Risposta
Le persone possono contattare la tua azienda/organizzazione per esercitare i loro diritti ai sensi del GDPR (diritti di accesso, rettifica, cancellazione, portabilità ecc.). Se il trattamento dei dati personali avviene per via elettronica, devi fornire i mezzi per presentare le richieste in formato elettronico. La tua azienda/organizzazione dovrà rispondere alle loro richieste senza indebito ritardo e, in linea di principio, entro un mese dal ricevimento della richiesta.
È possibile chiedere ulteriori informazioni per confermare l’identità del richiedente.
Se la tua azienda/organizzazione respinge la richiesta, devi informare l’interessato dei motivi di tale rifiuto e del suo diritto di presentare un reclamo presso l’autorità per la protezione dei dati e di proporre un ricorso giurisdizionale.
Il trattamento delle richieste deve essere effettuato gratuitamente. Se le richieste sono manifestamente infondate o eccessive, in particolare a causa del loro carattere ripetitivo, puoi addebitare un costo ragionevole o rifiutarti di agire.
Esempio
Una persona che ha avuto accesso a tutti i suoi dati personali il mese precedente presenta nuovamente la stessa richiesta di accesso agli stessi dati personali. Puoi comunicarle che respingi la sua richiesta o richiederle un compenso ragionevole.
Riferimenti
- Articoli 12, 15-22; Considerando 59, 63, 64, 65, 66, 67, 68, 69, 70, 71 del GDPR
- Linee guida del comitato europeo per la protezione dei dati 4/2018 sull’accreditamento degli organismi di certificazione ai sensi dell’articolo 43 del GDPR (2016/679)
- Linee guida del comitato europeo per la protezione dei dati sull’accreditamento e l’individuazione dei criteri di accreditamento in conformità agli articoli 42 e 43 del regolamento 2016/679 – versione rivista a seguito di consultazione pubblica
Example
A person who accessed all his personal data the month before, lodges again the same request for access to the same personal data. You may consider either informing them that you reject their request or requesting a reasonable fee.
References
- Article 12 and Articles 15 to 22 and Recitals (59) and (63) to (71) of the GDPR
- EDPB guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)
- EDPB guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - revised version after public consultation