Antwoord
Personen kunnen contact opnemen met uw onderneming/organisatie om hun rechten in het kader van de AVG uit te oefenen (recht op inzage, rectificatie, verwijdering, overdraagbaarheid enz.). Wanneer persoonsgegevens elektronisch worden verwerkt, moet uw onderneming/organisatie de mogelijkheid bieden om verzoeken langs elektronische weg in te dienen. Uw onderneming/organisatie moet hun verzoeken zonder onnodige vertraging en in principe binnen 1 maand na ontvangst van het verzoek beantwoorden.
Uw onderneming/organisatie mag de betrokkenen om aanvullende informatie vragen om de identiteit te bevestigen van de indieners van het verzoek.
Als uw onderneming/organisatie het verzoek afwijst, moet zij de betrokkenen in kennis stellen van de redenen daarvoor en van hun recht om een klacht in te dienen bij de gegevensbeschermingsautoriteit en beroep in te stellen bij de rechter.
De behandeling van verzoeken van personen dient kosteloos te geschieden. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag u een redelijke vergoeding aanrekenen of weigeren gevolg te geven.
Voorbeeld
Iemand die de maand daarvoor al zijn persoonsgegevens heeft opgevraagd, dient opnieuw een verzoek in voor inzage in zijn persoonsgegevens. U kunt overwegen mee te delen dat u het verzoek afwijst of dat u een redelijke vergoeding vraagt.
Referenties
- Artikelen 12, 15-22; overwegingen 59, 63, 64, 65, 66, 67, 68, 69, 70, 71 van de AVG
- EDPB-richtsnoeren 4/2018 betreffende de accreditatie van certificeringsorganen volgens artikel 43 van de Algemene verordening gegevensbescherming (2016/679)
- EDPB-richtsnoeren 1/2018 betreffende certificering en het identificeren van certificeringscriteria in overeenstemming met artikel 42 en 43 van Verordening 2016/679 - herziene versie na openbare raadpleging
Example
A person who accessed all his personal data the month before, lodges again the same request for access to the same personal data. You may consider either informing them that you reject their request or requesting a reasonable fee.
References
- Article 12 and Articles 15 to 22 and Recitals (59) and (63) to (71) of the GDPR
- EDPB guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)
- EDPB guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - revised version after public consultation