
  4. Uključeni interni timovi
  5. Datum i način odgovora + eventualna tražena produženja
  6. Sažetak dostavljenih informacija ili razlozi za odbijanje

Vođenje ovog registra podržava princip „odgovornosti“ iz člana 5 i pruža gotov revizorski trag ako vam AP pokuca na vrata.

Rokovi, naknade i formati isporuke za kontrolore

Kada sat krene, kontrolori imaju jedan mjesec da odgovore na zahtjev za pristup subjektu. Mogu produžiti jednom za do dva dodatna mjeseca, ali samo za složene ili brojne zahtjeve i Moraju objasniti kašnjenje u roku od prvog mjeseca. Čak i ako se ne čuvaju lični podaci, kontrolor i dalje mora odgovoriti u istom roku i to eksplicitno navesti.

Član 12(5) postavlja pravilo nulte naknade: pristup je besplatan. Naplata je dozvoljena samo kada postoji zahtjev. „očigledno neosnovano ili pretjerano“— zamislite zaposlenika koji svake sedmice traži identične kopije ili spamera koji traži podatke o stotinama lažnih profila.

Dostava mora biti u "uobičajeno korištenom" sigurnom formatu. Brza usporedba:

format pros Cons
Šifrirani PDF Čitljivo; lako redigovanje Moguće slabe lozinke
CSV izvoz Mašinski čitljivo; mala veličina Teže za laike
Sigurni portal 2FA i revizijski trag Skupo za održavanje

Bez obzira na odabrani put, kontrolori bi trebali poštovati razumne preferencije i izbjegavati vlasničko zaključavanje.

Siguran prijenos i minimiziranje podataka

Nikada ne šaljite nezaštićene proračunske tablice putem e-pošte. Koristite datoteke zaštićene lozinkom (dijelite ključ odvojeno), HTTPS portale s dvofaktorskom autentifikacijom ili preporučenu poštu za papirne pakete. Prije slanja, obrišite podatke trećih strana softverom za redigovanje i uklonite višak polja. Ovo ispunjava uslove minimizacije iz člana 5(1)(c), a istovremeno štiti saradnike, poslovne tajne i prolaznike.

Legitimni razlozi za ograničavanje ili odbijanje pristupa

Član 15 je moćan, ali ne i neograničen. Stav 4 i Recital 63 jasno navode da kontrolor može smanjiti ili čak odbiti otkrivanje informacija kada bi predaja informacija bila u suprotnosti s drugim temeljnim pravima ili bi bila očigledno nerazumna. Teret dokazivanja je na kontroloru: morate dokument zašto bi potpuni pristup potkopao te suprotstavljene interese i kako ste ublažili utjecaj (npr. djelimičnom redakcijom).

Zaštita privatnosti trećih strana

Otkrivanje lanca e-pošte koji također imenuje kolege ili kupce može otkriti njihovo lični podaci. Holandska sudska praksa (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) potvrđuje da kontrolori mogu prekriti ili sažeti identifikatore trećih strana, pod uslovom da podnosilac zahtjeva i dalje razumije kontekst. Tehnike:

  • Imena i brojevi telefona na crnoj liniji
  • Zamijenite neutralnim izrazima („drugi zaposlenik“)
  • Dostavite izvode umjesto cijelog fajla

Poslovne tajne, intelektualno vlasništvo i autorska prava

Kompanije ne moraju otvarati svoj algoritamski kimono. Ako bi otkrivanje izvornog koda, formula za određivanje cijena ili materijala zaštićenog autorskim pravima otkrilo povjerljivo znanje, Član 15(4) omogućava kalibrirani odgovor. Tipično rješenje: opišite logiku automatizirane odluke jednostavnim jezikom, a ne puni kod; navedite izvatke iz rasporeda ugovora, a ne vlasnički predložak. Uvijek objasnite zašto bi detaljnije otkrivanje naštetilo komercijalnim interesima.

Sprečavanje zloupotrebe prava

Zahtjev je očigledno neosnovano ili pretjerano Kada je repetitivno, uznemirujuće ili namjerno opterećujuće - razmislite o sedmičnim kopiranim i lijepljenim SAR-ovima nakon što su svi podaci već dostavljeni. Kontrolori tada mogu:

  1. Naplatiti „razumnu naknadu“ koja odražava administrativne troškove, or
  2. Potpuno odbijte djelovati.
    U svakom slučaju, morate pismeno obrazložiti svoj stav i obavijestiti subjekta podataka o njegovom pravu na podnošenje žalbe Agenciji za zaštitu ličnih podataka.

Traženje pravne zaštite: Pritužbe i parnice u Holandiji

Kada kontrolor promaši cilj, subjekti podataka imaju brze, eskalirajuće opcije za sprovođenje prava pristupa prema GDPR-u (obuhvat člana 15. AVG-a).

  1. Unutrašnji podsticaj. Pošaljite datirani podsjetnik s naznakom Člana 15 i isteklim rokom; većina organizacija postupa u skladu s uputom.
  2. Autoriteit Persoonsgegevens žalba. Podnesite zahtjev online. AP može naložiti otkrivanje podataka, nametnuti dnevne novčane kazne ili naplatiti administrativne novčane kazne. Jednostavni slučajevi se često završavaju u roku od tri mjeseca.
  3. Građanski sudski postupak. Prema članu 82 GDPR-a Holandski sudovi može izdati sudske zabrane i dosuditi odštetu. Nedavnim presudama odobreno je 250–2.500 eura za naknadu štete, s ubrzanim postupkom. skraćeni postupak Olakšica dostupna za hitne slučajeve zaposlenja.

Prekogranična saradnja i jedinstveni šalter za usluge

Stanovnik Holandije i dalje može podnijeti žalbu AP-u čak i ako se sjedište kontrolora u EU nalazi negdje drugdje. AP prosljeđuje spis putem GDPR-a. Sve na jednom mjestu, A Evropski odbor za zaštitu podataka može riješiti bilo koju regulatornu blokadu - tako da geografija nije prepreka za dobijanje vaših podataka.

Nacrt usklađenosti za organizacije

Uredan SAR proces počinje mnogo prije nego što stigne prvi zahtjev. Izgradite ove osnovne elemente i 90% glavobolja s pristupom nestat će:

  • Objavite kratku, jednostavnu politiku SAR-a i uputite osoblje na nju.
  • Redovno ažurirajte svoju evidenciju aktivnosti obrade (RoPA) kako biste znali gdje se podaci nalaze.
  • Periodi zadržavanja mapa i okidači za brisanje; zastarjeli podaci su podaci koje nikada ne morate predati.
  • Održavajte postupni tijek rada redakcije s dvostrukom kontrolom pregleda.
  • Zabilježite svaki zahtjev, odluku i rok za Član 5 odgovornost.
  • Održavajte godišnje vježbe za stolom kako biste testirali brzinu, jasnoću i lanac komandovanja.

Obučite osoblje recepcije, kadrovsku službu i IT odjel za uočavanje i trijažu usmenih zahtjeva; jedan propušteni telefonski poziv može pokrenuti odbrojavanje kazne.

Automatizacija i alati

Koristite softver za otkrivanje podataka, API-je za verifikaciju identiteta i sigurne portale za preuzimanje kako biste brzo pronašli, pakovali i prenijeli podatke - uvijek ostavljajući prostor za ljudsku provjeru smisla i konteksta.

Integracija s drugim pravima subjekata podataka

Dizajnirajte SAR tok rada tako da se grana na akcije ispravljanja, brisanja ili prenosivosti; jedan koherentan cjevovod izbjegava duplicirane pretrage i nedosljedne odgovore.

Osnaživanje subjekata podataka: Praktični savjeti za efikasne zahtjeve

Jasan, dobro usmjeren SAR štedi svima vrijeme i otežava kontroloru odugovlačenje. Isprobajte ove taktike:

  • Pinpoint šta Želite: „Sve e-poruke između mene i menadžera Jansena od 1. januara do 31. marta 2024.“
  • Mention gdje Piše: „HR sistem i tiketi za korisničku podršku.“
  • Iznesite svoje preferirani format (CSV, PDF) i sigurni kanal.
  • Označi hitnost kada je to relevantno („predstojeće pregled performansi 15. oktobra“).

Čim podaci stignu, skenirajte ih u potrazi za greškama ili prazninama i odmah pošaljite zahtjev za ispravku ili brisanje – korištenje istog traga dokaza održava zamah.

Strategija eskalacije u slučaju ignoriranja

31. dan, a radio tišina i dalje? Budite pristojni, ali odlučni:

Subject: Reminder – Article 15 GDPR/AVG request overdue

Dear [Controller],

On [date] I requested access to my personal data. The one-month term has passed without a response. 
Please provide the information within seven days or explain the lawful basis for any refusal. 
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.

Regards,
[Name]

Dokumentujte svaki korak (datume, e-mailove, zapise o telefonskim pozivima). Ako dodatna sedmica istekne, podnesite online žalbu AP-u i priložite svoj dokazni materijal; sudovi i regulatori favorizuju dobro organizovane podnosioce zahtjeva.

Završavanje vašeg prava pristupa

Član 15 GDPR-a/AVG-a stavlja pojedince u vodeću ulogu: možete pitati, vidjeti i osporiti šta organizacija radi s vašim podacima. Za kontrolore, jasne procedure, uredne evidencije i razumno redakturiranje nisu opcionalni - oni su jedini način da se ispoštuje rok od mjesec dana i izbjegne kritika Autoriteit Persoonsgegevens.

Zapamtite osnovnu taktiku:

  • zahtjev može biti neformalan,
  • odgovor mora biti slobodan, pravovremen i potpun,
  • ograničenja su uska i moraju se opravdati,
  • Djelomično otkrivanje je bolje od općeg odbijanja.

Pridržavajte se tih pravila i pravo pristupa postaje rutinski zadatak usklađivanja, a ne glavobolja u sudnici.

Trebate li prilagođeni SAR predložak, pomoć pri raspetljavanju podataka trećih strana ili strategiju za tvrdoglavog kontrolora? Advokati za privatnost u Law & More spremni ste da se umiješate - bez obzira da li ste subjekt podataka koji traži odgovore ili kompanija koja traži sigurnost.

Related Posts

Law & More