I mars 2023 begärde en anställd hos ett företag ett utdrag av den registrerades personuppgifter lagrade i det belgiska nationella registret, som är ett system för att registrera och kommunicera information om belgiska medborgares identitet. Efter detta lämnade den registrerade in en begäran om tillgång till företaget och begärde information om vem som hade tillgång till deras data och i vilket syfte. Eftersom de inte fick något svar på sin begäran lämnade den anställde in ett klagomål till den belgiska dataskyddsmyndigheten.
I augusti 2023 svarade företaget på begäran och medgav att de hade konsulterat den registrerades uppgifter i det nationella registret och att behandlingen utfördes av en professionell med specifik behörighet. På grund av professionell sekretess kunde dock inte den ansvarige avslöja den professionellas identitet eller bedöma om konsultationen följde lagliga och etiska skyldigheter.
Den belgiska dataskyddsmyndigheten underströk att den ansvarige måste följa en begäran från en registrerad enligt reglerna i GDPR och att de ska ge den registrerade information om vidtagna åtgärder så snart som möjligt och inom en månad efter mottagandet av begäran. Dessutom noterade dataskyddsmyndigheten att ska den ansvarige kunna demonstrera efterlevnad av dataskyddsprinciperna.
Med hänsyn till omständigheterna i fallet, där den registrerade tydligt utövade sin rätt till tillgång enligt GDPR, och att de inte hade fått något svar inom en månad, konstaterade dataskyddsmyndigheten att den ansvarige hade överskridit tidsfristen stadgad i GDPR. Den belgiska dataskyddsmyndigheten fann därför att den ansvarige hade brutit mot GDPR och beordrade den ansvarige att följa den registrerades tillgångsbegäran inom 30 dagar från beslutets meddelande. Dessutom ålades den ansvarige att informera dataskyddsmyndigheten om de åtgärder som vidtagits som svar på beslutet inom samma tidsram.
