Rechten van betrokkenen

In deze AVG-reeks brengen wij u in vogelvlucht op de hoogte van de belangrijkste verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG). Worden in uw bedrijf op enig moment gegevens van natuurlijke personen vastgelegd, bijvoorbeeld omdat u werkgever bent, u een (online) winkel heeft of omdat u cliënten/klanten bedient? Dan verwerkt u persoonsgegevens en heeft u op grond van de privacywetgeving verschillende verplichtingen. In deze blog wordt ingegaan op de verplichtingen van de verwerkingsverantwoordelijke ten aanzien van de rechten van betrokkenen.

Versterken van de rechten van betrokkenen

Eén van de doeleinden van de AVG is het versterken en uitbreiden van de privacyrechten van betrokkenen. Onder de Wet bescherming persoonsgegevens (Wbp) golden al veel van deze rechten, maar in de AVG zijn deze uitgebreider geformuleerd en zijn een aantal nieuwe rechten toegevoegd.

Om ervoor te zorgen dat betrokkenen weten hoe zij hun rechten kunnen uitoefenen en, wellicht belangrijker, op de hoogte zijn van hun rechten, bestaat onder de AVG de verplichting voor de verwerkingsverantwoordelijke om de betrokkene te informeren over de verschillende aspecten van een verwerking. Hierover is geschreven in deze blog over de privacyverklaring. Onderdeel van de privacyverklaring bestaat uit het informeren van betrokkenen over de rechten die zij hebben ten aanzien van een verwerking. Het gaat hier om zeven verschillende rechten die hieronder kort worden besproken.

1. Recht op inzage

Een betrokkene heeft het recht om door de verwerkingsverantwoordelijke te worden geïnformeerd over de vraag óf haar of zijn persoonsgegevens worden verwerkt. Indien dit het geval is, dan heeft de betrokkene het recht deze gegevens in te zien en te worden voorzien van informatie over de verwerking. De informatie heeft betrekking op onder andere de verwerkingsdoeleinden (zie deze blog), welke persoonsgegevens worden verwerkt en wie de ontvangers van de persoonsgegevens zijn.

2. Recht op rectificatie

Indien persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt onjuist zijn, dan heeft de betrokkene het recht om direct de verbetering te verkrijgen van de haar of hem betreffende onjuiste persoonsgegevens. Ook heeft de betrokkene recht op de aanvulling van haar of zijn onvolledige persoonsgegevens. De verwerkingsverantwoordelijke stelt iedere ontvanger op de hoogte van de wijziging c.q. aanvulling van de persoonsgegevens.

3. Recht op vergetelheid

De betrokkene heeft op diens verzoek of indien aan bepaalde voorwaarden is voldaan het recht op verwijdering van de persoonsgegevens. Een voorwaarde kan zijn dat de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt. Ook kan het zijn dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens, maar deze toestemming intrekt. In dat geval mogen de gegevens niet meer worden verwerkt en dienen de gegevens in beginsel te worden verwijderd. De verwerkingsverantwoordelijke stelt iedere ontvanger op de hoogte van de verwijdering van de persoonsgegevens.

4. Recht op beperking

Onder voorwaarden kan een betrokkene de verwerkingsverantwoordelijke verzoeken de verwerking te beperken. Dit betekent dat de persoonsgegevens, met uitzondering van de opslag ervan, alleen kunnen worden verwerkt op basis van een beperkt aantal rechtsgronden (zie over rechtsgronden deze blog). Het is dan bijvoorbeeld niet meer mogelijk de persoonsgegevens te verwerken op grond van een overeenkomst. De verwerkingsverantwoordelijke stelt iedere ontvanger op de hoogte van de beperking van de verwerking van de persoonsgegevens.

5. Recht op overdraagbaarheid van gegevens

Iedere betrokkene heeft het recht op dataportabiliteit. Dit betekent dat een betrokkene de verwerkingsverantwoordelijke kan verzoeken de persoonsgegevens die aan de verwerkingsverantwoordelijke zijn verstrekt in een gestructureerd en gebruikelijk digitaal bestand te ontvangen en deze (al dan niet rechtstreeks vanaf de verwerkingsverantwoordelijke) over te dragen aan een andere verwerkingsverantwoordelijke.

6. Recht op bezwaar

Een betrokkene mag te allen tijde bezwaar maken tegen de verwerking van de persoonsgegevens wegens met haar of zijn situatie verband houdende redenen. De verwerkingsverantwoordelijke moet dit verzoek honoreren indien het belang van de verwerkingsverantwoordelijke niet opweegt tegen het belang van de betrokkene. Indien persoonsgegevens worden verwerkt ten behoeve van direct marketing en een betrokkene daartegen bezwaar maakt, dan blijft een belangenafweging achterwege. De persoonsgegevens worden dan niet meer voor die doeleinden verwerkt.

7. Recht op geen onderwerping aan geautomatiseerde individuele besluitvorming

Een betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor de betrokkene rechtsgevolgen zijn verbonden. Dit betekent dat ten aanzien van een betrokkene geen beslissingen mogen worden gemaakt die zijn gebaseerd op basis van berekeningen van een computer zonder dat daar een mens naar heeft gekeken.

Beperkingen

De voorgaande rechten zijn niet absoluut. Dit houdt in dat het verzoek van een betrokkene niet altijd hoeft te worden gehonoreerd door de verwerkingsverantwoordelijke indien niet aan bepaalde voorwaarden is voldaan. Deze voorwaarden kunnen specifiek gelden ten aanzien van een bepaald recht. Enkele van dat soort voorwaarden zijn hierboven aangegeven. Het kan ook zijn dat een meer algemene beperking geldt. Een verzoek van een betrokkene wordt dan niet gehonoreerd in verband met bijvoorbeeld de nationale of openbare veiligheid, strafrechtelijk onderzoek of de inning van civielrechtelijke vorderingen.

Verplichtingen van de verwerkingsverantwoordelijke

Het doen van een verzoek moet door de verwerkingsverantwoordelijke worden gefaciliteerd. Dit betekent dat ervoor moet worden gezorgd dat een betrokkene (op gemakkelijke wijze) in contact moet kunnen komen met de verwerkingsverantwoordelijke om haar of zijn rechten te kunnen uitoefenen. Volgens de AVG dient de verwerkingsverantwoordelijke middelen te verstrekken om verzoeken elektronisch in te kunnen dienen. Vooral in het geval persoonsgegevens langs elektronische weg worden verwerkt. Gelet hierop is bijvoorbeeld het plaatsen op een website van een contactformulier dat specifiek is gericht op het doen van een verzoek een praktische manier om te kunnen voldoen aan dit vereiste.

De verwerkingsverantwoordelijke dient zo snel mogelijk en uiterlijk binnen een maand te reageren op een verzoek. De informatie moet beknopt, transparant, begrijpelijk, in een makkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden verstrekt.

Als de verwerkingsverantwoordelijke langer nodig heeft voor de beantwoording van het verzoek dan kan deze termijn worden verlengd met maximaal twee maanden. Hier moet de betrokkene wel binnen een maand van op de hoogte worden gebracht.

Besluit de verwerkingsverantwoordelijke geen gevolg te geven aan het verzoek, dan dient de betrokkene daar binnen een maand van op de hoogte te worden gebracht. Hierbij moet de betrokkene ook worden geïnformeerd over de mogelijkheid een klacht in te dienen bij de Autoriteit Persoonsgegevens of een beroep bij de rechter in te stellen.

Tot slot

Met deze blog hebben wij u een beknopte toelichting willen geven over de rechten van betrokkenen. Ter voorbereiding op het beantwoorden van verzoeken van betrokkenen is het handig een (kort) protocol te hebben zodat verzoeken op de juiste wijze en efficiënt kunnen worden afgehandeld. Op een verzoek moet namelijk wel binnen vier weken worden gereageerd.

Heeft u vragen over de rechten van betrokkenen en/of de AVG? Wij beantwoorden deze graag. Neem in dat geval contact op onze sectie Privacyrecht.