I. Toelichting
De Algemene Verordening Gegevensbescherming bepaalt de personen van wie persoonsgegevens worden verwerkt door het VOC (dit zijn de “betrokkenen”), een aantal rechten hebben. Het betreft volgende rechten:
- Recht op inzage in de persoonsgegevens;
- Recht op rectificatie of verbetering;
- Recht op beperking van de verwerking in een aantal gevallen nl:
– Wanneer de betrokkene de juistheid van de persoonsgegevens ter discussie stelt
– Wanneer de betrokkene meent dat de verwerking onrechtmatig is en zich verzet tegen het wissen van de gegevens en in de plaats om beperking van de verwerking verzoekt
– Wanneer het VOC de gegevens niet langer nodig heeft maar de betrokkene de gegevens nodig heeft voor de instelling, uitoefening, of onderbouwing van een rechtsvordering
– De betrokkene bezwaar maakt tegen de verwerking en in afwachting van de uitkomst van de afweging.
4. Recht op overdraagbaarheid van de gegevens;
5. Recht op het wissen van gegevens;
6. Recht van bezwaar;
– Tegen de verwerking van persoonsgegevens voor direct marketing doeleinden
– Tegen de verwerking wanneer deze is gebaseerd op het algemeen belang (artikel 6, lid 1, e) of wanneer deze noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke voor de verwerking (artikel 6, lid 1, f)
– Tegen de verwerking van persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden.
Teneinde tijdig en binnen de grenzen van de verordening aan deze rechten tegemoet te kunnen komen, dienen er aantal standaardprocessen geïmplementeerd te worden in het VOC. Onderstaande toelichting kan dienen als handleiding bij het ontvangen van een verzoek van een betrokkene wiens persoonsgegevens men verwerkt en bevat ook een aantal aandachtspunten bij het implementeren van een procedure om tegemoet te kunnen komen aan verzoeken van betrokkenen.
II. Procedure
A: Recht van inzage en/of correctie (artikel 15 en 16 AVGB)
- Ontvangen van een verzoek van de betrokkene
In uw privacy policy dient u te omschrijven op welke manier de betrokkene een inzage en/of correctieverzoek kan indienen. Dit kan bijvoorbeeld via brief of via een specifiek e-mailadres. De verordening bepaalt ook dat, indien dit mogelijk is, het VOC vanop afstand toegang kan geven aan de betrokkene via een online portaal bijvoorbeeld waarmee de betrokkene dan zelf zijn rechten kan uitoefenen en aanpassingen doorvoeren, zijn gegevens wissen,… - Identificatieplicht
Het VOC dient eerst de identiteit van de betrokkene vast te stellen vooraleer gehoor wordt gegeven aan het verzoek van de betrokkene. - Termijn waarop het antwoord gegeven moet worden
Als Organisatie dient u uiterlijk binnen 1 maand schriftelijk te reageren. In geval het een complex verzoek betreft, bv. door de grote hoeveelheid persoonsgegevens, kan deze termijn met 2 maand worden verlengd.
Wanneer het VOC om de één of andere reden geen gevolg geeft aan het verzoek, dient de betrokkene uiterlijk 1 maand na het indienen van het verzoek te worden geïnformeerd waarom er geen gevolg werd aan gegeven en ook dat hij klacht kan indienen bij de Privacy Commissie en bij de rechtbank. - Weigering van een verzoek?
In bepaalde en uitzonderlijke gevallen kan het VOC weigeren om gehoor te geven aan een verzoek. Dit kan bijvoorbeeld het geval zijn bij een kennelijk ongegronde of buitensporige vraag. - Antwoord geven op een inzageverzoek
Het VOC dient bij een inzageverzoek de volgende informatie te verstrekken: – Een kopie van de verwerkte persoonsgegevens – Indien de persoonsgegevens niet bij de betrokkene zelf zijn bekomen, informatie over de bron van de persoonsgegevens. - Antwoord geven op een correctieverzoek
Als organisatie dient u de betrokkene op de hoogte te stellen als wordt besloten de persoonsgegevens te corrigeren of aan te vullen. Deze aanvulling of correctie dient zo snel mogelijk of “onverwijld” te gebeuren. - Kennisgevingsplicht in geval van correctie
Wanneer wordt besloten tot het corrigeren van de persoonsgegevens in kwestie dient de verantwoordelijke voor de verwerking ook de ontvangers van de persoonsgegevens van de betrokkene hiervan op de hoogte te stellen, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.
Daarnaast dient ook aan de betrokkene informatie worden verstrekt over deze ontvangers indien deze hierom verzoekt.
B: Recht op beperking (artikel 18)
1. Informatieplicht en ontvangen van een verzoek
In de privacy policy dient u te omschrijven dat de betrokkene in een aantal gevallen recht heeft om de beperking te vragen van de verwerking van zijn persoonsgegevens. Daarnaast dient opgenomen te worden op welke manier hij zijn recht kan uitoefenen, bv. door het verzenden van een e-mail naar een bepaald e-mailadres.
2. Onderzoek van het verzoek
Terwijl u een onderzoek uitvoert naar de uitoefening van het recht op beperking van de betrokkene, dient u in uw bestand aan te geven dat de persoonsgegevens in kwestie niet verder kunnen worden verwerkt.
Met andere woorden: indien u zou beslissen om bijvoorbeeld een direct marketing mailing te versturen naar uw ledenbestand, moet u opletten dat u deze mail niet verzend naar deze personen die zich beroepen op hun recht op beperking tot wanneer u de uitoefening van het recht van de betrokkene hebt onderzocht.
3. Beslissing over het verzoek
Indien wordt besloten dat het verzoek tot beperking van de betrokkene gerechtvaardigd was, is het niet meer toegestaan om de betreffende persoonsgegevens te verwerken.
Afgezien van het opslaan van deze gegevens, mag u als verantwoordelijke geen verrichtingen meer uitvoeren met de persoonsgegevens.
Wanneer de verantwoordelijke voor de verwerking de persoonsgegevens toch verder wenst te verwerken is dit enkel mogelijk in volgende omstandigheden:
– Wanneer de betrokkene opnieuw toestemming geeft;
– Voor de instelling, uitoefening of onderbouwing van een rechtsvordering door de verantwoordelijke voor de verwerking;
– Ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon;
– Bij dringende reden van algemeen belang voor de Unie of voor een lidstaat;
4. Verwittig betrokkene vooraleer verder te verwerken
Indien uiteindelijk wordt beslist dat de gegevens die werden verwerkt bv. wel juist zijn of niet onrechtmatig werden verwerkt en dat u deze zodus wél werden mag verwerken, dient u de betrokkene te informeren dat u de gegevens verder zal verwerken vóóraleer de beperking van de verwerking wordt opgeheven.
5. Kennisgevingsplicht
Indien de persoonsgegevens in kwestie werden doorgegeven aan een derde, dient u ook deze ontvangers te informeren over het recht tot beperking waarom de betrokkene heeft verzocht, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.
C. Recht van bezwaar (artikel 21 AVGB)
- Informatieplicht
Het recht van bezwaar dient uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht te worden gebracht. Dit kan u best doen door het opnemen van het recht van bezwaar in de privacy policy. De verordening bepaalt nog dat dit “duidelijk en gescheiden van enige andere informatie” dient weergegeven te worden. - Ontvangen van een bezwaar van de betrokkene
– Bezwaar tegen direct marketing:
Wanneer de betrokkene bezwaar maakt tegen het verwerken van zijn persoonsgegevens voor direct marketing doeleinden mag u deze gegevens niet meer gebruiken voor direct marketing doeleinden. De betrokkene dient dit bezwaar zodus niet te motiveren.
– Bezwaar bij verwerking (incl. profiling) op basis van algemeen belang en gerechtvaardigd belang:
De betrokkene heeft te allen tijde het recht om redenen die verband houden met zijn specifieke situatie bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens.
In dit geval zal de betrokkene wél moeten motiveren
3. Beslissing over het verzoek
Indien de betrokkene bezwaar maakt tegen het verwerken van zijn persoonsgegevens voor direct marketing doeleinden (m.i.v. profiling), dient de verantwoordelijke voor de verwerking hier gehoor aan te geven.
Indien de betrokkene bezwaar maakt tegen de verwerking op basis van algemeen belang en gerechtvaardigd belang, zal de verantwoordelijke voor de verwerking de verwerking moeten staken tenzij hij:
– dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene, of;
– deze nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
Deze al dan niet verdere verwerking moet dus wel gemotiveerd worden. Het indienen van bezwaar dient kosteloos te zijn.
In geval het verwerken van persoonsgegevens online gebeurt, dient de betrokkene ook online zijn bezwaar kenbaar te kunnen maken.
De verordening bepaalt geen termijn waarbinnen men dient te reageren.
D. Recht op wissen van gegevens (artikel 17)
- Indienen van een verzoek en beslissing
De betrokkene heeft het recht om het wissen te bekomen van zijn persoonsgegevens en de verantwoordelijke voor de verwerking is verplicht om deze het wissen door te voeren wanneer:
– De persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld/verwerkt;
– De betrokkene zijn toestemming intrekt en er geen andere rechtsgrond meer voorhanden is voor de verwerking;
– De betrokkene bezwaar maakt tegen de verwerking die plaatsvond op basis van algemeen belang en gerechtvaardigd belang en er geen prevalerende dwingende gerechtvaardigde gronden zijn voor de verwerking;
– De betrokkene maakt bezwaar tegen de verwerking om redenen van direct marketing – De persoonsgegevens onrechtmatig zijn verwerkt;
– De persoonsgegevens moeten worden gewist op basis van een wettelijke verplichting die op de verantwoordelijke voor de verwerking rust;
– De verwerkte persoonsgegevens deze zijn van een -16 jarige.
Indien de persoonsgegevens openbaar werden gemaakt en de betrokkene verzoekt om het wissen van de gegevens, dient de verantwoordelijke voor de verwerking maatregelen te nemen om de andere partijen die deze persoonsgegevens ook verwerken te informeren over het verzoek tot het wissen van gegeven van de betrokkene. U dient enkel “redelijke” maatregelen te nemen rekening houdend met de beschikbare technologie en de uitvoeringskosten. Het doel is het wissen van koppelingen naar deze persoonsgegevens en het wissen van kopieën of reproducties.
2. Beslissing over het verzoek
De het wissen dient “zonder onredelijke vertraging” te gebeuren. U dient niet tegemoet te komen aan een vraag tot het wissen in één van volgende gevallen:
– Uitoefenen van het recht op vrijheid van meningsuiting
– Nakomen van een wettelijke verplichting, vervullen van een taak van algemeen belang, uitoefenen van het openbaar gezag
– Redenen van volksgezondheid
– Wanneer de verwerking nodig is voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
– Voor instelling, onderbouwing of uitoefening van een rechtsvordering
E. Recht op overdraagbaarheid van gegevens (artikel 20)
- Wanneer is er sprake van een recht op dataportabiliteit?
Het recht op dataportabiliteit impliceert dat de betrokkene het recht heeft om de gegevens die een verantwoordelijke voor de verwerking van hem verwerkt, in een “gestructureerde, gangbare en machine leesbare vorm te verkrijgen” en bovendien deze gegevens aan een andere verantwoordelijke voor de verwerking over te dragen.
Echter, de betrokkene kan dit recht enkel en alleen uitoefenen in geval de verwerking is gebaseerd op ofwel de toestemming van de betrokkene, ofwel wanneer de verwerking via automatische procedés wordt verricht. - Indienen van een verzoek en beslissing
Indien de betrokkene hierom verzoekt, dient u de persoonsgegevens die u verwerkt van deze persoon in een gangbare en machine leesbare vorm te voorzien. Machine leesbaar impliceert dat de informatie zo is gestructureerd dat software specifieke elementen uit de persoonsgegevens kan extraheren. Een dergelijke werkwijze vergemakkelijkt het proces van andere organisaties om deze persoonsgegevens te gebruiken.
Indien de betrokkene hierom verzoekt, bent u gehouden om deze persoonsgegevens (in een gangbare en machine leesbare vorm) rechtstreeks aan een andere organisatie over te maken.
Indien u meent geen gehoor te (kunnen) geven aan het verzoek van de betrokkene, dan dient u hem/haar te informeren over de reden waarom men niet kan voldoen aan de vraag. Daarnaast dient men de betrokkene ook te melden dat hij/zij het recht heeft om een klacht in te dienen bij de Privacy Commissie en/of zich tot de rechtbank te wenden zonder onredelijke vertraging en uiterlijk binnen 1 maand. - Termijn
U dient een dergelijke vraag van een betrokkene zonder onredelijke vertraging te beantwoorden en uiterlijk binnen 1 maand.
Deze periode kan worden verlengd met 2 maanden wanneer de vraag complex is of indien u een reeks van aanvragen ontvangt. Minstens dient u de betrokkene binnen 1 maand te informeren over het ontvangst van de aanvraag en dient u hem/haar te informeren over de reden van de vertraging.