일반 데이터 보호 규정(GDPR) 제15조는 네덜란드 법률에 일반 데이터 보호법(Algemene Verordening Gegevensbescherming, AVG)을 통해 명시되어 있으며, 모든 개인에게 조직이 자신의 개인 데이터를 처리하는지 여부를 확인하고, 사본을 취득하며, 목적, 수신자, 보관 기간 등 관련 정보를 확인할 수 있는 명확한 권리를 부여합니다. 이 권리는 투명성과 책임성의 근간을 이룹니다. 개인은 이를 통해 자신에 대해 어떤 정보가 보관되는지 확인할 수 있으며, 기업은 데이터 관행을 투명하고, 문서화되고, 방어 가능한 방식으로 유지해야 합니다.

자체 HR 파일을 요청하거나 고객의 정보주체 접근 요청에 답변할 준비를 하는 경우, 제15조의 정확한 범위와 한계를 아는 것이 벌금, 분쟁 및 평판 손상 위험을 줄이는 데 도움이 됩니다. 다음 페이지에서는 법률 문서를 쉬운 영어로 번역하고, 정보주체에게 단계별 요청 템플릿을 안내하고, 관리자에게 기한, 수수료 및 정보 삭제 의무에 대해 안내하고, Autoriteit Persoonsgegevens가 시행하는 네덜란드 관련 규정을 표시하고, 양측을 위한 실용적인 체크리스트로 마무리합니다.

제15조 AVG를 쉬운 영어로 해독하기

“개인정보주체는 개인정보처리자에게 본인에 관한 개인정보가 처리되고 있는지 여부에 대한 확인을 받을 권리가 있으며, 그러한 경우 개인정보에 접근할 권리가 있습니다…” — 제15조(1)항 GDPR

쉽게 말해서: 어떤 조직에든 질문할 수 있습니다. "저에 대한 데이터를 저장하시나요? 그렇다면 어떤 데이터를, 왜, 누구와, 얼마나 오랫동안 보관하는지 알려주세요." 이것이 GDPR에 따른 접근 권리의 본질입니다. 네덜란드의 AVG 제15조의 범위는 동일합니다. 네덜란드의 Uitvoeringswet AVG는 내용을 변경하지 않고 단지 집행을 지역화하기 때문입니다.

요청을 제출하면 다음 8가지 구체적인 항목에 대한 권리가 부여됩니다.

1. 처리 확인
2. 개인 데이터 사본
3. 처리 목적
4. 관련 데이터 범주
5. 수신자 또는 수신자 범주
6. 계획된 보관 기간 또는 이를 결정하는 기준
7. 행사할 수 있는 기타 GDPR 권리
8. EEA 외부로의 모든 전송에 대한 보호 조치

이 권리는 개인적입니다. 즉, 데이터 주체(또는 유효한 대리인)만이 이를 주장할 수 있습니다. 순수한 귀하의 데이터 수신과 관련하여. 단, 관리자는 다른 기본권(영업 비밀, 제3자의 사생활 보호 등)이 침해될 수 있는 경우 접근 권한을 축소하거나 거부할 수 있습니다.

법률 텍스트 대 일반인이 이해하기 쉬운 용어

한눈에 보는 주요 내용

• 컨트롤러가 작동하는 데 얼마나 걸릴까요? 한달복잡한 경우에는 3개까지 확장 가능합니다.
• 그들은 나에게 요금을 청구할 수 있나요? 아니단, 요청이 "명백히 근거가 없거나 과도한" 경우는 예외입니다.
• 어떤 형식으로 데이터를 받게 되나요? 보안된 전자 파일 (예: PDF 또는 CSV) 별도로 요청하지 않는 한 그대로 사용 가능합니다.
• 특별한 양식을 사용해야 합니까? 아니이메일, 편지, 심지어 전화통화도 가능합니다.
• 만약 그들이 저에게 아무것도 요구하지 않는다면요? 같은 기한 내에 서면으로 그렇게 말해야 합니다.

누가 누구에게 권리를 행사할 수 있는가?

GDPR 제4조(1)항에 따라 데이터 주체 고객, 직원, 환자 또는 미성년 학생 등 모든 생존하고 식별 가능한 자연인을 말합니다. 각 개인은 GDPR에 따라 접근 권한을 행사할 수 있습니다. AVG 제15조의 적용 범위는 연령, 국적 또는 거주지를 차별하지 않습니다. 요청은 다음 주소로 보내야 합니다. 제어 장치: 결정하는 당사자 why 방법 데이터가 처리됩니다. 단순히 데이터를 저장하는 클라우드 공급자 또는 급여 대행업체는 프로세서; 요청을 컨트롤러에게 전달해야 하지만 직접적인 지시를 거부할 수는 없습니다.

네덜란드 거주자는 네덜란드 시장을 타겟으로 하는 해외 기업(예: 아일랜드 기반 소셜 네트워크)에 요청을 보낼 수도 있습니다. 1개월 기간은 컨트롤러가 요청을 수신한 순간부터 시작되며, 해당 컨트롤러의 서버 위치와 관계없이 적용됩니다.

특수 상황: 대리인, 사망자, 부모 및 보호자

• 미성년자 및 무능력한 성인: 부모, 보호자 또는 후견인이 네덜란드 민법 제1편에 따라 그들을 대신하여 행동할 수 있습니다.
• 학교 및 고용주: 학생 및 직원 그들 자신 주체 접근 요청(SAR)을 제출할 수 있습니다. 대리인은 선택 사항이며 필수가 아닙니다.
• 사망자는 GDPR의 적용을 받지 않지만, 의사, 공증인, 보험사는 관련 파일을 공개하기 전에 여전히 직업상 비밀 유지 규칙을 준수해야 합니다.

공유 시스템에서의 통제자의 공동 책임

두 개 이상의 조직이 있는 경우 공동으로 처리 목적 또는 수단을 결정합니다(GDPR 제26조) - 예를 들어 고용주와 HR 소프트웨어 공급업체는 다음과 같습니다. 공동 컨트롤러. 그들은 누가 제15조 요청에 응답할지 투명하게 합의하고 데이터 주체에게 알려야 하지만, 상대방이 책임을 지지 않을 경우 각자 책임을 져야 합니다.

공개해야 할 사항: 데이터 및 추가 정보

GDPR에 따른 접근 권한을 주장할 때 AVG 제15조의 범위는 통제자에게 두 가지 사항을 인계하도록 의무화합니다. 실제 개인 데이터 그리고 패키지 문맥적 세부 사항사진과 캡션을 모두 받는 것으로 생각해 보세요. 이 법안은 정보 공개 의무를 아래 나열된 8가지 범주로 구분합니다.

개인 정보는 이름과 전화번호 이상의 의미를 지닙니다. 행동 프로필, 추정 신용 점수, CCTV 영상, 음성 녹음, 기기 ID, 심지어 로그인 타임스탬프와 같이 단순해 보이는 메타데이터까지, 식별 가능한 개인과 직간접적으로 연결될 수 있는 모든 정보를 포함합니다.

“개인정보 사본”에 대한 설명

A 복사 원본 서류가 아닌, 이해할 수 있는 복제본을 의미합니다. 예상:

• 급여 기록 PDF
• CRM 메모의 CSV 내보내기
• 지원 통화 오디오 파일이 포함된 ZIP 파일
  이메일로 요청한 경우, 종이로 된 서류를 요청하지 않는 한 기본적으로 전자 방식으로 "일반적으로 사용되는" 형식으로 전달됩니다.

개인 데이터 vs. 문서: 어디까지 선을 그어야 할까

관리자는 귀하와 관련된 스니펫만 추출해야 합니다. 예를 들어, 여러 직원이 포함된 회의 메모에서 귀하의 발언은 공개되고 동료의 발언은 삭제될 수 있습니다. 반대로, 서명된 고용 계약 모든 조항이 귀하와 관련이 있으므로 전부 공개됩니다.

필수 추가 정보

데이터 사본 외에도 관리자는 데이터 목적, 범주, 수신자, 보존 기간, 사용 가능한 권한, 데이터 출처, 자동화된 의사결정 논리(있는 경우), 그리고 데이터 이전 안전장치를 설명해야 합니다. 모호한 답변에 주의하십시오. "업무 목적"이나 "필요한 기간 동안 보관"과 같은 답변은 Autoriteit Persoonsgegevens(개인정보보호법)을 충족하지 못할 가능성이 높습니다. 포괄적이고 쉬운 언어로 설명하는 것이 불만과 벌금을 예방하는 가장 좋은 방법입니다.

네덜란드에서 주체 접근 요청(SAR)을 제출하고 처리하는 방법

데이터 주체가 원하는 방식(전화 등)으로 주체 접근 요청을 할 수 있습니다. 이메일, 편지, 소셜 미디어 DM, 심지어 채팅 봇까지도 가능합니다. GDPR 12조는 관리자가 특정 양식을 요구하는 것을 금지하므로, "귀하가 보유한 모든 개인 정보의 사본을 원합니다"라는 문구만으로도 충분합니다. 하지만 양측이 마감일을 추적할 수 있도록 서면 기록을 제출하는 것이 가장 좋습니다. 요청이 접수되면 관리자는 즉시 (1) 수신을 확인하고 (2) 일지에 기록해야 합니다. 한달 응답 기간이 있습니다. 첫 달 이후에도 침묵하거나 지연할 경우, Autoriteit Persoonsgegevens(AP)에 신고되어 벌금을 물게 될 수 있습니다.

아래는 데이터 주체가 복사하여 붙여넣을 수 있는 간결하고 이중 언어 템플릿입니다. 법률 용어는 필요하지 않습니다.

Subject: Subject Access Request – Article 15 GDPR/AVG

Dear [Controller],

I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data. 
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).

Kind regards,
[Name] | [Email] | [Any reference number]

---

Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR

Geachte [Verwerkingsverantwoordelijke],

Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt. 
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.

Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]

컨트롤러는 간단한 섭취 워크플로를 생성해야 합니다.[이메일 보호] 사서함, 티켓 번호, 자동 확인 - 나중에 규정 준수를 증명하기 위해.

과도한 수집 없이 신원 확인

통제자는 필요 이상의 데이터를 수집하지 않고 누가 요청하는지 확인하는 데 있어 "합리적"이어야 합니다. AP는 다음을 권장합니다.

• 가능한 경우 기존 계정 데이터(사용자 이름, 클라이언트 ID)와 일치 요청 세부 정보를 일치시킵니다.
• 추가 증거가 불가피한 경우 삭제된 여권을 요청하거나 운전면허증 스캔 BSN, 사진, MRZ는 검은색으로 칠해져 있습니다.
• 검증에 필요한 기간 이상으로 사본을 보관하지 마십시오. 확인 사실을 기록한 다음 해당 파일을 삭제하십시오.

책임을 위한 로깅 및 기록 보관

기본 SAR 로그는 규제 기관과 DPO를 만족시킵니다. 기록:

1. 수신 날짜 및 채널(이메일, 전화 등)
2. 신원 확인 단계 수행
3. 위치한 데이터의 범위
4. 내부 팀 참여
5. 답변 날짜 및 방법 + 청구된 연장
6. 제공된 정보 요약 또는 거부 이유

이 등록부를 유지하면 제5조의 "책임성" 원칙을 뒷받침할 수 있으며 AP가 문을 두드릴 경우 즉시 감사 추적이 가능합니다.

컨트롤러의 타임라인, 수수료 및 배송 형식

시계가 시작되면 컨트롤러가 한달 주체 접근 요청에 응답하기 위해. 한 번 연장할 수 있습니다. 최대 2개월 추가하지만 복잡하거나 수많은 요청에만 해당됩니다. 그들은 첫 달 안에 지연 사유를 설명해야 합니다. 개인 정보가 보관되지 않은 경우에도 관리자는 동일한 기한 내에 답변을 보내 명시적으로 설명해야 합니다.

제12조(5)항은 수수료 없음 규칙을 설정합니다. 즉, 접근은 무료입니다. 요금이 부과되는 것은 요구가 있을 때에만 허용됩니다. “명백히 근거가 없거나 과도하다”—매주 동일한 사본을 요청하는 직원이나 수백 개의 가짜 프로필에 대한 데이터를 요청하는 스패머를 생각해 보세요.

배송은 "일반적으로 사용되는" 보안 형식으로 이루어져야 합니다. 간단히 비교해 보겠습니다.

어떤 경로를 선택하든, 관리자는 합리적인 선호도를 존중하고 독점적 독점을 피해야 합니다.

보안 전송 및 데이터 최소화

보호되지 않은 스프레드시트는 이메일로 보내지 마십시오. 암호로 보호된 파일(키는 별도로 공유), 2단계 인증이 적용된 HTTPS 포털, 또는 서류 묶음의 경우 등기 우편을 사용하십시오. 전송 전에 제3자 데이터를 삭제 소프트웨어로 정리하고 불필요한 필드를 제거하십시오. 이는 동료, 영업 비밀 및 방관자를 보호하는 동시에 제5조(1)(c)의 최소화 요건을 충족합니다.

접근을 제한하거나 거부할 수 있는 합법적 근거

제15조는 강력하지만 제한적이지는 않습니다. 제4항과 전문 63은 정보 제공이 다른 기본권과 충돌하거나 명백히 불합리한 경우, 정보 관리자가 정보 공개를 축소하거나 거부할 수 있음을 명확히 규정하고 있습니다. 입증 책임은 정보 관리자에게 있습니다. 문서 전체 접근이 상충되는 이익을 훼손하는 이유와 그 영향을 완화하는 방법(예: 부분 삭제)을 설명합니다.

제3자 개인 정보 보호

동료나 고객의 이름도 포함된 이메일 체인을 공개하면 다음과 같은 사실이 드러날 수 있습니다. 그들의 개인 정보. 네덜란드 판례법(Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204)은 요청자가 맥락을 이해하는 한, 관리자가 제3자 식별자를 삭제하거나 요약할 수 있음을 명시하고 있습니다. 기술:

• 검은색 선 이름과 전화번호
• 중립적인 용어로 대체("다른 직원")
• 전체 파일 대신 추출물을 제공하세요

영업 비밀, 지적 재산권 및 저작권

기업은 알고리즘의 비밀을 공개할 필요가 없습니다. 소스 코드, 가격 책정 공식 또는 저작권이 있는 자료를 공개하면 기밀 노하우가 노출될 수 있는 경우, 제15조(4)항은 보정된 대응을 허용합니다. 일반적인 해결책은 전체 코드가 아닌 쉬운 영어로 자동화된 의사 결정의 논리를 설명하고, 독점적인 템플릿이 아닌 계약 일정의 발췌본을 제공하는 것입니다. 더 깊은 공개가 상업적 이익을 해칠 수 있는 이유를 항상 설명하십시오.

권리 남용 방지

요청은 명백히 근거가 없거나 과도하다 반복적이거나, 귀찮거나, 고의로 부담을 주는 경우, 즉 전체 데이터가 이미 전달된 후 매주 복사-붙여넣기 SAR을 수행하는 경우를 생각해 보세요. 그런 경우 관리자는 다음을 수행할 수 있습니다.

1. 행정비용을 반영한 "합리적인 수수료"를 청구합니다. or
2. 전혀 행동을 거부한다.
   어느 쪽이든, 귀하는 서면으로 입장을 정당화해야 하며, 개인정보 주체에게 Autoriteit Persoonsgegevens에 불만을 제기할 권리가 있음을 알려야 합니다.

구제책 모색: 네덜란드의 불만 및 소송

데이터 관리자가 목표를 놓친 경우, 데이터 주체는 GDPR(AVG 제15조의 범위)에 따라 접근 권리를 행사하기 위한 신속하고 단계적인 옵션을 갖게 됩니다.

1. 내부적인 넛지. 제15조와 경과된 기한을 언급하는 날짜를 적은 알림을 보내면 대부분의 조직은 알림을 받으면 이를 따릅니다.
2. Autoriteit Persoonsgegevens 불만 사항. 온라인으로 신고하세요. AP는 정보 공개를 명령하고, 일일 벌금을 부과하거나, 행정 벌금을 부과할 수 있습니다. 간단한 사건은 대개 3개월 이내에 종결됩니다.
3. 민사소송. GDPR 82조에 따라 네덜란드 법원 가처분 명령을 내리고 배상금을 지급할 수 있습니다. 최근 판결에서는 긴급 구제를 위해 250~2,500유로의 배상금을 지급했으며, 신속한 처리가 가능합니다. 코르트 게딩 긴급 고용 문제에 대한 구제책이 제공됩니다.

국경 간 협력과 원스톱 서비스

네덜란드 거주자는 통제자의 EU 본사가 다른 곳에 있더라도 AP에 불만을 제기할 수 있습니다. AP는 GDPR을 통해 파일을 전달합니다. 원 스톱 상점및 유럽 ​​데이터 보호위원회 어떠한 규제적 교착 상태도 해소할 수 있으므로 지리적 위치는 데이터를 얻는 데 장애가 되지 않습니다.

조직을 위한 규정 준수 청사진

깔끔한 SAR 프로세스는 첫 번째 요청이 도착하기 훨씬 전부터 시작됩니다. 다음과 같은 필수 요소를 구축하면 접속 관련 골칫거리의 90%가 사라집니다.

• 짧고 쉽게 설명한 SAR 정책을 게시하고 직원들에게 안내하세요.
• 처리 활동 기록(RoPA)을 최신 상태로 유지하여 데이터가 어디에 있는지 파악하세요.
• 보존 기간과 삭제 트리거를 매핑하세요. 오래된 데이터는 결코 넘겨줄 필요가 없는 데이터입니다.
• 이중 통제 검토를 통해 단계별 편집 워크플로를 유지합니다.
• 제5조에 대한 모든 요청, 결정 및 마감일을 기록합니다. 책임.
• 매년 탁상 훈련을 실시하여 속도, 명확성, 지휘 계통을 테스트합니다.

프런트 오피스, HR, IT 부서에 구두 요청을 발견하고 분류하는 방법을 교육하세요. 전화를 한 번만 놓치면 페널티 시계가 시작될 수 있습니다.

자동화 및 도구

데이터 검색 소프트웨어, ID 확인 API 및 안전한 다운로드 포털을 사용하여 데이터를 빠르게 찾고, 패키징하고, 전송합니다. 항상 인간의 감각 확인 및 맥락을 고려할 여지를 남겨둡니다.

다른 데이터 주체 권리와의 통합

SAR 워크플로를 정정, 삭제 또는 이식성 작업으로 분기하도록 설계합니다. 일관된 파이프라인 하나로 중복 검색과 일관되지 않은 답변을 방지할 수 있습니다.

데이터 주체에게 권한 부여: 효과적인 요청을 위한 실용적인 팁

명확하고 범위가 명확한 SAR은 모든 사람의 시간을 절약하고 관제사가 지연되는 것을 어렵게 만듭니다. 다음 전략을 시도해 보세요.

• 바늘 끝 뭐 당신이 원하는 것: "2024년 1월 1일부터 3월 31일까지 저와 매니저 Jansen이 주고받은 모든 이메일"
• 언급하다 어디에 "인사 시스템 및 헬프 데스크 티켓"이라고 적혀 있습니다.
• 귀하의 선호하는 형식 (CSV, PDF) 및 보안 채널.
• 관련성이 있는 경우 긴급성을 표시합니다("예정된" 성과 평가 10월 15일”).

데이터가 도착하면 오류나 틈을 스캔하고 즉시 정정이나 삭제 요청을 보냅니다. 동일한 증거를 추적하면 추진력이 유지됩니다.

무시할 경우의 에스컬레이션 전략

31일째인데 아직도 아무 소식이 없나요? 정중하면서도 단호하게 말하세요.

Subject: Reminder – Article 15 GDPR/AVG request overdue

Dear [Controller],

On [date] I requested access to my personal data. The one-month term has passed without a response. 
Please provide the information within seven days or explain the lawful basis for any refusal. 
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.

Regards,
[Name]

모든 단계(날짜, 이메일, 통화 기록)를 기록하세요. 추가 1주가 만료되면 AP에 온라인으로 민원을 제기하고 증거 자료를 첨부하세요. 법원과 규제 기관은 조직력이 뛰어난 청구인을 선호합니다.

접근 권한 마무리하기

GDPR/AVG 제15조는 개인에게 주도권을 부여합니다. 조직이 귀하의 데이터를 어떻게 사용하는지 질문하고, 확인하고, 이의를 제기할 수 있습니다. 관리자에게 명확한 절차, 정돈된 기록, 그리고 합리적인 삭제는 선택 사항이 아닙니다. 이러한 조치는 한 달의 마감일을 준수하고 Autoriteit Persoonsgegevens의 눈총을 피할 수 있는 유일한 방법입니다.

기본 플레이북을 기억하세요.

• 요청은 비공식적일 수 있습니다.
• 응답은 자유롭고 시기적절하며 완전해야 합니다.
• 제한은 좁고 정당화되어야 합니다.
• 부분적 공개는 전면적 거부보다 ​​낫다.

이러한 규칙을 따르면 접근 권리는 법정에서 골치 아픈 일이 아니라 일상적인 준수 사항이 됩니다.

맞춤형 SAR 템플릿, 제3자 데이터 처리 지원, 또는 고집스러운 관리자를 위한 전략이 필요하신가요? 개인정보 보호 전문 변호사들이 Law & More 데이터 주체가 답변을 구하든, 회사가 확실성을 추구하든, 언제든지 개입할 준비가 되어 있습니다.