22 1062702 68d0db3de48f4

Hak Akses Berdasarkan GDPR: Apa Saja yang Dicakup dalam Pasal 15 AVG

Blog /

Pasal 15 Peraturan Perlindungan Data Umum—yang tercantum dalam hukum Belanda melalui Algemene Verordening Gegevensbescherming (AVG)—memberikan hak yang jelas kepada setiap orang untuk mengetahui apakah suatu organisasi memproses data pribadi mereka, untuk mendapatkan salinannya, dan untuk melihat konteks di sekitarnya seperti tujuan, penerima, dan periode penyimpanan. Hak ini merupakan tulang punggung transparansi dan akuntabilitas: hak ini memungkinkan individu untuk memeriksa apa yang disimpan tentang mereka dan memaksa perusahaan untuk menjaga praktik data mereka tetap bersih, terdokumentasi, dan dapat dipertahankan.

Baik Anda meminta berkas SDM Anda sendiri maupun bersiap untuk menjawab permintaan akses subjek dari pelanggan, mengetahui cakupan dan batasan Pasal 15 secara tepat akan mengurangi risiko denda, perselisihan, dan kerusakan reputasi. Di halaman-halaman berikutnya, kami menerjemahkan teks hukum ke dalam bahasa Inggris yang mudah dipahami, memandu subjek data melalui templat permintaan langkah demi langkah, memandu pengawas terkait tenggat waktu, biaya, dan tugas penyuntingan, menandai aturan khusus Belanda yang diberlakukan oleh Autoriteit Persoonsgegevens, dan menutupnya dengan daftar periksa praktis untuk kedua belah pihak.

Menguraikan Pasal 15 AVG dalam Bahasa Inggris Sederhana

“Subjek data berhak memperoleh konfirmasi dari pengawas data mengenai apakah data pribadi yang bersangkutan sedang diproses atau tidak, dan, jika demikian halnya, akses terhadap data pribadi tersebut…” — Pasal 15(1) GDPR

Dengan bahasa yang sederhana: Anda dapat bertanya kepada organisasi mana pun "Apakah Anda menyimpan data tentang saya? Jika ya, tunjukkan apa, mengapa, dengan siapa Anda membagikannya, dan berapa lama Anda menyimpannya." Itulah hakikat hak akses berdasarkan GDPR; cakupan Pasal 15 AVG di Belanda identik karena Uitvoeringswet AVG Belanda hanya melokalisasi penegakan tanpa mengubah substansinya.

Saat Anda mengajukan permintaan, Anda berhak atas delapan hal konkret:

  1. Konfirmasi pemrosesan
  2. Salinan data pribadi
  3. Tujuan pemrosesan
  4. Kategori data yang terlibat
  5. Penerima atau kategori penerima
  6. Periode penyimpanan yang direncanakan atau kriteria untuk menentukannya
  7. Hak GDPR lainnya yang dapat Anda gunakan
  8. Perlindungan untuk setiap transfer di luar EEA

Hak ini bersifat pribadi—hanya subjek data (atau perwakilan yang sah) yang dapat menggunakannya—dan mutlak mengenai penerimaan data Anda sendiri. Namun, pengendali dapat membatasi atau menolak akses ketika hak-hak fundamental lainnya (rahasia dagang, privasi pihak ketiga) akan dirugikan.

Teks Hukum vs. Istilah Awam

Pasal 15 ayat Apa artinya sebenarnya
15 (1) konfirmasi Tanyakan “ya/tidak” apakah mereka memproses data Anda.
15 (1) mengakses Dapatkan data aktual beserta konteksnya.
15 (1) (c) penerima Pelajari siapa yang melihat atau mendapatkan data, di dalam atau di luar perusahaan.
15 (2) transfer ke negara ketiga Cari tahu tentang data yang dikirim ke luar EEA dan perlindungan yang digunakan.
15 (3) salinan Dapatkan informasi dalam format digital yang dapat digunakan kembali, tanpa biaya.

Poin-poin Penting Secara Sekilas

  • Berapa lama waktu yang dibutuhkan pengontrol? Satu bulan, dapat diperluas hingga tiga untuk kasus yang rumit.
  • Bisakah mereka menagih saya? Tidak, kecuali permintaan tersebut “jelas tidak berdasar atau berlebihan.”
  • Dalam format apa saya akan menerima datanya? File elektronik yang aman (misalnya, PDF atau CSV) kecuali Anda meminta sebaliknya.
  • Haruskah saya menggunakan formulir khusus? Tidak; email, surat, atau bahkan panggilan telepon dihitung.
  • Bagaimana jika mereka tidak menyimpan apa pun terhadap saya? Mereka harus menyatakannya secara tertulis dalam tenggat waktu yang sama.

Siapa yang Dapat Menggunakan Hak tersebut dan Terhadap Siapa?

Berdasarkan Pasal 4(1) GDPR a subjek data adalah setiap orang perseorangan yang hidup dan dapat diidentifikasi—baik pelanggan, karyawan, pasien, maupun murid di bawah umur. Masing-masing dari mereka dapat menggunakan hak akses berdasarkan GDPR: cakupan Pasal 15 AVG tidak mendiskriminasi usia, kewarganegaraan, atau tempat tinggal. Permintaan harus ditujukan kepada pengawas:pihak yang memutuskan mengapa dan bagaimana data diproses. Penyedia cloud atau biro penggajian yang hanya menyimpan data adalah prosesor; ia harus meneruskan permintaan ke pengontrol tetapi tidak dapat menolak instruksi langsung.

Penduduk Belanda juga dapat mengajukan permintaan mereka ke perusahaan asing yang menargetkan pasar Belanda (misalnya, jejaring sosial yang berbasis di Irlandia). Jangka waktu satu bulan dimulai sejak pengendali menerima permintaan, terlepas dari lokasi servernya.

Situasi Khusus: Perwakilan, Orang yang Meninggal, Orang Tua dan Wali

  • Anak di bawah umur dan orang dewasa yang tidak cakap: orang tua, wali, atau kurator dapat bertindak atas nama mereka berdasarkan Buku 1 Kitab Undang-Undang Hukum Perdata Belanda.
  • Sekolah dan majikan: murid dan karyawan diri dapat mengajukan Permintaan Akses Subjek (SAR); perwakilan bersifat opsional, tidak diwajibkan.
  • Orang yang meninggal dunia tidak termasuk dalam GDPR, namun dokter, notaris, dan perusahaan asuransi tetap harus menghormati aturan kerahasiaan profesional sebelum mengungkapkan berkas terkait.

Tanggung Jawab Bersama Pengendali dalam Sistem Bersama

Ketika dua atau lebih organisasi bersama menentukan tujuan atau cara pemrosesan (Pasal 26 GDPR)—misalnya, pemberi kerja dan vendor perangkat lunak SDM-nya—mereka pengendali bersamaMereka harus secara transparan menyepakati siapa yang akan menjawab permintaan Pasal 15, dan menginformasikan subjek data, tetapi masing-masing tetap bertanggung jawab jika pihak lain lalai.

Apa yang Harus Diungkapkan: Data dan Informasi Tambahan

Saat Anda menggunakan hak akses berdasarkan GDPR, cakupan Pasal 15 AVG mewajibkan pengontrol untuk menyerahkan dua hal: data pribadi aktual dan satu paket detail kontekstualAnggap saja seperti menerima foto dan keterangannya. Undang-undang ini membagi kewajiban pengungkapan menjadi delapan kategori, yang tercantum di bawah ini.

Pasal 15(1) butir Apa yang seharusnya Anda terima
(a) Konfirmasi A jelas ya Tidak apakah data Anda diproses
(b) Tujuan Alasan data tersebut ada (misalnya, penggajian, pemasaran)
(c) Kategori Jenis seperti detail kontak, riwayat pembelian, log GPS
(d) Penerima Tim internal dan mitra atau pemroses eksternal
(e) Retensi Periode atau kriteria yang tepat (misalnya, “7 tahun untuk hukum pajak”)
(f) Hak Pengingat Anda dapat memperbaiki, menghapus, membatasi, menolak, mengeluh
(g) Sumber Dari mana data tersebut berasal jika tidak dikumpulkan dari Anda
(h) Transfer Perlindungan untuk setiap pengiriman di luar EEA

Data pribadi lebih dari sekadar nama dan nomor. Data ini mencakup profil perilaku, skor kredit yang dikira-kira, rekaman CCTV, rekaman suara, ID perangkat, dan bahkan metadata yang terkesan samar seperti stempel waktu masuk—apa pun yang dapat dikaitkan, baik langsung maupun tidak langsung, dengan seseorang yang dapat diidentifikasi.

“Salinan Data Pribadi” Dijelaskan

A salinan berarti reproduksi yang dapat dipahami, bukan berkas kertas asli. Harapkan:

  • PDF catatan penggajian Anda
  • Ekspor CSV catatan CRM
  • ZIP dengan file audio panggilan dukungan
    Jika Anda mengirimkan permintaan melalui email, pengiriman default juga harus berupa elektronik dan dalam format yang “umum digunakan” kecuali Anda meminta dalam bentuk kertas.

Data Pribadi vs. Dokumen: Batasan yang Harus Ditetapkan

Pengendali harus mengekstrak hanya cuplikan yang berkaitan dengan Anda. Misalnya, dalam memo rapat yang berisi beberapa karyawan, pernyataan lisan Anda dapat diungkapkan sementara komentar rekan kerja dihapus. Sebaliknya, memo yang ditandatangani kontrak kerja diungkapkan secara lengkap karena setiap klausul menyangkut Anda.

Informasi Tambahan Wajib

Selain salinan data, pengontrol harus menjelaskan: tujuan, kategori, penerima, penyimpanan, hak yang tersedia, sumber data, logika di balik keputusan otomatis (jika ada), dan perlindungan transfer. Waspadai jawaban yang tidak jelas—"untuk tujuan bisnis" atau "disimpan selama diperlukan" kemungkinan besar tidak akan memuaskan Otoritas Informasi Pribadi. Penjelasan yang komprehensif dan lugas adalah perlindungan terbaik terhadap keluhan dan denda.

Cara Mengirim dan Menangani Permintaan Akses Subjek (SAR) di Belanda

Permintaan Akses Subjek dapat dilakukan dengan cara apa pun yang disukai subjek data—melalui telepon, email, surat, DM media sosial, atau bahkan bot obrolan. Pasal 12 GDPR melarang pengawas untuk meminta formulir tertentu, jadi "Saya ingin salinan semua data pribadi yang Anda miliki tentang saya" sudah cukup untuk memulai penghitungan waktu. Namun, praktik terbaik adalah mengajukan catatan tertulis agar kedua belah pihak dapat melacak tenggat waktu. Setelah permintaan diterima, pengawas harus segera (1) mengakui penerimaan, dan (2) mencatat satu bulan Periode respons. Keheningan atau penundaan setelah bulan pertama berisiko menimbulkan keluhan dari Autoriteit Persoonsgegevens (AP) dan potensi denda.

Di bawah ini adalah templat data dwibahasa ringkas yang dapat disalin-tempel oleh subjek data; tidak memerlukan jargon hukum.

Subject: Subject Access Request – Article 15 GDPR/AVG

Dear [Controller],

I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data. 
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).

Kind regards,
[Name] | [Email] | [Any reference number]

---

Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR

Geachte [Verwerkingsverantwoordelijke],

Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt. 
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.

Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]

Pengendali harus membuat alur kerja penerimaan yang sederhana—[email dilindungi] kotak surat, nomor tiket, konfirmasi otomatis—untuk membuktikan kepatuhan nanti.

Verifikasi Identitas Tanpa Pengumpulan Berlebihan

Pengendali harus "wajar" dalam memeriksa siapa yang bertanya tanpa mengambil data lebih dari yang dibutuhkan. AP merekomendasikan:

  • Cocokkan rincian permintaan dengan data akun yang ada (nama pengguna, ID klien) jika memungkinkan.
  • Jika bukti tambahan tidak dapat dihindari, mintalah paspor yang telah disunting atau pemindaian SIM dengan BSN, foto, dan MRZ dihitamkan.
  • Jangan pernah menyimpan salinan lebih lama dari yang dibutuhkan untuk verifikasi; catat fakta pemeriksaan, lalu hapus berkasnya.

Pencatatan dan Pencatatan untuk Akuntabilitas

Catatan SAR dasar membuat regulator—dan DPO Anda—senang. Catat:

  1. Tanggal penerimaan dan saluran (email, panggilan, dll.)
  2. Langkah-langkah verifikasi identitas telah diambil
  3. Ruang lingkup data yang ditemukan
  4. Tim internal yang terlibat
  5. Tanggal dan metode balasan + ekstensi apa pun yang diklaim
  6. Ringkasan informasi yang diberikan atau alasan penolakan

Memelihara register ini mendukung prinsip “akuntabilitas” Pasal 5 dan menyediakan jejak audit yang siap pakai jika AP mengetuk pintu Anda.

Jadwal, Biaya, dan Format Pengiriman Pengendali

Ketika jam dimulai, pengontrol memiliki satu bulan untuk menjawab permintaan akses subjek. Mereka dapat diperpanjang sekali hingga dua bulan tambahan, tetapi hanya untuk permintaan yang kompleks atau banyak dan Mereka harus menjelaskan keterlambatan tersebut dalam bulan pertama. Jika tidak ada data pribadi yang disimpan, pengawas tetap harus menjawab dalam tenggat waktu yang sama dan menjelaskannya secara eksplisit.

Pasal 12(5) menetapkan aturan tanpa biaya: akses gratis. Biaya hanya diperbolehkan jika ada permintaan. “jelas tidak berdasar atau berlebihan”—bayangkan seorang karyawan meminta salinan identik setiap minggu, atau seorang pengirim spam meminta data pada ratusan profil palsu.

Pengiriman harus dalam format aman yang "umum digunakan". Perbandingan singkat:

dibentuk Pro Kekurangan
PDF terenkripsi Mudah dibaca; penyuntingan mudah Kemungkinan kata sandi lemah
Ekspor CSV Dapat dibaca mesin; ukuran kecil Lebih sulit bagi orang awam
Portal aman 2FA dan jejak audit Mahal untuk dirawat

Rute mana pun yang dipilih, pengendali harus menghormati preferensi yang wajar dan menghindari penguncian hak milik.

Transmisi Aman dan Minimalisasi Data

Jangan pernah mengirim spreadsheet yang tidak terlindungi melalui email. Gunakan berkas yang dilindungi kata sandi (bagikan kuncinya secara terpisah), portal HTTPS dengan autentikasi dua faktor, atau surat tercatat untuk berkas kertas. Sebelum pengiriman, bersihkan data pihak ketiga dengan perangkat lunak penyuntingan dan hapus kolom yang berlebih. Hal ini memenuhi prinsip minimalisasi Pasal 5(1)(c) sekaligus melindungi rekan kerja, rahasia dagang, dan orang-orang di sekitar.

Alasan yang Sah untuk Membatasi atau Menolak Akses

Pasal 15 memang kuat, namun bukan tanpa batas. Paragraf 4 dan Pertimbangan 63 menegaskan bahwa pengawas dapat mengurangi atau bahkan menolak pengungkapan informasi jika penyerahan informasi tersebut bertentangan dengan hak-hak fundamental lainnya atau dianggap tidak wajar. Beban pembuktian berada di tangan pengawas: Anda harus dokumen mengapa akses penuh akan merugikan kepentingan yang bersaing tersebut dan bagaimana Anda mengurangi dampaknya (misalnya, penyuntingan sebagian).

Melindungi Privasi Pihak Ketiga

Mengungkapkan rangkaian email yang juga mencantumkan nama rekan kerja atau pelanggan dapat mengungkapkan mereka data pribadi. Yurisprudensi Belanda (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) menegaskan bahwa pengendali dapat menghapus atau meringkas pengenal pihak ketiga, asalkan pemohon masih memahami konteksnya. Teknik:

  • Nama dan nomor telepon garis hitam
  • Ganti dengan istilah netral (“karyawan lain”)
  • Menyediakan ekstrak, bukan seluruh file

Rahasia Dagang, Kekayaan Intelektual, dan Hak Cipta

Perusahaan tidak perlu membuka kimono algoritmik mereka. Jika pengungkapan kode sumber, formula penetapan harga, atau materi berhak cipta akan mengungkap pengetahuan rahasia, Pasal 15(4) memungkinkan respons yang terkalibrasi. Solusi umum: jelaskan logika keputusan otomatis dalam bahasa sederhana, bukan kode lengkapnya; berikan kutipan jadwal kontrak, bukan templat kepemilikan. Selalu jelaskan mengapa pengungkapan yang lebih luas akan merugikan kepentingan komersial.

Mencegah Penyalahgunaan Hak Asasi Manusia

Sebuah permintaan adalah jelas tidak berdasar atau berlebihan Jika berulang, mengganggu, atau sengaja memberatkan—bayangkan SAR salin-tempel mingguan setelah data lengkap telah dikirimkan. Pengendali kemudian dapat:

  1. Kenakan “biaya yang wajar” yang mencerminkan biaya administrasi, or
  2. Menolak untuk bertindak sama sekali.
    Apa pun caranya, Anda harus membenarkan pendirian Anda secara tertulis dan memberi tahu subjek data tentang hak mereka untuk mengajukan keluhan kepada Autoriteit Persoonsgegevens.

Mencari Pemulihan: Keluhan dan Litigasi di Belanda

Ketika pengendali gagal memenuhi sasaran, subjek data memiliki pilihan yang cepat dan meningkat untuk menegakkan hak akses berdasarkan GDPR (cakupan Pasal 15 AVG).

  1. Dorongan internal. Kirimkan pengingat bertanggal yang merujuk pada Pasal 15 dan batas waktu yang telah berlalu; sebagian besar organisasi akan mematuhinya setelah diminta.
  2. Keluhan Persoonsgegevens Autoriteit. Ajukan secara daring. AP dapat memerintahkan pengungkapan, mengenakan denda harian, atau mengenakan denda administratif. Kasus-kasus sederhana seringkali selesai dalam waktu tiga bulan.
  3. Tindakan pengadilan perdata. Berdasarkan Pasal 82 GDPR pengadilan Belanda dapat memberikan perintah pengadilan dan memberikan kompensasi. Putusan terbaru telah memberikan €250–€2.500 untuk kerugian, dengan jalur cepat ringkasan proses bantuan tersedia untuk perselisihan ketenagakerjaan yang mendesak.

Kerjasama Lintas Batas dan Pelayanan Terpadu Satu Atap

Penduduk Belanda tetap dapat mengajukan keluhan kepada AP meskipun kantor pusat pengawas di Uni Eropa berada di tempat lain. AP akan meneruskan berkas tersebut melalui GDPR. Toko serba ada, Dan Badan Perlindungan Data Eropa dapat memecahkan kebuntuan regulasi apa pun—jadi geografi bukan halangan untuk mendapatkan data Anda.

Cetak Biru Kepatuhan untuk Organisasi

Proses SAR yang rapi dimulai jauh sebelum permintaan pertama tiba. Bangun hal-hal penting ini dan 90% masalah akses akan hilang:

  • Publikasikan kebijakan SAR yang singkat dan mudah dipahami, lalu arahkan staf ke sana.
  • Selalu perbarui Catatan Aktivitas Pemrosesan (RoPA) Anda—agar Anda tahu di mana data berada.
  • Petakan periode penyimpanan dan pemicu penghapusan; data basi adalah data yang tidak pernah perlu Anda serahkan.
  • Pertahankan alur kerja redaksi langkah demi langkah dengan peninjauan kontrol ganda.
  • Catat setiap permintaan, keputusan, dan tenggat waktu untuk Pasal 5 akuntabilitas.
  • Jalankan latihan meja tahunan untuk menguji kecepatan, kejelasan, dan rantai komando.

Latih bagian depan, SDM, dan TI dalam mengenali dan memilah permintaan lisan; satu panggilan telepon yang terlewat dapat memulai jam penalti.

Otomasi dan Alat

Gunakan perangkat lunak penemuan data, API verifikasi ID, dan portal unduhan yang aman untuk menemukan, mengemas, dan mengirimkan data dengan cepat—selalu berikan ruang untuk pemeriksaan makna dan konteks manusia.

Integrasi dengan Hak Subjek Data Lainnya

Rancang alur kerja SAR agar bercabang menjadi tindakan perbaikan, penghapusan, atau portabilitas; satu jalur yang koheren menghindari pencarian duplikat dan jawaban yang tidak konsisten.

Memberdayakan Subjek Data: Tips Praktis untuk Permintaan yang Efektif

SAR yang jelas dan tercakup dengan baik akan menghemat waktu semua pihak dan mempersulit pengendali untuk berhenti. Cobalah taktik berikut:

  • Tepat apa Anda ingin: “Semua email antara saya dan manajer Jansen dari 1 Januari – 31 Maret 2024.”
  • Menyebut dimana isinya: “sistem SDM dan tiket meja bantuan.”
  • Sebutkan format yang disukai (CSV, PDF) dan saluran aman.
  • Tandai urgensi ketika relevan (“mendatang ulasan kinerja pada tanggal 15 Oktober”).

Setelah data masuk, pindai untuk menemukan kesalahan atau celah dan segera ajukan permintaan perbaikan atau penghapusan—menggunakan jejak bukti yang sama akan menjaga momentum.

Strategi Eskalasi jika Diabaikan

Hari ke-31 dan masih diam? Tetap sopan tapi tegas:

Subject: Reminder – Article 15 GDPR/AVG request overdue

Dear [Controller],

On [date] I requested access to my personal data. The one-month term has passed without a response. 
Please provide the information within seven days or explain the lawful basis for any refusal. 
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.

Regards,
[Name]

Dokumentasikan setiap langkah (tanggal, email, catatan telepon). Jika minggu tambahan berakhir, ajukan pengaduan daring ke AP dan lampirkan berkas bukti Anda; pengadilan dan regulator lebih menyukai penggugat yang terorganisir dengan baik.

Menyelesaikan Hak Akses Anda

Pasal 15 GDPR/AVG menempatkan individu sebagai pemegang kendali: Anda dapat bertanya, melihat, dan mempertanyakan tindakan organisasi terhadap data Anda. Bagi para pengendali, prosedur yang jelas, catatan yang rapi, dan penyuntingan yang bijaksana bukanlah pilihan—itulah satu-satunya cara untuk memenuhi tenggat waktu satu bulan dan menghindari sorotan dari Autoriteit Persoonsgegevens.

Ingat buku petunjuk dasar:

  • permintaan bisa bersifat informal,
  • Respons harus bebas, tepat waktu, dan lengkap,
  • batasannya sempit dan harus dibenarkan,
  • pengungkapan sebagian lebih baik daripada penolakan menyeluruh.

Patuhi peraturan tersebut dan hak akses menjadi tugas kepatuhan rutin dan bukan lagi masalah yang rumit di ruang sidang.

Butuh templat SAR yang dirancang khusus, bantuan untuk mengurai data pihak ketiga, atau strategi untuk pengontrol yang bandel? Pengacara privasi di Law & More siap untuk turun tangan—apakah Anda subjek data yang mencari jawaban atau perusahaan yang mencari kepastian.

Pos terkait

Law & More