זכות הגישה במסגרת ה-GDPR: מה מכסה סעיף 15 בתקנת AVG

סעיף 15 לתקנת הגנת המידע הכללית - המוטמע בחוק ההולנדי באמצעות ה-Algemene Verordening Gegevensbescherming (AVG) - מעניק לכל אדם את הזכות החד משמעית לגלות האם ארגון מעבד את הנתונים האישיים שלו, לקבל עותק ולראות את ההקשר הסובב אותו, כגון מטרות, נמענים ותקופות שמירה. זכות זו היא עמוד השדרה של שקיפות ואחריות: היא מאפשרת לאנשים לבדוק מה מוחזק אודותיהם ומאלצת חברות לשמור על נוהלי הנתונים שלהן נקיים, מתועדים וניתנים להגנה.

בין אם אתם מבקשים תיק משאבי אנוש משלכם או מתכוננים לענות על בקשת גישה של לקוח, הכרת ההיקף והמגבלות המדויקים של סעיף 15 מפחיתה את הסיכון לקנסות, סכסוכים ונזק תדמיתי. בעמודים הבאים נתרגם את הטקסט המשפטי לאנגלית פשוטה, נדריך נושאי נתונים בתבנית בקשה שלב אחר שלב, נדריך בקרים לגבי לוחות זמנים, עמלות וחובות עריכה, נסמן את הכללים הספציפיים להולנד שאוכפת על ידי Autoriteit Persoonsgegevens, ונסיים עם רשימות תיוג מעשיות לשני הצדדים.

פענוח סעיף 15 AVG באנגלית פשוטה

"לנושא המידע תהיה הזכות לקבל אישור מהבקר האם נתונים אישיים הנוגעים לו מעובדים, ובמקרה כזה, גישה לנתונים האישיים..." - סעיף 15(1) GDPR

בשפה פשוטה: אתם רשאים לשאול כל ארגון "האם אתם מאחסנים מידע עליי? אם כן, הראו לי מה, מדוע, עם מי אתם משתפים אותו וכמה זמן אתם שומרים אותו." זוהי מהותה של זכות הגישה במסגרת ה-GDPR; היקף סעיף 15 לחוק AVG בהולנד זהה משום שחוק Uitvoeringswet AVG ההולנדי רק מיישם את האכיפה באופן מקומי מבלי לשנות את מהותה.

כאשר אתה מגיש בקשה, אתה זכאי לשמונה סעיפים קונקרטיים:

1. אישור העיבוד
2. עותק של הנתונים האישיים
3. מטרות העיבוד
4. קטגוריות נתונים המעורבות
5. נמענים או קטגוריות נמענים
6. תקופת אחסון מתוכננת או הקריטריונים לקביעתה
7. זכויות נוספות מ-GDPR שתוכלו לממש
8. אמצעי הגנה על כל העברה מחוץ לאזור הכלכלי האירופי

הזכות היא אישית - רק נושא המידע (או נציג חוקי מטעמו) יכול לממש אותה - והיא מוחלט בנוגע לקבלת הנתונים שלך. עם זאת, בקרים רשאים לצמצם או לסרב גישה כאשר זכויות יסוד אחרות (סודות מסחריים, פרטיות של צדדים שלישיים) עלולות להיפגע.

טקסט משפטי לעומת מונחים פשוטים

סעיף 15	מה זה אומר באמת
15 (1) אישור	שאלו "כן/לא" אם הם מעבדים את הנתונים שלכם.
15 (1) גישה	קבל את הנתונים בפועל בתוספת ההקשר.
15 (1) (c) נמענים	גלה מי רואה או מקבל את הנתונים, בתוך החברה או מחוצה לה.
15 (2) העברות ממדינה שלישית	גלה מידע על נתונים שנשלחים מחוץ לאזור הכלכלי האירופי וההגנות הנהוגות.
15 (3) העתק	קבלו את המידע בפורמט דיגיטלי רב פעמי, ללא תשלום.

נקודות עיקריות במבט חטוף

• כמה זמן עשוי לקחת לבקר? חודש אחד, ניתן להרחבה לשלושה עבור מקרים מורכבים.
• האם הם יכולים לחייב אותי? לאאלא אם כן הבקשה "חסרת בסיס באופן ברור או מוגזמת".
• באיזה פורמט אקבל את הנתונים? קובץ אלקטרוני מאובטח (לדוגמה, PDF או CSV) אלא אם כן תבקשו אחרת.
• האם עליי להשתמש בטופס מיוחד? לאדוא"ל, מכתב, או אפילו שיחת טלפון נחשבים.
• מה אם הם לא מחזיקים עליי דבר? עליהם להודיע ​​על כך בכתב בתוך אותו מועד אחרון.

מי יכול לממש את הזכות וכלפי מי?

לפי סעיף 4(1) לתקנת ה-GDPR א. נושא הנתונים הוא כל אדם טבעי חי שניתן לזהותו - בין אם לקוח, עובד, מטופל או תלמיד קטין. כל אחד מהם יכול לממש את זכות הגישה במסגרת ה-GDPR: היקף סעיף 15 לתקנת AVG אינו מפלה לפי גיל, לאום או מקום מגורים. יש להפנות בקשות אל בקרהמפלגה שמחליטה למה ו אֵיך הנתונים מעובדים. ספק ענן או לשכת שכר שרק מאחסנים את הנתונים הם מעבד; עליו להעביר את הבקשה לבקר אך אינו יכול לסרב להוראה ישירה.

תושבי הולנד יכולים גם להפנות את בקשתם לחברה זרה המכוונת לשוק ההולנדי (למשל, רשת חברתית שבסיסה באירלנד). שעון החודש מתחיל ברגע שהבקר מקבל את הבקשה, ללא קשר למקום בו נמצאים השרתים שלה.

מצבים מיוחדים: נציגים, נפטרים, הורים ואפוטרופוסים

• קטינים ובגירים חסרי יכולת: הורה, אפוטרופוס או אוצר רשאים לפעול בשמם לפי ספר 1 של הקוד האזרחי ההולנדי.
• בתי ספר ו מעסיקיםתלמידים ועובדים עצמם יכול להגיש בקשת גישה למידע (SAR); נציגים הם אופציונליים, אינם חובה.
• אנשים שנפטרו אינם כפופים לתקנת ה-GDPR, אך רופאים, נוטריונים וחברות ביטוח עדיין חייבים לכבד את כללי הסודיות המקצועית לפני חשיפת קבצים קשורים.

אחריות משותפת של בקרים במערכות משותפות

כאשר שני ארגונים או יותר יַחַד לקבוע את מטרות או אמצעי העיבוד (סעיף 26 בתקנות ה-GDPR) - לדוגמה, מעסיק וספק תוכנת משאבי אנוש שלו - הם בקרים משותפיםעליהם להסכים באופן שקוף מי עונה לבקשות לפי סעיף 15, וליידע את נושא המידע, אך כל אחד מהם נשאר אחראי אם השני מאבד את השליטה.

מה חייב להיחשף: נתונים ומידע משלים

כאשר אתה מפעיל את זכות הגישה במסגרת ה-GDPR, היקף סעיף 15 לחוק AVG מחייב את הבקר למסור שני דברים: ה- נתונים אישיים בפועל וחבילה של פרטים קונטקסטואלייםחשבו על זה כקבלת התמונה וגם הכיתוב שלה. החקיקה מחלקת את חובת הגילוי לשמונה קטגוריות, המפורטות להלן.

סעיף 15(1) סעיף	מה שאתה אמור לקבל
(א) אישור	ברור כן לא האם הנתונים שלך מעובדים
(ב) מטרות	הסיבות לקיומו של הנתונים (למשל, שכר, שיווק)
(ג) קטגוריות	סוגים כגון פרטי קשר, היסטוריית רכישות, יומני GPS
(ד) מקבלים	צוותים פנימיים ו שותפים חיצוניים או מעבדים
(ה) שמירה	תקופה או קריטריונים מדויקים (למשל, "7 שנים לדיני מס")
(ו) זכויות	תזכורת: ניתן לתקן, למחוק, להגביל, להתנגד, להתלונן
(ז) מקור	מהיכן הגיעו הנתונים אם לא נאספו ממך
(ח) העברות	אמצעי הגנה לכל משלוח מחוץ לאזור הכלכלי האירופי

מידע אישי הוא יותר משם ומספר. הוא כולל פרופילים התנהגותיים, דירוגי אשראי משוערים, צילומי מצלמות אבטחה, הקלטות קול, מזהי מכשירים ואפילו מטא-נתונים שנראים משעממים כמו חותמות זמן של כניסה - כל דבר שניתן לקשר, באופן ישיר או עקיף, לאדם מזהה.

הסבר על "עותק של הנתונים האישיים"

A העתק פירושו העתק ברור, לא קובץ הנייר המקורי. צפו ל:

• קובץ PDF של רישום השכר שלך
• ייצוא CSV של הערות CRM
• ZIP עם קבצי שמע של שיחות תמיכה
  אם שלחתם את הבקשה בדוא"ל, גם המסירה המוגדרת כברירת מחדל צריכה להיות אלקטרונית ובפורמט "נפוץ", אלא אם כן תבקשו נייר.

נתונים אישיים לעומת מסמכים: היכן עובר הגבול

על בקרי החשבונות לחלץ רק את הקטעים שקשורים אליך. לדוגמה, בתזכיר פגישה המכיל מספר עובדים, ניתן לחשוף את דבריך המדוברים בעוד שהערותיהם של עמיתים נמחקות. לעומת זאת, תזכיר חתום חוזה עבודה נחשף במלואו משום שכל סעיף נוגע לך.

מידע משלים חובה

מעבר להעתקת הנתונים, על הבקר להסביר: מטרות, קטגוריות, נמענים, שמירה, זכויות זמינות, מקורות נתונים, היגיון מאחורי החלטות אוטומטיות (אם קיימות) ואמצעי הגנה על העברה. יש לשים לב לתשובות מעורפלות - "למטרות עסקיות" או "מאוחסן כל עוד יש צורך" לא צפויים לספק את דרישות Autoriteit Persoonsgegevens. הסברים מקיפים וברורים הם המגן הטוב ביותר מפני תלונות וקנסות.

כיצד להגיש ולטפל בבקשת גישה למידע (SAR) בהולנד

ניתן להגיש בקשת גישה למידע בכל דרך שהנושא ירצה - בטלפון, אמייל, מכתב, הודעה פרטית ברשתות חברתיות, או אפילו צ'אט בוט. סעיף 12 בתקנת ה-GDPR אוסר על בקרי מידע לדרוש טופס ספציפי, כך ש"אני רוצה עותק של כל המידע האישי שיש לכם עליי" מספיק כדי להתחיל את הפעולה. עם זאת, הנוהג הטוב ביותר הוא להגיש תיעוד בכתב כדי ששני הצדדים יוכלו לעקוב אחר מועדי הגשת הבקשה. לאחר הגעת הבקשה, על הבקר מיד (1) לאשר את קבלתה, ו-(2) לתעד את הטופס ביומן. חודש אחד תקופת תגובה. שתיקה או עיכוב לאחר החודש הראשון מסכנים תלונה לרשות הציבור (AP) וקנסות אפשריים.

להלן תבנית תמציתית ודו-לשונית שנושא הנתונים יכול להעתיק ולהדביק; אין צורך בז'רגון משפטי.

Subject: Subject Access Request – Article 15 GDPR/AVG

Dear [Controller],

I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data. 
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).

Kind regards,
[Name] | [Email] | [Any reference number]

---

Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR

Geachte [Verwerkingsverantwoordelijke],

Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt. 
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.

Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]

על בקרי העבודה ליצור תהליך עבודה פשוט של קליטה—[מוגן בדוא"ל] תיבת דואר, מספר כרטיס, אישור אוטומטי - כדי להוכיח תאימות בהמשך.

אימות זהות ללא איסוף יתר

על הבקר להיות "סביר" בבדיקת מי שואל מבלי לאסוף יותר נתונים ממה שהוא צריך. ה-AP ממליץ:

• התאם את פרטי הבקשה לנתוני חשבון קיימים (שם משתמש, מזהה לקוח) במידת האפשר.
• אם הוכחה נוספת אינה נמנעת, בקשו דרכון שעבר עריכה או סריקת רישיון נהיגה עם ה-BSN, התמונה וה-MRZ מוחלשים.
• לעולם אל תשמור עותקים מעבר לנדרש לצורך אימות; רשום את עובדת הבדיקה ולאחר מכן מחק את הקובץ.

רישום ותיעוד לצורך מתן דין וחשבון

יומן SAR בסיסי שומר על הרגולטורים - ועל ה-DPO שלך - מרוצים. רשמו:

1. תאריך קבלה וערוץ (דוא"ל, שיחה וכו')
2. צעדים לאימות זהות שננקטו
3. היקף הנתונים שאותרו
4. צוותים פנימיים המעורבים
5. תאריך ושיטת תשובה + כל הארכה שנתבעה
6. סיכום המידע שסופק או נימוקי הסירוב

תחזוקת רישום זה תומכת בעיקרון "האחריותיות" של סעיף 5 ומספקת נתיב ביקורת מוכן מראש אם AP דופק על דלתכם.

לוחות זמנים, עמלות וצורות אספקה ​​של בקרי מידע

כאשר השעון מתחיל, לבקרים יש חודש אחד כדי לענות על בקשת גישה לנושא. הם רשאים להאריך את התאריך פעם אחת על ידי עד חודשיים נוספים, אבל רק עבור בקשות מורכבות או רבות ו עליהם להסביר את העיכוב בתוך החודש הראשון. אם לא מוחזקים נתונים אישיים, על הבקר עדיין להגיב בתוך אותו מועד אחרון ולציין זאת במפורש.

סעיף 12(5) קובע כלל של אפס תשלום: הגישה היא חופשית. תשלום מותר רק כאשר דרישה "חסר בסיס או מוגזם באופן ברור"—חשבו על עובד שמבקש עותקים זהים בכל שבוע, או שולח ספאם שמבקש נתונים על מאות פרופילים מזויפים.

המסירה חייבת להיות בפורמט מאובטח "נפוץ". השוואה מהירה:

פוּרמָט	Pros	חסרונות
קובץ PDF מוצפן	קריא; עריכה קלה	סיסמאות חלשות אפשריות
ייצוא CSV	קריא על ידי מכונה; גודל קטן	קשה יותר לאנשים מן השורה
פורטל מאובטח	2FA ומעקב ביקורת	יקר לתחזוקה

בכל דרך שתיבחר, ​​על הבקרים לכבד העדפות סבירות ולהימנע מנעילה קניינית.

העברה מאובטחת ומזעור נתונים

לעולם אל תשלחו גיליונות אלקטרוניים לא מוגנים בדוא"ל. השתמשו בקבצים המוגנים בסיסמה (שתפו את המפתח בנפרד), פורטלי HTTPS עם אימות דו-שלבי, או דואר רשום עבור חבילות נייר. לפני השידור, נקו נתוני צד שלישי באמצעות תוכנת עריכה והסירו שדות עודפים. פעולה זו עומדת במזעור של סעיף 5(1)(c) תוך הגנה על עמיתים לעבודה, סודות מסחריים ועוברי אורח.

עילות לגיטימיות להגבלת או סירוב גישה

סעיף 15 הוא עוצמתי, אך לא בלתי מוגבל. פסקה 4 ורסימול 63 מבהירים כי בקר רשאי לצמצם או אף לסרב לחשוף כאשר מסירת המידע תתנגש בזכויות יסוד אחרות או תהיה בלתי סבירה בעליל. נטל ההוכחה מוטל על הבקר: עליך... מסמך מדוע גישה מלאה תפגע באינטרסים מתחרים אלה וכיצד צמצמת את ההשפעה (למשל, עריכה חלקית).

הגנה על פרטיות של צד שלישי

חשיפת שרשרת דוא"ל הכוללת גם שמות של עמיתים או לקוחות עלולה לחשוף שֶׁלָהֶם נתונים אישיים. פסיקה הולנדית (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) מאשרת כי בקרים רשאים למחוק או לסכם מזהים של צד שלישי, בתנאי שהמבקש עדיין מבין את ההקשר. טכניקות:

• שמות ומספרי טלפון בשורה השחורה
• החלף במונחים ניטרליים ("עובד אחר")
• ספק קטעים במקום קובץ שלם

סודות מסחריים, קניין רוחני וזכויות יוצרים

חברות אינן צריכות לפתוח את הקימונו האלגוריתמי שלהן. אם חשיפת קוד מקור, נוסחאות תמחור או חומר המוגן בזכויות יוצרים תחשוף ידע סודי, סעיף 15(4) מאפשר תגובה מכוילת. פתרון אופייני: תאר את ההיגיון של החלטה אוטומטית בשפה פשוטה, לא את הקוד המלא; תן קטעים מלוח זמנים של חוזה, לא את התבנית הקניינית. תמיד הסביר מדוע גילוי מעמיק יותר יפגע באינטרסים מסחריים.

מניעת ניצול לרעה של זכויות

בקשה היא חסר בסיס או מוגזם באופן ברור כאשר מדובר בדיווחים חוזרים על עצמם, מטרידים או מכבידים במכוון - חשבו על העתקה-הדבקה שבועיות של דוחות SAR לאחר שכבר נמסרו נתונים מלאים. בקרים עשויים אז:

1. לגבות "עמלה סבירה" המשקפת את עלות הניהול, or
2. לסרב לפעול לחלוטין.
   כך או כך, עליך לנמק את העמדה בכתב וליידע את נושא המידע על זכותו להגיש תלונה ל-Autoriteit Persoonsgegevens (Autoriteit Persoonsgegevens).

בקשת פיצוי: תלונות וליטיגציה בהולנד

כאשר בקר מחטיא את המטרה, לנושאי הנתונים יש אפשרויות מהירות ומחמירות לאכוף את זכות הגישה במסגרת ה-GDPR (היקף סעיף 15 לחוק ה-AVG).

1. דחיפה פנימית. שלחו תזכורת מתוארכת המתייחסת לסעיף 15 ולמועד האחרון שחלף; רוב הארגונים פועלים לפי הצורך לאחר שתתבקשו.
2. תלונת Autoriteit Persoonsgegevens. הגשת בקשה באופן מקוון. רשות החקיקה יכולה להורות על גילוי, להטיל קנסות יומיים או להטיל קנסות מנהליים. תיקים פשוטים נסגרים לרוב תוך שלושה חודשים.
3. תביעה בבית משפט אזרחי. לפי סעיף 82 בתקנות ה-GDPR בתי המשפט ההולנדיים רשאי להוציא צווי מניעה ולפסוק פיצויים. פסקי דין אחרונים העניקו 250-2,500 אירו בגין עיקול, עם מסלול מהיר קורט גדינג הקלה זמינה עבור סכסוכי תעסוקה דחופים.

שיתוף פעולה חוצה גבולות ומרכז שירות אחד

תושב הולנד עדיין רשאי להגיש תלונה לרשות החקיקה (AP) גם אם מטה הבקר באיחוד האירופי נמצא במקום אחר. הרשות מעבירה את הקובץ באמצעות ה-GDPR. One-stop shop, וה המועצה האירופית להגנת נתונים יכול לשבור כל מבוי סתום רגולטורי - כך שגיאוגרפיה אינה מהווה מכשול להשגת הנתונים שלך.

תוכנית תאימות לארגונים

תהליך SAR מסודר מתחיל הרבה לפני הגעת הבקשה הראשונה. בנו את המרכיבים החיוניים הבאים ו-90% מכאבי הראש של גישה ייעלמו:

• פרסמו מדיניות SAR קצרה ופשוטה באנגלית פשוטה והפנו את הצוות אליה.
• שמרו על רישומי פעילויות העיבוד שלכם (RoPA) מעודכנים - כדי שתדעו היכן נמצאים הנתונים.
• תקופות שמירת מפות וטריגרים למחיקה; נתונים ישנים הם נתונים שלעולם לא תצטרכו למסור.
• שמרו על זרימת עבודה שלב אחר שלב של עריכה עם סקירה כפולה.
• רישום כל בקשה, החלטה ומועד אחרון עבור סעיף 5 דין וחשבון.
• הפעל תרגילי שולחנות שנתיים כדי לבחון מהירות, צלילות ושרשרת פיקוד.

הכשרת צוות הקבלה, משאבי אנוש וצוות ה-IT באיתור וטריונינג של בקשות מילוליות; שיחת טלפון אחת שלא נענית יכולה להפעיל את שעון העונש.

אוטומציה וכלים

השתמשו בתוכנות לגילוי נתונים, ממשקי API לאימות זהות ופורטלי הורדה מאובטחים כדי למצוא, לארוז ולהעביר נתונים במהירות - תוך השארת מקום תמיד לבדיקת חוש אנושי ולהקשר.

שילוב עם זכויות אחרות של נושא המידע

תכנן את זרימת העבודה של SAR כך שתתפצל לפעולות תיקון, מחיקה או ניידות; צינור קוהרנטי אחד ימנע חיפושים כפולים ותשובות לא עקביות.

העצמת נושאי נתונים: טיפים מעשיים לבקשות יעילות

בדיקת SAR ברורה ומאוזנת היטב חוסכת זמן לכולם ומקשה על הבקר להיתקע. נסו את הטקטיקות הבאות:

• לאתר במדויק מה אתה רוצה: "כל האימיילים ביני לבין המנהל יאנסן מה-1 בינואר עד ה-31 במרץ 2024."
• להזכיר איפה זה כתוב: "מערכת משאבי אנוש ופניות למוקד התמיכה".
• ציין את שלך פורמט מועדף (CSV, PDF) וערוץ מאובטח.
• סמן דחיפות כאשר רלוונטי ("קרוב סקירת ביצועים ב-15 באוקטובר").

לאחר שהנתונים מגיעים, יש לסרוק אחר שגיאות או פערים ולהגיש מיד בקשת תיקון או מחיקה - רכיבה על אותו נתיב ראיות שומרת על המומנטום.

אסטרטגיית הסלמה אם מתעלמים ממנה

יום 31 ועדיין דממת רדיו? שמרו על נימוס אך תקיפות:

Subject: Reminder – Article 15 GDPR/AVG request overdue

Dear [Controller],

On [date] I requested access to my personal data. The one-month term has passed without a response. 
Please provide the information within seven days or explain the lawful basis for any refusal. 
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.

Regards,
[Name]

תעדו כל שלב (תאריכים, מיילים, יומני שיחות). אם השבוע הנוסף פג תוקף, הגישו תלונה מקוונת ל-AP וצרפו את צרור הראיות שלכם; בתי המשפט והרגולטורים מעדיפים תובעים מאורגנים היטב.

סיכום זכות הגישה שלך

סעיף 15 ב-GDPR/AVG שם אנשים פרטיים במושב הנהג: אתם יכולים לשאול, לראות ולערער על מה שארגון עושה עם הנתונים שלכם. עבור בקרי מידע, נהלים ברורים, רישומים מסודרים ועריכה נבונה אינם אופציונליים - הם הדרך היחידה לעמוד במועד האחרון של חודש אחד ולהתחמק מהמבטים המזוהמים של Autoriteit Persoonsgegevens.

זכרו את ספר המשחק הבסיסי:

• בקשה יכולה להיות בלתי פורמלית,
• התגובה חייבת להיות חופשית, בזמן ומלאה,
• הגבולות צרים ויש להצדיקם,
• גילוי חלקי עדיף על סירוב גורף

עקבו אחר הכללים הללו וזכות הגישה תהפוך למשימת ציות שגרתית במקום כאב ראש בבית משפט.

צריכים תבנית SAR מותאמת אישית, עזרה בפתרון סבכים של נתוני צד שלישי, או אסטרטגיה עבור בקר עקשן? עורכי הדין לפרטיות ב Law & More מוכנים להתערב - בין אם אתם נושאי נתונים המחפשים תשובות או חברה המחפשת ודאות.