જનરલ ડેટા પ્રોટેક્શન રેગ્યુલેશનની કલમ 15 - જે ડચ કાયદામાં અલ્જેમેન વેરોર્ડેનિંગ ગેગેવેન્સબેસ્ચર્મિંગ (AVG) દ્વારા સમાવિષ્ટ છે - દરેક વ્યક્તિને કોઈ સંસ્થા તેમના વ્યક્તિગત ડેટા પર પ્રક્રિયા કરે છે કે નહીં તે શોધવાનો, નકલ મેળવવાનો અને હેતુઓ, પ્રાપ્તકર્તાઓ અને રીટેન્શન સમયગાળા જેવા આસપાસના સંદર્ભને જોવાનો અસ્પષ્ટ અધિકાર આપે છે. આ અધિકાર પારદર્શિતા અને જવાબદારીનો આધાર છે: તે વ્યક્તિઓને તેમના વિશે શું રાખવામાં આવ્યું છે તે તપાસવા દે છે અને કંપનીઓને તેમની ડેટા પ્રેક્ટિસને સ્વચ્છ, દસ્તાવેજીકૃત અને સુરક્ષિત રાખવા દબાણ કરે છે.
ભલે તમે તમારી પોતાની HR ફાઇલની વિનંતી કરી રહ્યા હોવ અથવા ગ્રાહકની વિષય-ઍક્સેસ વિનંતીનો જવાબ આપવાની તૈયારી કરી રહ્યા હોવ, કલમ 15 ના ચોક્કસ અવકાશ અને મર્યાદાઓને જાણવાથી દંડ, વિવાદો અને પ્રતિષ્ઠાને નુકસાન થવાનું જોખમ ઓછું થાય છે. આગળના પૃષ્ઠોમાં અમે કાનૂની ટેક્સ્ટનો સાદા અંગ્રેજીમાં અનુવાદ કરીએ છીએ, ડેટા વિષયોને પગલું-દર-પગલાં વિનંતી ટેમ્પ્લેટ દ્વારા ચલાવીએ છીએ, સમયરેખા, ફી અને સંપાદન ફરજો પર નિયંત્રકોને માર્ગદર્શન આપીએ છીએ, Autoriteit Persoonsgegevens દ્વારા લાગુ કરાયેલ ડચ-વિશિષ્ટ નિયમોને ચિહ્નિત કરીએ છીએ, અને બંને પક્ષો માટે વ્યવહારુ ચેકલિસ્ટ સાથે સમાપ્ત કરીએ છીએ.
સાદા અંગ્રેજીમાં કલમ ૧૫ AVG ડીકોડિંગ
"ડેટા વિષયને નિયંત્રક પાસેથી પુષ્ટિ મેળવવાનો અધિકાર રહેશે કે તેના અથવા તેણીના વ્યક્તિગત ડેટા પર પ્રક્રિયા થઈ રહી છે કે નહીં, અને જ્યાં તે કેસ છે, ત્યાં વ્યક્તિગત ડેટાની ઍક્સેસ..." — કલમ 15(1) GDPR
સરળ ભાષામાં: તમે કોઈપણ સંસ્થાને પૂછી શકો છો "શું તમે મારા વિશેનો ડેટા સંગ્રહિત કરો છો? જો હા, તો મને બતાવો કે તમે તેને શું, શા માટે, કોની સાથે શેર કરો છો અને તમે તેને કેટલો સમય રાખો છો." GDPR હેઠળ ઍક્સેસના અધિકારનો સાર એ જ છે; નેધરલેન્ડ્સમાં AVG ના કલમ 15 નો અવકાશ સમાન છે કારણ કે ડચ Uitvoeringswet AVG ફક્ત સાર બદલ્યા વિના અમલીકરણને સ્થાનિક બનાવે છે.
જ્યારે તમે વિનંતી દાખલ કરો છો, ત્યારે તમને આઠ ચોક્કસ બાબતોનો હક મળે છે:
- પ્રક્રિયાની પુષ્ટિ
- વ્યક્તિગત ડેટાની એક નકલ
- પ્રક્રિયા હેતુઓ
- સામેલ ડેટા શ્રેણીઓ
- પ્રાપ્તકર્તાઓ અથવા પ્રાપ્તકર્તા શ્રેણીઓ
- આયોજિત સંગ્રહ સમયગાળો અથવા તે નક્કી કરવા માટેના માપદંડો
- અન્ય GDPR અધિકારો જેનો તમે ઉપયોગ કરી શકો છો
- EEA ની બહાર કોઈપણ ટ્રાન્સફર માટે સલામતીનાં પગલાં
આ અધિકાર વ્યક્તિગત છે - ફક્ત ડેટા વિષય (અથવા માન્ય પ્રતિનિધિ) જ તેનો ઉપયોગ કરી શકે છે - અને તે છે નિરપેક્ષ તમારા પોતાના ડેટા મેળવવાના સંદર્ભમાં. જોકે, જ્યારે અન્ય મૂળભૂત અધિકારો (વેપાર રહસ્યો, તૃતીય પક્ષોની ગોપનીયતા) ને નુકસાન થાય ત્યારે નિયંત્રકો ઍક્સેસને કાપી શકે છે અથવા નકારી શકે છે.
કાનૂની લખાણ વિરુદ્ધ સામાન્ય માણસની શરતો
| કલમ ૧૫ કલમ | તેનો ખરેખર અર્થ શું છે |
|---|---|
| 15 (1) પુષ્ટિ | "હા/ના" પૂછો કે શું તેઓ તમારા ડેટા પર પ્રક્રિયા કરે છે. |
| 15 (1) ઍક્સેસ | વાસ્તવિક ડેટા વત્તા સંદર્ભ મેળવો. |
| 15(1)(c) પ્રાપ્તકર્તાઓ | પેઢીની અંદર કે બહાર કોણ ડેટા જુએ છે અથવા મેળવે છે તે જાણો. |
| 15 (2) ત્રીજા દેશમાં ટ્રાન્સફર | EEA ની બહાર મોકલવામાં આવેલા ડેટા અને ઉપયોગમાં લેવાતા રક્ષણ વિશે જાણો. |
| 15 (3) નકલ | માહિતી ફરીથી વાપરી શકાય તેવા ડિજિટલ ફોર્મેટમાં મફતમાં મેળવો. |
એક નજરમાં મુખ્ય ટેકવેઝ
- કંટ્રોલરને કેટલો સમય લાગી શકે છે? એક મહિનો, જટિલ કેસ માટે ત્રણ સુધી વધારી શકાય છે.
- શું તેઓ મને ચાર્જ કરી શકે છે? ના, સિવાય કે વિનંતી "સ્પષ્ટપણે પાયાવિહોણી અથવા વધુ પડતી" હોય.
- મને કયા ફોર્મેટમાં ડેટા મળશે? સુરક્ષિત ઇલેક્ટ્રોનિક ફાઇલ (દા.ત., PDF અથવા CSV) સિવાય કે તમે અન્યથા પૂછો.
- શું મારે ખાસ ફોર્મનો ઉપયોગ કરવો જોઈએ? ના; ઇમેઇલ, પત્ર, અથવા તો એક ફોન કૉલ પણ ગણાય છે.
- જો તેઓ મારા પર કંઈ જ ન રાખે તો શું? તેમણે એ જ સમયમર્યાદામાં લેખિતમાં કહેવું પડશે.
કોણ અને કોના તરફ અધિકારનો ઉપયોગ કરી શકે છે?
કલમ 4(1) GDPR હેઠળ a ડેટા વિષય કોઈપણ જીવંત, ઓળખી શકાય તેવી કુદરતી વ્યક્તિ છે - પછી ભલે તે ગ્રાહક, કર્મચારી, દર્દી અથવા સગીર વિદ્યાર્થી હોય. તેમાંથી દરેક GDPR હેઠળ પ્રવેશના અધિકારનો ઉપયોગ કરી શકે છે: AVG ના કલમ 15 નો અવકાશ ઉંમર, રાષ્ટ્રીયતા અથવા રહેઠાણ દ્વારા ભેદભાવ કરતો નથી. વિનંતીઓ સંબોધિત કરવી આવશ્યક છે નિયંત્રક: જે પક્ષ નિર્ણય લે છે શા માટે અને કેવી રીતે ડેટા પર પ્રક્રિયા કરવામાં આવે છે. ક્લાઉડ પ્રદાતા અથવા પેરોલ બ્યુરો જે ફક્ત ડેટા સંગ્રહિત કરે છે તે છે પ્રોસેસર; તેણે વિનંતી નિયંત્રકને મોકલવી પડશે પરંતુ સીધી સૂચનાનો ઇનકાર કરી શકશે નહીં.
ડચ રહેવાસીઓ તેમની વિનંતી એવી વિદેશી કંપની પર પણ ટાર્ગેટ કરી શકે છે જે ડચ બજારને લક્ષ્ય બનાવે છે (દા.ત., આઇરિશ-આધારિત સોશિયલ નેટવર્ક). એક મહિનાની ઘડિયાળ તે ક્ષણથી શરૂ થાય છે જ્યારે નિયંત્રક વિનંતી પ્રાપ્ત કરે છે, પછી ભલે તેના સર્વર ક્યાં રહે છે.
ખાસ પરિસ્થિતિઓ: પ્રતિનિધિઓ, મૃતક વ્યક્તિઓ, માતાપિતા અને વાલીઓ
- સગીર અને અશક્ત પુખ્ત વયના લોકો: ડચ નાગરિક સંહિતાના પુસ્તક 1 હેઠળ માતાપિતા, વાલી અથવા ક્યુરેટર તેમના વતી કાર્ય કરી શકે છે.
- શાળાઓ અને નોકરીદાતાઓ: વિદ્યાર્થીઓ અને કર્મચારીઓ પોતાને સબ્જેક્ટ એક્સેસ રિક્વેસ્ટ (SAR) ફાઇલ કરી શકે છે; પ્રતિનિધિઓ વૈકલ્પિક છે, જરૂરી નથી.
- મૃતક વ્યક્તિઓ GDPR ની બહાર આવે છે, છતાં ડોકટરો, નોટરીઓ અને વીમા કંપનીઓએ સંબંધિત ફાઇલો જાહેર કરતા પહેલા વ્યાવસાયિક-ગુપ્તતાના નિયમોનું પાલન કરવું આવશ્યક છે.
વહેંચાયેલ સિસ્ટમોમાં નિયંત્રકોની સંયુક્ત જવાબદારી
જ્યારે બે કે તેથી વધુ સંસ્થાઓ સંયુક્ત રીતે પ્રક્રિયાના હેતુઓ અથવા માધ્યમો નક્કી કરવા (લેખ 26 GDPR) - ઉદાહરણ તરીકે, નોકરીદાતા અને તેના HR-સોફ્ટવેર વિક્રેતા - તેઓ છે સંયુક્ત નિયંત્રકો. તેમણે કલમ ૧૫ ની વિનંતીઓનો જવાબ કોણ આપે છે તે અંગે પારદર્શક રીતે સંમત થવું જોઈએ, અને ડેટા વિષયને જાણ કરવી જોઈએ, પરંતુ જો બીજો કોઈ ભૂલ કરે તો બંને જવાબદાર રહેશે.
શું જાહેર કરવું જોઈએ: ડેટા અને પૂરક માહિતી
જ્યારે તમે GDPR હેઠળ ઍક્સેસના અધિકારનો ઉપયોગ કરો છો, ત્યારે AVG ના કલમ 15 નો અવકાશ નિયંત્રકને બે વસ્તુઓ સોંપવાની ફરજ પાડે છે: વાસ્તવિક વ્યક્તિગત ડેટા અને એક પેકેજ સંદર્ભ વિગતો. તેને ફોટો અને તેના કેપ્શન બંને પ્રાપ્ત કરવા જેવું માનો. કાયદો જાહેરાત ફરજને આઠ ડોલમાં વિભાજીત કરે છે, જે નીચે સૂચિબદ્ધ છે.
| કલમ ૧૫(૧) વસ્તુ | તમારે શું મેળવવું જોઈએ |
|---|---|
| (a) પુષ્ટિકરણ | એક સ્પષ્ટ હા નાં શું તમારા ડેટા પર પ્રક્રિયા કરવામાં આવી છે |
| (b) હેતુઓ | ડેટા અસ્તિત્વમાં હોવાના કારણો (દા.ત., પગારપત્રક, માર્કેટિંગ) |
| (c) શ્રેણીઓ | સંપર્ક વિગતો, ખરીદી ઇતિહાસ, GPS લોગ જેવા પ્રકારો |
| (d) પ્રાપ્તકર્તાઓ | આંતરિક ટીમો અને બાહ્ય ભાગીદારો અથવા પ્રોસેસર્સ |
| (e) રીટેન્શન | ચોક્કસ સમયગાળો અથવા માપદંડ (દા.ત., "કર કાયદા માટે 7 વર્ષ") |
| (f) અધિકારો | રીમાઇન્ડર કે તમે સુધારી શકો છો, ભૂંસી શકો છો, પ્રતિબંધિત કરી શકો છો, વાંધો ઉઠાવી શકો છો, ફરિયાદ કરી શકો છો |
| (g) સ્ત્રોત | જો તમારી પાસેથી ડેટા એકત્રિત ન કરવામાં આવ્યો હોય તો તે ક્યાંથી આવ્યો? |
| (h) ટ્રાન્સફર | EEA ની બહાર કોઈપણ શિપમેન્ટ માટે સલામતીનાં પગલાં |
વ્યક્તિગત ડેટા નામ અને સંખ્યા કરતાં વધુ છે. તેમાં વર્તણૂકીય પ્રોફાઇલ્સ, અનુમાનિત ક્રેડિટ સ્કોર્સ, સીસીટીવી ફૂટેજ, વૉઇસ રેકોર્ડિંગ્સ, ડિવાઇસ આઈડી અને લોગ-ઇન ટાઇમસ્ટેમ્પ જેવા દેખીતા નીરસ મેટાડેટાનો પણ સમાવેશ થાય છે - જે કંઈપણ, પ્રત્યક્ષ કે પરોક્ષ રીતે, ઓળખી શકાય તેવી વ્યક્તિ સાથે જોડાયેલ હોઈ શકે છે.
"વ્યક્તિગત ડેટાની નકલ" સમજાવાયેલ
A નકલ એટલે મૂળ કાગળની ફાઇલ નહીં, પણ સમજી શકાય તેવી નકલ. અપેક્ષા:
- તમારા પગારપત્રક રેકોર્ડની PDF
- CRM નોંધોની CSV નિકાસ
- સપોર્ટ કોલ્સ ઓડિયો ફાઇલો સાથે ઝીપ
જો તમે વિનંતી ઇમેઇલ કરી હોય, તો ડિફોલ્ટ ડિલિવરી પણ ઇલેક્ટ્રોનિક હોવી જોઈએ અને "સામાન્ય રીતે ઉપયોગમાં લેવાતા" ફોર્મેટમાં હોવી જોઈએ, સિવાય કે તમે કાગળ માંગશો.
વ્યક્તિગત ડેટા વિરુદ્ધ દસ્તાવેજો: રેખા ક્યાં દોરવી
નિયંત્રકોએ ફક્ત તમારાથી સંબંધિત સ્નિપેટ્સ કાઢવા જ જોઈએ. ઉદાહરણ તરીકે, ઘણા કર્મચારીઓ ધરાવતા મીટિંગ મેમોમાં, તમારી બોલાયેલી ટિપ્પણીઓ જાહેર કરી શકાય છે જ્યારે સાથીદારોની ટિપ્પણીઓ સંપાદિત કરવામાં આવે છે. તેનાથી વિપરીત, એક સહી કરેલ રોજગાર કરાર સંપૂર્ણ રીતે જાહેર કરવામાં આવ્યું છે કારણ કે દરેક કલમ તમારી ચિંતા કરે છે.
ફરજિયાત પૂરક માહિતી
ડેટા કોપી ઉપરાંત, નિયંત્રકે સમજાવવું આવશ્યક છે: હેતુઓ, શ્રેણીઓ, પ્રાપ્તકર્તાઓ, રીટેન્શન, ઉપલબ્ધ અધિકારો, ડેટા સ્ત્રોતો, સ્વચાલિત નિર્ણયો પાછળનો તર્ક (જો કોઈ હોય તો), અને ટ્રાન્સફર સલામતી. અસ્પષ્ટ જવાબો પર નજર રાખો - "વ્યવસાયિક હેતુઓ માટે" અથવા "જરૂરી હોય ત્યાં સુધી સંગ્રહિત" ઓટોરાઇટ પર્સનગેવેન્સને સંતોષવાની શક્યતા ઓછી છે. વ્યાપક, સાદા ભાષાના ખુલાસા ફરિયાદો અને દંડ સામે શ્રેષ્ઠ કવચ છે.
નેધરલેન્ડ્સમાં સબ્જેક્ટ એક્સેસ રિક્વેસ્ટ (SAR) કેવી રીતે સબમિટ કરવી અને હેન્ડલ કરવી
વિષય ઍક્સેસ વિનંતી ડેટા વિષયને ગમે તે રીતે કરી શકાય છે - ફોન દ્વારા, ઇમેઇલ, પત્ર, સોશિયલ-મીડિયા DM, અથવા તો ચેટ બોટ. કલમ 12 GDPR નિયંત્રકોને ચોક્કસ ફોર્મ માંગવાની મનાઈ ફરમાવે છે, તેથી "મને તમારા વિશેના બધા વ્યક્તિગત ડેટાની નકલ જોઈએ છે" ઘડિયાળ શરૂ કરવા માટે પૂરતું છે. જોકે, શ્રેષ્ઠ પ્રથા એ છે કે લેખિત રેકોર્ડ નોંધાવવો જેથી બંને પક્ષો સમયમર્યાદાને ટ્રેક કરી શકે. એકવાર વિનંતી પૂર્ણ થઈ જાય, નિયંત્રકે તાત્કાલિક (1) રસીદ સ્વીકારવી જોઈએ, અને (2) ડાયરી કરવી જોઈએ એક મહિનો પ્રતિભાવ સમયગાળો. તે પહેલા મહિના પછી મૌન રહેવાથી અથવા વિલંબ કરવાથી Autoriteit Persoonsgegevens (AP) ફરિયાદ અને સંભવિત દંડનું જોખમ રહે છે.
નીચે એક સંક્ષિપ્ત, દ્વિભાષી ટેમ્પ્લેટ છે જે ડેટા વિષયો કોપી-પેસ્ટ કરી શકે છે; કોઈ કાનૂની શબ્દભંડોળની જરૂર નથી.
Subject: Subject Access Request – Article 15 GDPR/AVG
Dear [Controller],
I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data.
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).
Kind regards,
[Name] | [Email] | [Any reference number]
---
Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR
Geachte [Verwerkingsverantwoordelijke],
Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt.
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.
Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]
નિયંત્રકોએ એક સરળ ઇન્ટેક વર્કફ્લો બનાવવો જોઈએ—[ઇમેઇલ સુરક્ષિત] મેઇલબોક્સ, ટિકિટ નંબર, ઓટોમેટેડ પુષ્ટિકરણ - પછીથી પાલન સાબિત કરવા માટે.
વધુ પડતી રકમ વસૂલ્યા વિના ઓળખ ચકાસણી
કોણ પૂછી રહ્યું છે તે તપાસવામાં નિયંત્રક "વાજબી" હોવો જોઈએ, અને તેની જરૂરિયાત કરતાં વધુ ડેટા મેળવ્યો નથી. AP ભલામણ કરે છે:
- શક્ય હોય ત્યાં વિનંતીની વિગતોને હાલના એકાઉન્ટ ડેટા (વપરાશકર્તા નામ, ક્લાયન્ટ ID) સાથે મેચ કરો.
- જો વધારાના પુરાવા અનિવાર્ય હોય, તો સંપાદિત પાસપોર્ટની વિનંતી કરો અથવા ડ્રાઇવિંગ લાઇસન્સ સ્કેન BSN, ફોટો અને MRZ બ્લેક આઉટ થયા સાથે.
- ચકાસણી માટે ક્યારેય નકલો જરૂરી કરતાં વધુ સમય સુધી ન રાખો; તપાસની હકીકત લોગ કરો, પછી ફાઇલ કાઢી નાખો.
જવાબદારી માટે લોગીંગ અને રેકોર્ડ-કીપીંગ
મૂળભૂત SAR લોગ નિયમનકારોને - અને તમારા DPO ને - ખુશ રાખે છે. રેકોર્ડ:
- પ્રાપ્ત તારીખ અને ચેનલ (ઈમેલ, કૉલ, વગેરે)
- ઓળખ-ચકાસણીના પગલાં લેવામાં આવ્યા
- સ્થિત ડેટાનો અવકાશ
- સામેલ આંતરિક ટીમો
- જવાબ આપવાની તારીખ અને પદ્ધતિ + દાવો કરાયેલ કોઈપણ એક્સટેન્શન
- પૂરી પાડવામાં આવેલી માહિતીનો સારાંશ અથવા ઇનકારના કારણો
આ રજિસ્ટર જાળવવાથી કલમ 5 "જવાબદારી" સિદ્ધાંતનું સમર્થન થાય છે અને જો AP તમારા દરવાજા ખટખટાવે તો તૈયાર ઓડિટ ટ્રેઇલ મળે છે.
નિયંત્રકોની સમયરેખા, ફી અને ડિલિવરી ફોર્મેટ
જ્યારે ઘડિયાળ શરૂ થાય છે, ત્યારે નિયંત્રકો પાસે હોય છે એક મહિનો વિષય-પ્રવેશ વિનંતીનો જવાબ આપવા માટે. તેઓ એક વખત લંબાવી શકે છે બે વધારાના મહિના સુધી, પરંતુ ફક્ત જટિલ અથવા અસંખ્ય વિનંતીઓ માટે અને તેમણે પહેલા મહિનાની અંદર વિલંબ સમજાવવો પડશે. જો કોઈ વ્યક્તિગત ડેટા રાખવામાં ન આવે, તો પણ નિયંત્રકે તે જ સમયમર્યાદામાં જવાબ આપવો પડશે અને સ્પષ્ટપણે કહેવું પડશે.
કલમ ૧૨(૫) શૂન્ય-ફી નિયમ નક્કી કરે છે: પ્રવેશ મફત છે. જ્યારે માંગ હોય ત્યારે જ શુલ્ક લેવાની મંજૂરી છે "સ્પષ્ટપણે પાયાવિહોણું અથવા વધુ પડતું"—એક કર્મચારી દર અઠવાડિયે એકસરખી નકલો માંગતો હોય, અથવા એક સ્પામર સેંકડો નકલી પ્રોફાઇલ્સ પર ડેટા માંગતો હોય તેવો વિચાર કરો.
ડિલિવરી "સામાન્ય રીતે ઉપયોગમાં લેવાતા" સુરક્ષિત ફોર્મેટમાં હોવી જોઈએ. એક ઝડપી સરખામણી:
| બંધારણમાં | ગુણ | વિપક્ષ |
|---|---|---|
| એન્ક્રિપ્ટેડ પીડીએફ | વાંચી શકાય તેવું; સરળ સંપાદન | નબળા પાસવર્ડ્સ શક્ય છે |
| CSV નિકાસ | મશીન દ્વારા વાંચી શકાય તેવું; નાનું કદ | સામાન્ય લોકો માટે વધુ મુશ્કેલ |
| સુરક્ષિત પોર્ટલ | 2FA અને ઓડિટ ટ્રેઇલ | જાળવણી ખર્ચાળ |
ગમે તે માર્ગ પસંદ કરવામાં આવે, નિયંત્રકોએ વાજબી પસંદગીઓનું સન્માન કરવું જોઈએ અને માલિકીના લોક-ઇન ટાળવું જોઈએ.
સુરક્ષિત ટ્રાન્સમિશન અને ડેટા મિનિમાઇઝેશન
ક્યારેય ઇમેઇલ દ્વારા અસુરક્ષિત સ્પ્રેડશીટ્સ મોકલશો નહીં. પાસવર્ડ-સંરક્ષિત ફાઇલો (કી અલગથી શેર કરો), બે-પરિબળ પ્રમાણીકરણ સાથે HTTPS પોર્ટલ અથવા કાગળના બંડલ માટે રજિસ્ટર્ડ મેઇલનો ઉપયોગ કરો. ટ્રાન્સમિશન પહેલાં, તૃતીય-પક્ષ ડેટાને રીડેક્શન સોફ્ટવેરથી સાફ કરો અને વધારાના ફીલ્ડ્સ દૂર કરો. આ કલમ 5(1)(c) ના લઘુત્તમકરણને પૂર્ણ કરે છે જ્યારે સહકાર્યકરો, વેપાર રહસ્યો અને નજીકના લોકોનું રક્ષણ કરે છે.
પ્રવેશને પ્રતિબંધિત કરવા અથવા નકારવા માટેના કાયદેસર કારણો
કલમ ૧૫ શક્તિશાળી છે, છતાં અમર્યાદિત નથી. ફકરો ૪ અને પાઠ ૬૩ સ્પષ્ટ કરે છે કે જ્યારે માહિતી સોંપવી અન્ય મૂળભૂત અધિકારો સાથે ટકરાશે અથવા સ્પષ્ટપણે ગેરવાજબી હશે ત્યારે નિયંત્રક માહિતીને કાપી શકે છે અથવા જાહેર કરવાનો ઇનકાર પણ કરી શકે છે. પુરાવાનો ભાર નિયંત્રક પર રહે છે: તમારે દસ્તાવેજ સંપૂર્ણ ઍક્સેસ શા માટે તે સ્પર્ધાત્મક હિતોને નબળી પાડશે અને તમે તેની અસર કેવી રીતે ઘટાડી (દા.ત., આંશિક સંપાદન).
તૃતીય-પક્ષ ગોપનીયતાનું રક્ષણ કરવું
સહકાર્યકરો અથવા ગ્રાહકોના નામ ધરાવતી ઇમેઇલ ચેઇન જાહેર કરવાથી તેમના વ્યક્તિગત ડેટા. ડચ કેસ લો (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) પુષ્ટિ કરે છે કે નિયંત્રકો તૃતીય-પક્ષ ઓળખકર્તાઓને ખાલી કરી શકે છે અથવા સારાંશ આપી શકે છે, જો વિનંતીકર્તા હજુ પણ સંદર્ભ સમજે છે. તકનીકો:
- બ્લેક-લાઇન નામો અને ફોન નંબરો
- તટસ્થ શબ્દો ("બીજા કર્મચારી") થી બદલો
- આખી ફાઇલને બદલે અર્ક આપો
વેપાર રહસ્યો, બૌદ્ધિક સંપત્તિ અને કૉપિરાઇટ
કંપનીઓને તેમના અલ્ગોરિધમિક કીમોનો ખોલવાની જરૂર નથી. જો સોર્સ કોડ, કિંમત નિર્ધારણ સૂત્રો અથવા કૉપિરાઇટ કરેલી સામગ્રી જાહેર કરવાથી ગુપ્ત જાણકારી છતી થાય છે, તો કલમ 15(4) એક માપાંકિત પ્રતિભાવની મંજૂરી આપે છે. લાક્ષણિક ઉકેલ: સંપૂર્ણ કોડ નહીં, પણ સાદા અંગ્રેજીમાં સ્વયંસંચાલિત નિર્ણયના તર્કનું વર્ણન કરો; માલિકીના નમૂના નહીં, પરંતુ કરારના સમયપત્રકના અંશો આપો. હંમેશા સમજાવો કે શા માટે ઊંડી જાહેરાત વ્યાપારી હિતોને નુકસાન પહોંચાડશે.
અધિકારોના દુરુપયોગને અટકાવવો
એક વિનંતી છે સ્પષ્ટપણે પાયાવિહોણું અથવા અતિશય જ્યારે તે પુનરાવર્તિત, હેરાન કરનારું અથવા ઇરાદાપૂર્વક બોજારૂપ હોય - ત્યારે સંપૂર્ણ ડેટા પહેલાથી જ પહોંચાડાયા પછી સાપ્તાહિક કોપી-પેસ્ટ SARs વિચારો. નિયંત્રકો પછી:
- વહીવટી ખર્ચ દર્શાવતી "વાજબી ફી" વસૂલ કરો, or
- બિલકુલ કાર્યવાહી કરવાનો ઇનકાર કરો.
કોઈપણ રીતે, તમારે લેખિતમાં તમારા વલણને યોગ્ય ઠેરવવું પડશે અને ડેટા વિષયને Autoriteit Persoonsgegevens ને ફરિયાદ કરવાના તેમના અધિકારની જાણ કરવી પડશે.
નિવારણની શોધ: નેધરલેન્ડ્સમાં ફરિયાદો અને મુકદ્દમા
જ્યારે કોઈ નિયંત્રક લક્ષ્ય ચૂકી જાય છે, ત્યારે ડેટા વિષયો પાસે GDPR (AVG ના કલમ 15 નો અવકાશ) હેઠળ ઍક્સેસના અધિકારને લાગુ કરવા માટે ઝડપી, વધતા વિકલ્પો હોય છે.
- આંતરિક ધક્કો. કલમ ૧૫ અને વીતી ગયેલી સમયમર્યાદાનો સંદર્ભ આપીને તારીખવાળું રીમાઇન્ડર મોકલો; મોટાભાગની સંસ્થાઓ એકવાર પૂછવામાં આવે ત્યારે તેનું પાલન કરે છે.
- Autoriteit Personsgevens ફરિયાદ. ઓનલાઇન ફાઇલ કરો. એપી ખુલાસો કરવાનો આદેશ આપી શકે છે, દૈનિક દંડની ચુકવણી લાદી શકે છે અથવા વહીવટી દંડ વસૂલ કરી શકે છે. સરળ કેસ ઘણીવાર ત્રણ મહિનામાં બંધ થઈ જાય છે.
- સિવિલ કોર્ટની કાર્યવાહી. કલમ 82 GDPR હેઠળ ડચ કોર્ટ મનાઈ હુકમ આપી શકે છે અને વળતર આપી શકે છે. તાજેતરના ચુકાદાઓએ ફાસ્ટ-ટ્રેક સાથે, તકલીફ માટે €250–€2,500 મંજૂર કર્યા છે કોર્ટ ગેડિંગ તાત્કાલિક રોજગાર હરોળ માટે ઉપલબ્ધ રાહત.
સરહદ પાર સહયોગ અને વન-સ્ટોપ-શોપ
જો કંટ્રોલરનું EU મુખ્ય મથક બીજે ક્યાંય આવેલું હોય તો પણ ડચ નિવાસી AP ને ફરિયાદ કરી શકે છે. AP ફાઇલને GDPR દ્વારા ફોરવર્ડ કરે છે. એક સ્ટોપ દુકાન, અને યુરોપિયન ડેટા પ્રોટેક્શન બોર્ડ કોઈપણ નિયમનકારી ગતિરોધને તોડી શકે છે - તેથી ભૂગોળ તમારા ડેટા મેળવવામાં કોઈ અવરોધ નથી.
સંસ્થાઓ માટે પાલન બ્લુપ્રિન્ટ
પહેલી વિનંતી આવે તે પહેલાં એક વ્યવસ્થિત SAR પ્રક્રિયા શરૂ થાય છે. આ આવશ્યક બાબતો બનાવો અને 90% ઍક્સેસ માથાનો દુખાવો અદૃશ્ય થઈ જશે:
- ટૂંકી, સરળ અંગ્રેજીમાં SAR નીતિ પ્રકાશિત કરો અને તેના પર સ્ટાફને ધ્યાન આપો.
- તમારા પ્રોસેસિંગ એક્ટિવિટીઝના રેકોર્ડ્સ (RoPA) ને અદ્યતન રાખો - જેથી તમને ખબર પડે કે ડેટા ક્યાં રહે છે.
- નકશા રીટેન્શન પીરિયડ્સ અને ડિલીટેશન ટ્રિગર્સ; જૂનો ડેટા એ ડેટા છે જે તમારે ક્યારેય સોંપવાની જરૂર નથી.
- ડ્યુઅલ-કંટ્રોલ રિવ્યૂ સાથે સ્ટેપ-બાય-સ્ટેપ રિડેક્શન વર્કફ્લો જાળવો.
- કલમ 5 માટેની દરેક વિનંતી, નિર્ણય અને સમયમર્યાદા રેકોર્ડ કરો. જવાબદારી.
- ગતિ, સ્પષ્ટતા અને આદેશ શૃંખલા ચકાસવા માટે વાર્ષિક ટેબલટોપ ડ્રીલ ચલાવો.
મૌખિક વિનંતીઓ શોધવા અને તેનું મૂલ્યાંકન કરવા માટે ફ્રન્ટ-ઓફિસ, HR અને IT ને તાલીમ આપો; એક મિસ્ડ ફોન કોલ પેનલ્ટી ક્લોક શરૂ કરી શકે છે.
ઓટોમેશન અને સાધનો
ડેટા-ડિસ્કવરી સોફ્ટવેર, ID-વેરિફિકેશન API અને સુરક્ષિત ડાઉનલોડ પોર્ટલનો ઉપયોગ કરીને ડેટા ઝડપથી શોધો, પેકેજ કરો અને ટ્રાન્સમિટ કરો - જે હંમેશા માનવીય સમજ-તપાસ અને સંદર્ભ માટે જગ્યા છોડે છે.
અન્ય ડેટા વિષય અધિકારો સાથે એકીકરણ
SAR વર્કફ્લોને સુધારણા, ભૂંસી નાખવા અથવા પોર્ટેબિલિટી ક્રિયાઓમાં વહેંચવા માટે ડિઝાઇન કરો; એક સુસંગત પાઇપલાઇન ડુપ્લિકેટ શોધ અને અસંગત જવાબોને ટાળે છે.
ડેટા વિષયોને સશક્તિકરણ: અસરકારક વિનંતીઓ માટે વ્યવહારુ ટિપ્સ
સ્પષ્ટ, સારી રીતે આવરી લેવાયેલ SAR દરેકનો સમય બચાવે છે અને નિયંત્રક માટે તેને રોકવાનું મુશ્કેલ બનાવે છે. આ યુક્તિઓ અજમાવો:
- નિર્દેશ શું તમારે જોઈએ છે: "મારા અને મેનેજર જેન્સન વચ્ચેના બધા ઈ-મેઈલ 1 જાન્યુઆરી - 31 માર્ચ 2024 સુધી."
- ઉલ્લેખ કરો જ્યાં તે લખેલું છે: "HR સિસ્ટમ અને હેલ્પ-ડેસ્ક ટિકિટ."
- તમારા જણાવો પસંદગીનું ફોર્મેટ (CSV, PDF) અને સુરક્ષિત ચેનલ.
- જ્યારે સંબંધિત હોય ત્યારે તાકીદને ચિહ્નિત કરો ("આગામી") કામગીરી સમીક્ષા ૧૫ ઓક્ટોબરના રોજ").
એકવાર ડેટા આવી જાય, પછી ભૂલો અથવા ગાબડા માટે સ્કેન કરો અને તરત જ સુધારણા અથવા ભૂંસી નાખવાની વિનંતી શરૂ કરો - તે જ પુરાવાના ટ્રેઇલ પર સવારી કરવાથી ગતિ જળવાઈ રહે છે.
અવગણવામાં આવે તો વધારો વ્યૂહરચના
૩૧મો દિવસ અને હજુ પણ રેડિયો સાયલન્સ? નમ્ર પણ મક્કમ રહો:
Subject: Reminder – Article 15 GDPR/AVG request overdue
Dear [Controller],
On [date] I requested access to my personal data. The one-month term has passed without a response.
Please provide the information within seven days or explain the lawful basis for any refusal.
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.
Regards,
[Name]
દરેક પગલાનું દસ્તાવેજીકરણ કરો (તારીખો, ઇમેઇલ્સ, ફોન લોગ). જો વધારાનો અઠવાડિયું સમાપ્ત થાય, તો AP સાથે ઓનલાઈન ફરિયાદ નોંધાવો અને તમારા પુરાવા બંડલને જોડો; કોર્ટ અને નિયમનકારો સુવ્યવસ્થિત દાવેદારોની તરફેણ કરે છે.
તમારા પ્રવેશ અધિકારને પૂર્ણ કરી રહ્યા છીએ
કલમ ૧૫ GDPR/AVG વ્યક્તિઓને ડ્રાઇવિંગ સીટ પર બેસાડે છે: તમે પૂછી શકો છો, જોઈ શકો છો અને પડકાર આપી શકો છો કે સંસ્થા તમારા ડેટા સાથે શું કરે છે. નિયંત્રકો માટે, સ્પષ્ટ પ્રક્રિયાઓ, વ્યવસ્થિત રેકોર્ડ અને સમજદાર સુધારા વૈકલ્પિક નથી - તે એક મહિનાની સમયમર્યાદા સુધી પહોંચવાનો અને Autoriteit Persoonsgegevens ની ઝગઝગાટથી બચવાનો એકમાત્ર રસ્તો છે.
મૂળભૂત રમતપુસ્તક યાદ રાખો:
- વિનંતી અનૌપચારિક હોઈ શકે છે,
- પ્રતિભાવ મુક્ત, સમયસર અને સંપૂર્ણ હોવો જોઈએ,
- મર્યાદાઓ સાંકડી છે અને તેને વાજબી ઠેરવવી જોઈએ,
- આંશિક ખુલાસો સંપૂર્ણ ઇનકાર કરતાં વધુ સારો છે.
તે નિયમોનું પાલન કરો અને પ્રવેશનો અધિકાર કોર્ટરૂમના માથાનો દુખાવો બનવાને બદલે નિયમિત પાલન કાર્ય બની જશે.
શું તમને એક ખાસ SAR ટેમ્પલેટ, તૃતીય-પક્ષ ડેટાને ગૂંચવવામાં મદદ, અથવા એક હઠીલા નિયંત્રક માટે વ્યૂહરચના જોઈએ છે? Law & More તમે મદદ કરવા તૈયાર છો—ભલે તમે જવાબો શોધતા ડેટા વિષય હોવ કે પછી નિશ્ચિતતા શોધતી કંપની.
