Vastaus
Yksilöt voivat ottaa yrityksesi/organisaatiosi yhteyttä, kun he haluavat käyttää yleisen tietosuoja-asetuksen mukaisia oikeuksiaan (muun muassa oikeus saada tutustua, korjata, poistaa ja siirtää tietoja). Kun henkilötietoja käsitellään sähköisesti, myös pyynnöt on voitava lähettää yrityksellesi/organisaatiollesi sähköisesti. Yrityksesi/organisaatiosi on vastattava pyyntöihin ilman aiheetonta viivytystä ja periaatteessa yhden kuukauden määräajassa.
Se voi pyytää kyseisiltä henkilöiltä lisätietoja, jotta voit varmistaa näiden henkilöllisyyden.
Jos yrityksesi/organisaatiosi hylkää pyynnön, sen on ilmoitettava kyseiselle henkilölle asiasta perusteluineen. Hänellä on oikeus tehdä valitus tietosuojaviranomaiselle ja turvautua oikeussuojakeinoihin.
Yksilöiden pyynnöt on käsiteltävä maksutta. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, voit periä niistä kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea.
Esimerkki
Henkilö, joka sai pääsyn kaikkiin henkilötietoihinsa kuukausi sitten, lähettää uudelleen pyynnön ja haluaa saada pääsyn samoihin tietoihin. Voit joko kieltäytyä suorittamasta pyydettyä toimea tai pyytää siitä kohtuullisen maksun.
Viitteet
- Artiklat 12, 15-22; johdanto-osan kappaleet 59, 63–71
- Euroopan tietosuojaneuvoston ohjeet 4/2018 sertifiointielinten akkreditoinnista yleisen tietosuoja-asetuksen (2016/679) 43 artiklan mukaisesti
- Euroopan tietosuojaohjeet 1/2018 sertifioinnista ja sertifiointiperusteiden määrittämisestä asetuksen 2016/679 42 ja 43 artiklan mukaisesti – julkisen kuulemisen perusteella tarkistettu versio
Example
A person who accessed all his personal data the month before, lodges again the same request for access to the same personal data. You may consider either informing them that you reject their request or requesting a reasonable fee.
References
- Article 12 and Articles 15 to 22 and Recitals (59) and (63) to (71) of the GDPR
- EDPB guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)
- EDPB guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - revised version after public consultation