AVG - Rechten van betrokkenen en je privacyverklaring.

#bewustonline

De Algemene Verordening Gegevensbescherming (AVG/GDPR) is er niet primair om van alles te verbieden, juist niet; in deze tijd van gecompliceerde digitale technieken wil de AVG vrij dataverkeer binnen de Europese Unie waarborgen door transparantie te realiseren en de privacy van het individu te beschermen. Verzamelt iemand je persoonsgegevens dan ben je voor de wet betrokkene en krijg je van de wet een setje stevige rechten mee.

Verzamel je persoonsgegevens dan ben je verwerkingsverantwoordelijke en moet je in je privacy verklaring (of in je algemene voorwaarden) duidelijk maken wat deze rechten zijn en hoe de betrokkene zijn of haar recht bij jou kan 'verzilveren'.

Wat zegt de AVG over....

 

.....de rechten van betrokkenen?

 

De betrokkene heeft recht op het:

  • inzien,
  • rectificeren,
  • wissen,
  • overdragen,
  • beperken van de verwerking,

 

van zijn of haar gegevens en op,

  • het aantekenen van bezwaar tegen verwerking
  • het intrekken van de toestemming tot verwerking
  • het indienen van een klacht bij een toezichthoudende instantie

.....het uitoefenen van een recht?

 
  • Voorafgaand aan het inwilligen van een verzoek moet je vast stellen of je met de juiste persoon te maken hebt. Immers het verstrekken van persoonsgegevens aan iemand die hiervan niet de eigenaar is, is een datalek. Je mag aanvullende gegevens vragen als dat nodig is. Een account waarop ingelogd moet worden geldt ook als identificatie.
  • Zo snel mogelijk maar zeker binnen een maand moet je een verzoek tot uitoefenen van een recht behandelen en moet de betrokkene antwoord krijgen. Deze termijn mag je met maximaal twee maanden verlengen maar dat moet je als verwerkingsverantwoordelijke kunnen onderbouwen en in de eerste maand communiceren naar je betrokkene.
  • Gegevens moeten in beknopte, eenvoudige en toegankelijke vorm worden verstrekt.
  • Het uitoefenen van een recht mag in principe niets kosten.
  • Het resultaat van het uitoefenen van een recht moet je doorgeven aan je verwerkers en de betrokkene op de hoogte stellen van deze verwerkers.
  • Een verzoek dat ongegrond of buitensporig is mag geweigerd worden. Een verzoek is ongegrond als de AVG het recht niet toekent. Een verzoek is buitensporig als er veel tijd en kosten mee gemoeid gaan. Als verwerkingsverantwoordelijke moet je dit kunnen aantonen. En je moet duidelijk maken dat de betrokkene, na een weigering, hierover een klacht mag indienen bij een toezichthoudende instantie.

.....het uitoefenen van het recht op inzage?

 
  • Vraagt de betrokkene binnen één verzoek meerdere kopiën van persoonsgegevens op dan moet het eerste exemplaar kosteloos zijn. Voor de rest mag je een redelijke vergoeding vragen..
  • Is het verzoek tot inzage electronisch dan ook bij voorkeur electronische informatie verstrekken tenzij de betrokkene anders aangeeft.
  • Dit recht is mede bedoeld om de uitoefening van de rechten op rectificatie, gegevenswissing, beperking en bezwaar mogelijk te maken.

.....het uitoefenen van het recht op rectificatie?

 
  • Evident onjuiste of onvolledige gegevens moet je rectificeren. Meningen of uitslagen van een onderzoek die betwist worden door de betrokkene, niet persé.

.....het uitoefenen van het recht op wissen?

 
  • Ook als het technisch moeilijk is moet je een oplossing zien te verzinnen.
  • Als het verwerkingsdoel of de -grondslag verdwijnt, als de betrokkene bezwaar tegen verwerking heeft aangetekend, als de gegevens onrechtmatig zijn verkregen of als er een wettelijke verplichting bestaat, dan moet je de gegevens wissen tenzij er andere dwingende redenen zijn de gegevens te bewaren (recht op vrijheid van meningsuiting, wettelijke grondslag, algemeen belang of rechtsvorderingen).
  • Het wissen van gegevens hoef je niet af te dwingen bij je verwerkers. Zij zijn zelf verplicht het wissen door te voeren omdat de reden tot verwerking verdwijnt. En daar heb je ze immers, als het goed is, netjes van op de hoogte gesteld.
  • Als er sprake is van een overeenkomst, mag je niet zomaar de gegevens wissen wanneer een betrokkene de gegevens heeft laten overdragen aan een andere partij.

.....het uitoefenen van het recht op beperking?

 
  • De beperking van verwerking geldt niet voor het opslaan van gegevens.
  • Beperking van gegevensverwerking moet je toekennen als:
    -De juistheid van de gegevens wordt betwist/in afwachting van rectificatie.
    -Een bezwaar in behandeling is.
    -Wissen voor één van de partijen nog niet handig is maar verwerking geen grondslag meer heeft.
  • Opheffing van een beperking moet je expliciet melden bij de betrokkene en mag alleen na toestemming van de betrokkene of als er een rechtsvordering in het geding is.

.....het uitoefenen van het recht op overdracht?

 
  • Het recht geldt alleen voor gegevens verzameld op basis van toestemming of een overeenkomst en als de verwerking volledig via een geautomatiseerd proces verloopt.
  • Je mag de betrokkene hierin niet hinderen.
  • Een excel- of een csv bestand is een geaccepteerde vorm.
  • Het recht geldt voor actief verstrekte persoonsgegevens maar ook voor gegevens verzameld via cookies.

.....het uitoefenen van het recht op bezwaar?

 
  • Een betrokkene mag bezwaar maken als je op grond van algemeen belang of een gerechtvaardigd eigen belang gegevens verwerkt. Je moet de verwerking staken.
  • Dit bezwaar moet wel voortkomen uit de specifieke situatie van de betrokkene. Algemene principiële bezwaren gelden niet, behalve wanneer het gaat om direct marketing.
  • Is er toestemming gegeven voor verwerking dan is bezwaar maken niet nodig; toestemming intrekken volstaat.

Aandachtspunten.

 

Intrekken van toestemming heeft geen terugwerkende kracht.
Als de persoonsgegevens niet direct bij de betrokkene zijn verkregen (dus bv bij inkoop van persoonsgegegevens) dan gelden enkele aanvullende regels. - art. 14
Onder bepaalde voorwaarden mag de Europese- óf de lidstatelijke wetgever deze rechten inperken. - art. 23