Svar
Enskilda personer kan komma att kontakta ert företag/er organisation för att åberopa sina rättigheter enligt den förordningen (rätt till tillgång, rättelse, radering, portabilitet osv.). När personuppgifter behandlas med elektroniska medel, bör ert företag/er organisation se till att begäranden kan framställas elektroniskt. Ert företag/er organisation måste svara på enskilda personers begäran utan onödigt dröjsmål, och i princip inom 1 månad från att begäran mottagits.
Företaget/organisationen kan be de enskilda personerna om ytterligare information för att bekräfta identiteten på den som gör begäran.
Om ert företag/er organisation avvisar begäran måste personen informeras om skälen till detta och om att han eller hon har rätt att lämna in ett klagomål till dataskyddsmyndigheten och att få saken prövad i domstols.
Hanteringen av begäranden från enskilda personer bör vara kostnadsfrit. När begärandena är uppenbart ogrundade eller överdrivna, i synnerhet för att de upprepar sig, kan en rimlig avgift tas ut eller begäran lämnas utan åtgärd.
Exempel
En person som fick tillgång till alla sina personuppgifter månaden innan inkommer på nytt med samma begäran om tillgång till samma personuppgifter. Ni kan överväga att antingen informera personen om att ni avslår begäran, eller ta ut en rimlig avgift.
Referenser
- Artikel 12, 15–22; skäl 59, 63, 64, 65, 66, 67, 68, 69, 70, 71
- Europeiska dataskyddsstyrelsens riktlinjer 4/2018 om ackreditering av certifieringsorgan enligt artikel 43 i den allmänna dataskyddsförordningen (2016/679)
- Europeiska dataskyddsstyrelsens riktlinjer 1/2018 om certifiering och identifiering av certifieringskriterier i enlighet med artikel 42 och 43 i förordning 2016/679 – reviderad version efter offentligt samråd
Example
A person who accessed all his personal data the month before, lodges again the same request for access to the same personal data. You may consider either informing them that you reject their request or requesting a reasonable fee.
References
- Article 12 and Articles 15 to 22 and Recitals (59) and (63) to (71) of the GDPR
- EDPB guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)
- EDPB guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - revised version after public consultation