《通用数据保护条例》第15条(通过《通用数据保护条例》(AVG)纳入荷兰法律)赋予每个人明确的权利,可以查询机构是否处理其个人数据、获取副本以及查看相关背景信息,例如目的、接收者和保留期限。这项权利是透明度和问责制的基石:它允许个人查询其个人数据被持有,并迫使公司保持其数据实践的清洁、记录在案且可辩护。
无论您是请求获取自己的人力资源档案,还是准备回复客户的主体访问请求,了解第 15 条的确切范围和限制,都能降低罚款、纠纷和声誉受损的风险。在接下来的内容中,我们将法律文本翻译成通俗易懂的英语,引导数据主体逐步完成请求模板,指导控制者了解时间表、费用和编辑义务,并标注荷兰数据保护机构 Autoriteit Persoonsgegevens 强制执行的特定荷兰规则,最后为双方提供实用的核对清单。
用通俗易懂的语言解读AVG第15条
“数据主体有权从控制者处获得关于其个人数据是否正在被处理的确认,并且,如果是,则有权访问个人数据……”——第 15(1) 条 《通用数据保护条例》(GDPR)
用通俗的话说:你可以向任何组织询问 “你们存储了我的数据吗?如果是,请告诉我存储了哪些数据、为什么存储、与谁共享以及保存了多长时间。” 这就是 GDPR 下访问权的本质;荷兰 AVG 第 15 条的范围是相同的,因为荷兰 Uitvoeringswet AVG 仅仅本地化了执行,而没有改变实质内容。
当您提出请求时,您有权获得八项具体内容:
- 确认处理
- 个人资料副本
- 处理目的
- 涉及的数据类别
- 收件人或收件人类别
- 计划存储期限或确定存储期限的标准
- 您可以行使的其他 GDPR 权利
- 针对欧洲经济区以外任何转移的保障措施
该权利是个人权利——只有数据主体(或有效代表)可以援引该权利——并且 绝对 接收您自己的数据。但是,当其他基本权利(商业秘密、第三方隐私)受到损害时,控制者可能会限制或拒绝访问。
法律文本与外行术语
| 第十五条 | 这到底意味着什么 |
|---|---|
| 15(1) 确认 | 询问他们是否处理您的数据“是/否”。 |
| 15(1) ACCESS | 获取实际数据和上下文。 |
| 15(1)(c) 收件人 | 了解公司内部或外部的哪些人可以看到或获取数据。 |
| 15(2) 第三国转移 | 了解发送到欧洲经济区以外的数据以及所使用的保护措施。 |
| 15(3) 复制 | 免费以可重复使用的数字格式接收信息。 |
关键要点一览
- 控制器可能需要多长时间? 一个月,对于复杂情况可扩展至三个。
- 他们可以向我收费吗? 没有,除非该请求“明显毫无根据或过分”。
- 我将以什么格式接收数据? 安全电子文件 (例如 PDF 或 CSV),除非您另有要求。
- 我必须使用特殊表格吗? 没有;电子邮件、信件甚至电话都很重要。
- 如果他们对我没有任何指控怎么办?他们必须在同一期限内以书面形式告知我。
谁可以行使该权利以及对谁行使该权利?
根据 GDPR 第 4(1) 条 数据主体 任何在世的、可识别的自然人——无论是客户、员工、患者还是未成年学生。他们每个人都可以根据《通用数据保护条例》(GDPR)援引访问权:《通用数据保护条例》第15条的适用范围不因年龄、国籍或居住地而有所歧视。请求必须发送至 调节器:决策方 为什么 和 形成一种 数据被处理。仅仅存储数据的云提供商或工资机构是 处理器;它必须将请求传递给控制器,但不能拒绝直接指令。
荷兰居民也可以向针对荷兰市场的外国公司(例如,爱尔兰的社交网络)提出请求。一个月的期限从控制者收到请求的那一刻开始,无论其服务器位于何处。
特殊情况:代表、死者、父母和监护人
- 未成年人和无行为能力的成年人:父母、监护人或保管人可根据《荷兰民法典》第一卷代表他们行事。
- 学校和 雇主:学生和员工 他们自己 可以提交主题访问请求 (SAR);代表是可选的,不是必需的。
- 死者不属于 GDPR 的约束范围,但医生、公证人和保险公司在披露相关文件之前仍必须遵守职业保密规则。
共享系统中控制者的共同责任
当两个或两个以上的组织 共同 确定处理的目的或方式(GDPR 第 26 条)——例如,雇主及其人力资源软件供应商——他们是 联合控制者他们必须透明地同意由谁来回应第 15 条的要求,并通知数据主体,但如果另一方失误,则各方仍需承担责任。
必须披露的内容:数据和补充信息
当你援引 GDPR 下的访问权时,AVG 第 15 条的范围要求控制者移交两件东西: 实际个人数据 和一包 上下文细节。可以将其视为同时接收照片及其说明。该立法将披露义务分为以下八个部分。
| 第15(1)条 | 您应该收到什么 |
|---|---|
| (a)确认 | 明确 是/否 您的数据是否被处理 |
| (b)目的 | 数据存在的原因(例如工资单、营销) |
| (c)类别 | 联系方式、购买历史、GPS 日志等类型 |
| (d)收件人 | 内部团队 和 外部合作伙伴或处理者 |
| (e)保留 | 确切的期限或标准(例如,“税法规定为 7 年”) |
| (f)权利 | 提醒您可以纠正、删除、限制、反对、投诉 |
| (g)来源 | 如果不是从您那里收集的数据,那么数据来自哪里 |
| (h)转让 | 针对欧洲经济区以外任何货物的保障措施 |
个人数据不仅仅是姓名和电话号码。它涵盖行为档案、推断的信用评分、闭路电视录像、语音记录、设备ID,甚至看似枯燥的元数据(例如登录时间戳)——任何可以直接或间接与可识别个人身份相关的信息。
“个人数据副本”解释
A 复制 指清晰易懂的复制品,而非原始纸质文件。预期:
- 您的工资记录的 PDF 版本
- CRM 笔记的 CSV 导出
- 包含支持电话音频文件的 ZIP 文件
如果您通过电子邮件发送请求,则默认传送也应为电子版并采用“常用”格式,除非您要求纸质版。
个人数据与文件:界限在哪里
控制者必须只提取与您相关的片段。例如,在一份包含多名员工的会议备忘录中,您的口头评论可以公开,而同事的评论则被删除。相反,一份签名的 劳动合同 已完整披露,因为每个条款都与您有关。
强制性补充信息
除了数据副本之外,控制者还必须解释:目的、类别、接收者、保留、可用权限、数据来源、自动化决策背后的逻辑(如有)以及传输保障措施。注意模糊的答案——“用于商业目的”或“根据需要存储”不太可能满足个人数据保护法的要求。全面、通俗易懂的解释是避免投诉和罚款的最佳屏障。
如何在荷兰提交和处理主题访问请求(SAR)
数据主体可以通过任何方式提出主体访问请求——通过电话、 电子邮件、信件、社交媒体私信,甚至是聊天机器人。GDPR 第 12 条禁止控制者要求提供特定表格,因此“我想要一份你们持有的关于我的所有个人数据的副本”就足以启动处理程序。然而,最佳做法是提交书面记录,以便双方都能追踪截止日期。一旦收到请求,控制者必须立即 (1) 确认收到,以及 (2) 记录处理时间。 一个月 回应期。第一个月之后保持沉默或拖延,可能会招致 Autoriteit Persoonsgegevens (AP) 的投诉,并可能被罚款。
下面是一个简洁的双语模板,数据主体可以复制粘贴;不需要法律术语。
Subject: Subject Access Request – Article 15 GDPR/AVG
Dear [Controller],
I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data.
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).
Kind regards,
[Name] | [Email] | [Any reference number]
---
Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR
Geachte [Verwerkingsverantwoordelijke],
Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt.
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.
Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]
控制人员应该创建一个简单的接收工作流程——chingyeel@cchphealthplan.com 邮箱、票号、自动确认——以便稍后证明合规性。
无需过度收集即可进行身份验证
控制人员必须“合理”地核实请求者,且不得获取超出其所需的数据。美联社建议:
- 尽可能将请求详细信息与现有帐户数据(用户名、客户端 ID)进行匹配。
- 如果无法避免需要额外证明,请申请删节版护照或 驾驶证扫描 BSN、照片和 MRZ 均被涂黑。
- 切勿将副本保留超过验证所需的时间;记录检查事实,然后删除该文件。
记录和记录以保证问责
基本的 SAR 日志能让监管机构和您的 DPO 满意。记录:
- 收到日期和渠道(电子邮件、电话等)
- 已采取身份验证步骤
- 数据定位范围
- 涉及的内部团队
- 回复日期和方式 + 要求的任何延期
- 所提供信息摘要或拒绝原因
维护此登记册支持第 5 条“问责制”原则,并在 AP 敲门时提供现成的审计线索。
控制者的时间表、费用和交付格式
当时钟开始时,控制器 1个月 回答主题访问请求。他们可能会延长一次 最多额外两个月,但仅适用于复杂或大量的请求 和 他们必须在第一个月内解释延迟的原因。如果没有持有个人数据,控制者仍必须在相同的期限内回复并明确说明。
第 12(5) 条规定了零费用规则:访问是免费的。只有在满足以下需求时才允许收费: “明显毫无根据或过分”—想象一下员工每周要求提供相同的副本,或者垃圾邮件发送者要求提供数百个虚假个人资料的数据。
交付必须采用“常用”的安全格式。快速比较一下:
| 格式 | 优点 | 缺点 |
|---|---|---|
| 加密的PDF | 可读性强;易于编辑 | 密码可能较弱 |
| CSV导出 | 机器可读;尺寸小 | 对于外行人来说更难 |
| 安全门户 | 2FA 和审计跟踪 | 维护成本高 |
无论选择哪条路线,控制者都应该尊重合理的偏好并避免专有锁定。
安全传输和数据最小化
切勿通过电子邮件发送未受保护的电子表格。请使用受密码保护的文件(单独共享密钥)、启用双因素身份验证的 HTTPS 门户或挂号信发送纸质文件。传输前,请使用编辑软件清理第三方数据并删除多余的字段。这符合《美国宪法》第 5(1)(c) 条的最小化原则,同时保护了同事、商业机密和旁观者的安全。
限制或拒绝访问的合法理由
第15条虽然有力,但并非毫无限制。第4款和第63条明确规定,当信息披露会与其他基本权利相冲突或明显不合理时,控制者可以调整甚至拒绝披露。举证责任在于控制者:你必须 文件 为什么完全访问会损害这些相互竞争的利益,以及如何减轻影响(例如部分编辑)。
保护第三方隐私
披露包含同事或客户姓名的电子邮件链可能会暴露 其 个人数据。荷兰判例法(Rb. Midden-Nederland,ECLI:NL:RBMNE:2023:1204)确认,控制者可以删除或概括第三方标识符,前提是请求者仍然理解上下文。技术手段:
- 黑线姓名和电话号码
- 用中性词替换(“另一名员工”)
- 提供摘录而不是整个文件
商业秘密、知识产权和版权
公司无需公开其算法秘密。如果披露源代码、定价公式或受版权保护的材料会暴露机密技术,第 15(4) 条允许采取谨慎的应对措施。典型的应对措施:用通俗易懂的语言描述自动化决策的逻辑,而不是完整的代码;提供合同时间表的摘录,而不是专有模板。务必解释为什么更深入的披露会损害商业利益。
防止权利滥用
一个请求是 明显毫无根据或过分 如果信息重复、骚扰或故意造成负担——想想在完整数据已经交付后,每周还重复发送SAR。控制人员可能会:
- 收取反映管理成本的“合理费用”, or
- 拒绝采取任何行动。
无论哪种方式,您都必须以书面形式证明该立场,并告知数据主体他们有权向 Autoriteit Persoonsgegevens 投诉。
寻求补救:荷兰的投诉和诉讼
当控制者未能达到目标时,数据主体可以快速、逐步升级选择,以根据 GDPR 执行访问权(AVG 第 15 条的范围)。
- 内部推动。 发送注明日期的提醒,其中引用第 15 条和已过的期限;大多数组织一旦收到提示就会遵守。
- Autoriteit Persoonsgegevens 投诉。 在线提交。AP 可以下令披露信息、处以每日罚款或征收行政罚款。简单案件通常在三个月内结案。
- 民事诉讼。 根据 GDPR 第 82 条 荷兰法院 可以颁发禁令并判赔偿。最近的裁决已判处250至2500欧元的扣押赔偿,并设有快速通道 成年皮层 可对紧急就业行提供救济。
跨境合作与一站式服务
即使控制者的欧盟总部位于其他地方,荷兰居民仍可向 AP 投诉。AP 通过 GDPR 转发文件 一站式服务,并 欧洲数据保护局 可以打破任何监管僵局——因此地理位置不会成为获取数据的障碍。
组织合规蓝图
整洁的 SAR 流程早在第一个请求到达之前就开始了。构建以下基本要素,90% 的访问难题将迎刃而解:
- 发布简短、通俗易懂的搜寻与援救政策并指导员工。
- 保持您的处理活动记录 (RoPA) 为最新 - 这样您就知道数据所在的位置。
- 映射保留期和删除触发器;陈旧数据是您永远不需要交出的数据。
- 通过双重控制审查维持逐步的编辑工作流程。
- 记录第 5 条规定的每项请求、决定和截止日期 问责制.
- 每年进行一次桌面演习来测试速度、清晰度和指挥链。
对前台、人力资源部和 IT 部门进行培训,使其能够识别和分类口头请求;错过一个电话就可能开始处罚。
自动化和工具
使用数据发现软件、身份验证 API 和安全下载门户来快速查找、打包和传输数据——始终为人工检查和上下文留出空间。
与其他数据主体权利的整合
设计 SAR 工作流程以分支为纠正、擦除或可移植性操作;一个连贯的流程可避免重复搜索和不一致的答案。
赋能数据主体:有效请求的实用技巧
清晰、范围明确的搜索与救援行动报告可以节省每个人的时间,并使管制员更难拖延。请尝试以下策略:
- 查明 什么 你想要的是:“2024 年 1 月 1 日至 3 月 31 日期间我和经理 Jansen 之间的所有电子邮件。”
- 提 协调 它的地址是:“人力资源系统和服务台票证。”
- 陈述你的 首选格式 (CSV、PDF)和安全通道。
- 标记紧急程度(“即将 绩效考核 10月15日”)。
一旦数据到达,扫描错误或差距并立即发出纠正或删除请求 - 沿着相同的证据线索保持动力。
忽视升级策略
第31天了,还是没消息?保持礼貌但坚定:
Subject: Reminder – Article 15 GDPR/AVG request overdue
Dear [Controller],
On [date] I requested access to my personal data. The one-month term has passed without a response.
Please provide the information within seven days or explain the lawful basis for any refusal.
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.
Regards,
[Name]
记录每一步(日期、电子邮件、通话记录)。如果额外一周时间已到,请向美联社在线投诉,并附上您的证据材料;法院和监管机构更青睐组织严密的索赔人。
总结您的访问权
GDPR/AVG 第 15 条赋予个人主导权:您可以询问、查看并质疑组织对您的数据的处理方式。对于控制者而言,清晰的流程、整洁的记录和合理的删改并非可有可无——这是在一个月期限内完成数据保护并避开数据保护机构 (Autoriteit Persoonsgegevens) 监管的唯一途径。
记住基本剧本:
- 请求可以是非正式的,
- 响应必须是自由、及时和完整的,
- 限制很窄,必须合理,
- 部分披露胜过全面拒绝。
遵守这些规则,访问权就成为一项例行合规任务,而不是法庭上的令人头疼的问题。
需要定制的 SAR 模板、帮助理清第三方数据,还是制定应对顽固控制者的策略?隐私律师 Law & More 随时准备介入——无论您是寻求答案的数据主体还是寻求确定性的公司。
