How to Make a GDPR Subject Access Request

Hello everyone,

In this post I will be detailing my attempt at serving a bank with a GDPR subject access request. I’ll let you know how it goes, but we’ll start with the template I will be using to serve this access request. The template is in Portuguese.

Caro Senhor ou Senhora,

Estou a escrever para fazer formalmente um “Subject Access Request” para uma cópia da informação que possui sobre mim, à qual tenho direito ao abrigo do Regulamento Geral de Protecção de Dados de 2018.

Pode identificar os meus registos utilizando as seguintes informações:

Nome completo:

NIF:

Por favor, forneça os dados sobre mim a que tenho direito ao abrigo da lei de protecção de dados, incluindo

confirmação de que está a processar os meus dados pessoais;

uma cópia dos meus dados pessoais;

as finalidades do seu tratamento;

as categorias de dados pessoais em questão;

os destinatários a quem divulga os meus dados pessoais;

o seu período de conservação para guardar os meus dados pessoais;

confirmação da existência do meu direito de solicitar a rectificação, apagamento ou restrição de se opor a esse tratamento;

confirmação do meu direito de apresentar uma reclamação junto do CNPD ou de outra autoridade de controlo;

informação sobre a fonte dos dados;

a existência de qualquer tomada de decisão automatizada (incluindo a definição de perfis); e

as salvaguardas que fornece se transferir os meus dados pessoais para um país terceiro ou organização internacional.

Aguardo com expectativa a sua resposta a este pedido de dados de acordo com o Regulamento Geral de Protecção de Dados. Se normalmente não tratar destes pedidos, queira transmitir esta carta ao seu Responsável pela Protecção de Dados, ou membro do pessoal relevante.

Com os melhores cumprimentos,

Dr. Kevin Gallagher

3 Likes

We received a phone reply and an email reply saying that they have no idea what this is or who to forward it to. We told them, in politer words, “Figure it out.”

1 Like

For sure a bank has a data protection officer… They’ll figure it out

1 Like

Any developments on this?

@kgallagher

I still have no reply.

As expetect. If they took longer than a month, they are actually violating the law…

But they are probably going to tell you you didn’t reach out through a propper means or some other bs excuse

They did take longer than a month, and still no word. Not sure how to proceed, but I’m considering my options.

I just saw a paper where they tested the compliance of mobile app vendors with Subject Access Requests. It doesn’t look good, which I suppose is not surprising, and it’s getting worse with time. The paper is about apps, but they do cite a few studies in other domains.

Also related to this: Have a GDPR complaint? Skip the regulator and take it to court.

If this takes off (they talk about class actions possibly becoming more common in Europe), it will be interesting to see the consequences.

1 Like

This would be nice indeed. Especially in Portugal…