AVG: Welke privacyrechten bij persoonsgegevensverwerking?
De AVG beschrijft 8 privacyrechten die een betrokkene kan inroepen om zich te beschermen tegen een inbreuk op het recht op privacy. Door de privacyrechten kunnen betrokkenen bepalen hoe organisaties omgaan met de verwerking van hun persoonsgegevens. De Algemene verordening gegevensbescherming (AVG) regelt sinds 25 mei 2018 de privacywetgeving in de landen van de EU waaronder Nederland. Met de invoering van de AVG in de lidstaten is het recht op privacy voor betrokkenen uitgebreid en maken organisaties minder snel inbreuk op het recht op privacy van betrokkenen.
AVG: Privacyrechten die betrokkenen beschermen bij persoonsgegevensverwerking
Wat is het recht op privacy?
De
AVG (in het Engels: GDPR) beoogt vanaf 25 mei 2018 het recht op privacy van personen uit de EU beter te beschermen. Organisaties maken door de privacyrechten van betrokkenen minder snel inbreuk op het recht op privacy van betrokkenen. Iedereen in Nederland heeft er recht op dat zijn/haar persoonlijke levenssfeer wordt gerespecteerd. Een schending van het recht op privacy komt minder vaak voor door de privacyrechten die betrokkenen kunnen inroepen. Een betrokkene kan de
privacyrechten inroepen om zelf te beslissen over de verwerking van zijn of haar 'persoonsgegevens' door organisaties. De persoon over wie een organisatie persoonsgegevens verwerkt, wordt een 'betrokkene' genoemd. Het recht op privacy staat beschreven in artikel 10 lid 1 van de Grondwet (Gw):
"Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer" (art. 10 lid 1 Gw).
De AVG introduceert twee 'nieuwe' privacyrechten:
- recht op vergetelheid
- recht op dataportabiliteit
AVG: privacyrechten die de privacy van betrokkenen beschermen bij persoonsgegevensverwerking
De AVG beschrijft 8 privacyrechten waar alle EU-burgers zich op kunnen beroepen. Elke betrokkene kan zich op de privacyrechten beroepen met betrekking tot de persoonsgegevens die organisaties over hem/haar verwerken en op die manier optreden tegen een inbreuk op zijn/haar recht op privacy.
De privacyrechten van betrokkenen volgens de AVG:
- recht op dataportabiliteit
- recht op vergetelheid
- recht op inzage
- recht op beperking van de gegevensverwerking
- recht op rectificatie en aanvulling
- recht op duidelijke informatie
- recht met betrekking tot geautomatiseerde besluitvorming en profilering
- recht op bezwaar
Recht op dataportabiliteit
Het 'recht op dataportabiliteit' van een betrokkene gaat over het recht op
overdraagbaarheid van persoonsgegevens. Het recht op dataportabiliteit betekent in de praktijk dat iemand bij een organisatie de persoonsgegevens kan opvragen die de organisatie over hem/haar heeft verwerkt. Een betrokkene kan deze gegevens
opslaan voor eigen gebruik en/of
doorsturen naar een andere organisatie. Indien een betrokkene een organisatie verzoekt om het doorsturen van persoonsgegevens naar een andere organisatie, dan dient deze organisatie hier gehoor aan te geven als dit redelijkerwijze mogelijk is.
Artikel 20 van de AVG beschrijft het recht op dataportabiliteit. Een betrokkene kan het recht op dataportabiliteit inroepen, indien:
- de betrokkene de organisatie toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens voor een of meer specifieke doelen;
- de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
- de verwerking via automatische procedés wordt verricht.
Recht op vergetelheid
Het 'recht op vergetelheid' van een betrokkene gaat over het recht om een organisatie te vragen om
verwijdering van zijn/haar persoonsgegevens. Iemand heeft hierbij de mogelijkheid om een eerder gegeven toestemming aan een organisatie om zijn/haar persoonsgegevens te verwerken op een later moment weer in te trekken. Dit recht gaat inbreuk op het recht op privacy door organisaties tegen. In artikel 17 van de AVG staat een beschrijving van de gevallen waarin iemand zijn/haar toestemming voor de verwerking van persoonsgegevens mag intrekken. Een voorbeeld is wanneer een organisatie geen belang (meer) heeft om over de persoonsgevoelige informatie te beschikken. Een organisatie is verplicht om gehoor te geven aan een verzoek om verwijdering van persoonsgegevens, tenzij een organisatie aanspraak kan maken op een van de
AVG-grondslagen. Zo kan een organisatie een verzoek om verwijdering van persoonsgegevens van een betrokkene weigeren indien sprake is van een wettelijke bewaartermijn.
Voorbeeld: ontbrekend belang voor persoonsgegevensverwerking
Een voorbeeld: als iemand besluit om over te stappen naar een andere apotheek, dan heeft de vorige apotheek geen belang meer bij het verwerken of in bezit hebben van de persoonsgevoelige informatie over de betrokkene. Het specifieke doel waarvoor de betrokkene deze apotheek eerder toestemming heeft verleend, hoeft niet meer van toepassing te zijn als een andere apotheek begint met het uitvoeren van de werkzaamheden ter behartiging van dit doel.
Recht op inzage
Het 'recht op inzage' van een betrokkene is het recht om de persoonsgegevens in te zien die een organisatie over een betrokkene heeft verwerkt. Een betrokkene kan een
verzoek tot inzage doen bij de organisatie en vragen welke gegevens deze organisatie over hem/haar heeft verwerkt. Ook kunnen betrokkenen de organisatie vragen wie in de organisatie de verwerkte persoonsgegevens kan inzien, en voor welk doel de organisatie persoonsgegevens verwerkt. Dit recht gaat inbreuk op de privacy tegen, omdat wanneer een betrokkene een organisatie verzoekt om inzage van zijn/haar persoonsgegevens, de organisatie verplicht is om deze informatie aan de betrokkene te geven.
Artikel 15 van de AVG beschrijft het recht op inzage. Een betrokkene heeft het recht om inzage te krijgen in de gegevens over:
- de verwerkingsdoeleinden;
- de categorieën van persoonsgegevens;
- de (categorieën van) ontvangers aan wie de persoonsgegevens zijn/zullen worden verstrekt;
- de periode waarover de persoonsgegevens worden opgeslagen (en indien dit niet mogelijk is, de criteria die de termijn bepalen);
- het recht van de betrokkene om de verantwoordelijke organisatie te verzoeken dat persoonsgegevens worden gewijzigd of verwijderd, of dat de verwerking van persoonsgegevens wordt beperkt, en het recht tegen die verwerking bezwaar te maken;
- het recht van de betrokkene om een klacht in te dienen bij een toezichthoudende autoriteit;
- indien de gegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
- het bestaan van geautomatiseerde besluitvorming met inbegrip van bepaalde vormen van profilering en informatie over de logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
Recht op beperking van de gegevensverwerking
Het 'recht op beperking van de gegevensverwerking' van een betrokkene is het recht om in bepaalde gevallen van een organisatie te eisen dat deze zijn/haar verwerkte persoonsgegevens niet meer gebruikt. Dit privacyrecht van betrokkenen gaat inbreuk op de privacy tegen, omdat een organisatie in dit geval de (soms onjuiste of onrechtmatig verwerkte) persoonsgegevens van betrokkenen niet meer mag gebruiken.
Artikel 18 van de AVG beschrijft het
recht op beperking van de gegevensverwerking en stelt dat een betrokkene kan eisen om een beperking van de verwerking in de gevallen waarin:
- twijfel bestaat of de verwerkte persoonsgegevens wel juist zijn;
- sprake is van onrechtmatige verwerking van persoonsgegevens waarbij een betrokkene de voorkeur kan geven om deze te laten beperken in plaats van te verwijderen;
- een betrokkene deze persoonsgegevens nodig heeft voor de instelling, uitvoering of onderbouwing van een rechtsvordering, terwijl een organisatie de persoonsgegevens niet meer nodig heeft voor het (specifieke) doel van de persoonsgegevensverwerking;
- een betrokkene bezwaar maakt tegen verwerking, omdat een organisatie onterecht stelt dat er sprake is van gerechtvaardigde gronden die voor de verwerking zwaarder wegen dan de eigen gronden.
Recht op rectificatie en aanvulling
Het 'recht op rectificatie & aanvulling' van een betrokkene is het recht om een organisatie te verzoeken om een
wijziging van de persoonsgegevens die een organisatie over hem/haar heeft verwerkt. Dit recht van betrokkenen beschermt hen tegen een inbreuk op het recht op privacy.
In de volgende gevallen kan een betrokkene aan een organisatie vragen om rectificatie en/of aanvulling van zijn/haar verwerkte persoonsgegevens:
- De persoonsgegevens zijn geheel of gedeeltelijk feitelijk onjuist.
- De persoonsgegevens zijn geheel of gedeeltelijk onvolledig.
- De persoonsgegevens zijn geheel of gedeeltelijk irrelevant voor het doel van de verwerking.
- De persoonsgegevens zijn geheel of gedeeltelijk in strijd met een wettelijke bepaling.
Het 'recht op duidelijke informatie' van een betrokkene gaat over het recht op duidelijke (en schriftelijke) informatie over het
doel en de
reden waarvoor een organisatie persoonsgegevens verwerkt. Organisaties moeten zich houden aan de
informatieplicht: organisaties moeten alle betrokkenen over wie zij persoonsgegevens opslaan of doorsturen naar een andere organisatie, informeren over welke gegevens zij opslaan of doorsturen en voor welk specifiek doel dit gebeurt.
Artikel 13 en artikel 14 AVG beschrijven welke informatie een organisatie aan een betrokkene moet verschaffen:
- naam en adres van de organisatie;
- contactgegevens van de functionaris voor gegevensbescherming;
- verwerkingsdoeleinden en rechtsgronden van de verwerking;
- informatie over de gerechtvaardigde belangen indien de verwerking noodzakelijk is voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde;
- ontvangers of categorieën van ontvangers van de persoonsgegevens;
- periode gedurende de organisatie de persoonsgegevens verwerkt;
- recht van de betrokkene een klacht in te dienen bij een toezichthouder;
- grond van de verwerking van de persoonsgegevens.
Recht met betrekking tot geautomatiseerde besluitvorming en profilering
Iedere betrokkene kan zich beroepen op zijn/haar 'recht met betrekking tot geautomatiseerde besluitvorming en profilering'. Dit is het recht op basis waarvan een betrokkene aan een organisatie kan vragen om een besluit te maken op basis van een
menselijke blik.
Besluit op basis van een menselijke blik
Er is sprake van
geautomatiseerde besluitvorming indien een organisatie een geautomatiseerd besluit maakt op basis van eerder verwerkte gegevens. Dit is het tegenovergestelde van een besluit op basis van een 'menselijke blik', dat een besluit inhoudt dat is gemaakt door een mens.
Profilering
De AVG verstaat onder 'profilering': "de automatische verwerking van persoonsgegevens met het doel om de persoonlijke aspecten van iemand te evalueren". Een aantal voorbeelden van persoonlijke aspecten die een organisatie zou kunnen evalueren middels automatisch verwerkte persoonsgegevens, zijn:
- gezondheid
- economische situatie
- persoonlijke voorkeuren
- belangen
- betrouwbaarheid
- carrière
- gedrag
Recht op bezwaar
Het 'recht op bezwaar' van een betrokkene gaat over het recht om een organisatie te vragen om geheel of deels te stoppen met het gebruik van zijn/haar persoonsgegevens. Dit kan wanneer de organisatie de persoonsgegevens gebruikt voor marketingdoeleinden of wanneer er sprake is van bijzondere persoonlijke omstandigheden van de betrokkene. In het geval een betrokkene een organisatie vraagt om zijn/haar persoonsgegevens in zijn geheel of deels niet meer te gebruiken voor marketingdoeleinden, dan is deze organisatie verplicht om hier gehoor aan te geven. Betrokkenen kunnen dit recht inroepen en zo een inbreuk op hun recht op privacy stopzetten.
Een betrokkene kan het recht op bezwaar inroepen als een van de volgende twee situaties zich voortdoet:
- Een organisatie gebruikt de persoonsgegevens voor marketingdoeleinden.
- Er sprake is van bijzondere persoonlijke omstandigheden om van het recht op bezwaar gebruik te maken.
Bijzondere persoonlijke omstandigheden
Als een betrokkene het recht van bezwaar inroept in verband met bijzondere persoonlijke omstandigheden, dan zal de betrokkene eerst moeten aantonen dat er een tekortkoming is in de
rechtmatigheid van de verwerking. Van zo een tekortkoming is sprake indien een organisatie zich niet op een van de
AVG-grondslagen kan beroepen. Een organisatie dient in dat geval per direct te stoppen met de verwerking, tenzij sprake is van
dwingende gerechtvaardigde gronden die zwaarder wegen dan de rechten, vrijheden en belangen van de betrokkene.
Lees verder