Welke rechten hebben personen onder de AVG?
De AVG biedt de volgende rechten aan betrokkenen, d.w.z. personen van wie de gegevens worden verwerkt:
- Recht op informatie
- Recht op inzage
- Recht op rectificatie
- Recht op gegevens verwijderen (recht om vergeten te worden)
- Recht op beperking van de verwerking
- Recht op dataportabiliteit
- Recht van bezwaar
- Recht op menselijke blik bij besluiten
Hou er rekening mee dat sommige van deze rechten niet in alle situaties van toepassing zijn, bekijk de tabel met rechten van betrokkenen voor elke rechtsgrondslag voor meer informatie.
De verwerkingsverantwoordelijke is verplicht te reageren op verzoeken van betrokkenen die hun rechten uitoefenen en moet de uitoefening van deze rechten faciliteren. De gegevensverwerker moet de verwerkingsverantwoordelijke bij deze taak assisteren.
Checklist van wat te doen in relatie tot de rechten van betrokkenen:
- Wees voorbereid: Ontwikkelen systemen en procedures om te reageren op verzoeken van betrokkenen en train je personeel om deze verzoeken te integreren in je interne werkprocessen.
- Faciliteer de uitoefening van rechten: Maak het voor betrokkenen makkelijk om te weten wat hun rechten zijn en hoe ze contact met je kunnen opnemen om deze uit te oefenen.
- Ken je gegevensstromen: Hou je register up-to-date zodat je snel verwerkte gegevens kan identificeren en je efficiënt informatie kan vinden en op halen.
- Wees transparant: Informeer betrokkenen altijd op een duidelijke en begrijpelijke manier over de persoonsgegevens die je verwerkt, voorafgaand aan de verwerking (bijvoorbeeld in je privacybeleid) en tijdens de verwerking (bijvoorbeeld bij het voldoen aan een inzageverzoek van betrokkenen).
- Antwoord binnen 1 maand: Beantwoord altijd een verzoek van de betrokkene binnen een maand. Als je extra tijd nodig hebt om te antwoorden of als je niet aan het verzoek kunt voldoen: stel de betrokkene hiervan binnen de termijn van één maand op de hoogte.
- Geef het door: Wanneer je een verzoek betreffende persoonsgegevens ontvangt dat je aan andere ontvangers hebt doorgegeven, vergeet dan niet om, indien nodig, de ontvangers op de hoogte te stellen van het resultaat van het verzoek.
- Documenteer: Hou verzoeken van betrokkenen bij en registreer je antwoorden, aan hou ook je argumentenbij wanneer je niet op een verzoek reageert.
Hoe om te gaan met verzoeken om rechten van betrokkenen
Transparantie is essentieel voor gegevensbescherming in het algemeen en natuurlijk in de context van de rechten van de betrokkene.
De verwerkingsverantwoordelijke moet:
- communiceren met betrokkenen in een duidelijke en begrijpelijke taal (dit is met name belangrijk in gevallen waarin een organisatie zich op kinderen richt); en
- de uitoefening van deze rechten faciliteren, met name met elektronische middelen. Je kunt bijvoorbeeld een online formulier op je website zetten, waarmee betrokkenen hun rechten op gegevensbescherming eenvoudig kunnen uitoefenen.
Reageer schriftelijk
De algemene regel is dat een organisatie op een inzageverzoek van een persoon op dezelde wijze moet reageren zoals een verzoek is gedaan, of op de manier waarop de betrokkene specifiek om een antwoord heeft gevraagd. Bij voorkeur dien je schriftelijk te antwoorden. Een antwoord op een verzoek om rechten van de betrokkene mag mondeling worden gegeven, maar dat wordt niet aangeraden omdat je moet kunnen aantonen dat je een verzoek hebt beantwoord.
Reageer binnen een maand
De AVG bepaalt binnen welke termijn een verwerkingsverantwoordelijke op een verzoek moet reageren en in welke gevallen hij kosten in rekening mag brengen.
Wanneer betrokkenen een van hun rechten uitoefenen, moet de verwerkingsverantwoordelijke binnen een maand reageren. Als het verzoek te complex is en er meer tijd nodig is om te antwoorden, kan je organisatie de termijn met twee maanden verlengen, mits de betrokkene binnen een maand na ontvangst van het verzoek hiervan op de hoogte wordt gesteld. Als je organisatie kan aantonen dat het verzoek duidelijk ongegrond of buitensporig is, met name vanwege het repetitieve karakter ervan, kun je een redelijke vergoeding vragen of weigeren het verzoek in te willigen.
Als je organisatie gerede twijfels heeft over de identiteit van de persoon die het verzoek indient (bijvoorbeeld wanneer het verzoek wordt ingedient met een ander e-mailadres dan het e-mailadres dat gewoonlijk door je klant wordt gebruikt, of wanneer het wordt ingedient buiten een geverifieerde klantenaccount), kan je aanvullende informatie vragen om de identiteit van de betrokkene te bevestigen, voordat je antwoordt.
Als je niet van plan bent aan het specifieke verzoek van de betrokkene te voldoen, moet je de betrokkene binnen een maand na ontvangst van het verzoek op de hoogte stellen van de redenen waarom je het verzoek niet inwilligt (bijvoorbeeld waarom je de gevraagde gegevens niet verwijdert). Daarnaast moet je de betrokkenen op de hoogte stellen van de mogelijkheid om een klacht in te dienen bij hun nationale gegevensbeschermingsautoriteit en in beroep te gaan.
Geen kosten rekenen
Je organisatie kan geen betaling eisen van een betrokkene die gebruik wil maken van één van zijn of haar rechten. Je kunt echter wel een vergoeding vragen wanneer het verzoek van de betrokkene duidelijk ongegrond of buitensporig is, met name vanwege het repetitieve karakter. Bij de berekening van de vergoeding moeten de administratieve kosten voor het beantwoorden van het verzoek van je organisatie worden meegenomen. Zoals hierboven uiteengezet, is het ook mogelijk om een verzoek te weigeren dat duidelijk ongegrond of buitensporig is. In een dergelijke situatie moet je kunnen aantonen dat dit het geval is.
In de praktijk
- Een betrokkene dient elke twee maanden inzageverzoeken in bij de timmerman die zijn tafel heeft gemaakt. De timmerman beantwoordde het eerste verzoek volledig. Aangezien de timmerman geen persoonsgegevens verwerkt als onderdeel van zijn kernactiviteit en hij niet meer dan één dienst aan de betrokkene heeft geleverd, is het onwaarschijnlijk dat er wijzigingen zijn opgetreden in de gegevensset gerelateerd aan de betrokkene. De betrokkene heeft verduidelijkt dat het nieuwe verzoek betrekking heeft op dezelfde informatie als het laatste verzoek. Dit verzoek kan derhalve als buitensporig worden beschouwd vanwege het repetitieve karakter ervan.
- Als de timmerman besluit de persoonsgegevens aan de betrokkene te verstrekken, maar tegen een vergoeding, dan is het raadzaam deze vooraf op de hoogte te stellen, waardoor deze de kans krijgt om het verzoek in te trekken om te voorkomen dat er kosten in rekening worden gebracht. Als alternatief kan de timmerman de betrokkene op de hoogte stellen van de redenen waarom hij niet op dit verzoek zal reageren, alsook over de mogelijkheid om een klacht in te dienen bij een gegevensbeschermingsautoriteit en beroep in te stellen.
Recht op informatie
Het recht op informatie stelt mensen in staat om te begrijpen wat er met hun gegevens zal worden gedaan, waardoor ze geïnformeerde beslissingen kunnen nemen en meer controle hebben over hun persoonsgegevens. Alle betrokkenen hebben het recht om informatie te ontvangen wanneer je hun gegevens verwerkt.
Als organisatie die als verwerkingsverantwoordelijke optreedt, ben je verplicht de betrokkenen op de hoogte te stellen.
Welke informatie?
De te verstrekken informatie verschilt afhankelijk van of je de persoonsgegevens rechtstreeks van de betrokkene hebt verzameld (directe verzameling, georganiseerd door art. 13 AVG) of dat je deze hebt verkregen via een andere bron (indirecte verzameling, georganiseerd door art. 14 AVG). De volgende tabellen geven een overzicht van de informatie die je aan de betrokkene moet verstrekken:
Daarnaast vereist de AVG dat je organisatie de volgende informatie verstrekt om een eerlijke en transparante verwerking te waarborgen:
Je organisatie moet de informatie in deze tweede tabel opnieuw verstrekken in het geval van verdere verwerking voor een nieuw verenigbaar doel dat afwijkt van het oorspronkelijke doel. Deze informatie moet voorafgaand aan die verdere verwerking worden verstrekt. In dat geval moet je de betrokkene ook uitleggen hoe de nieuwe en eerdere doeleinden met elkaar verenigbaar zijn.
Wanneer moet de informatie worden verstrekt?
Als je organisatie de persoonsgegevens rechtstreeks van de betrokkene verzamelt, moet je de nodige informatie verstrekken op het moment van verzameling.
In geval van indirecte verzameling van persoonsgegevens moet je organisatie de informatie uiterlijk één maand nadat de persoonsgegevens in eerste instantie zijn verkregen, verstrekken. Deze maximale periode van één maand wordt verkort:
- als de persoonsgegevens worden gebruikt voor communicatie met de betrokkene. In dat geval moet je de betrokkene uiterlijk op het moment van de eerste mededeling aan de betrokkene op de hoogte stellen;
- wanneer de gegevens aan een andere ontvanger worden doorgegeven, stelt de organisatie de betrokkenen hiervan op de hoogte wanneer de persoonsgegevens worden doorgegeven.
In geen geval kan de maximale termijn van één maand worden verlengd.
In het geval van latere wijzigingen in de verwerking (bv. nieuwe ontvangers, verenigdbare doeleinden, overdracht buiten de EER, enz.), moet je organisatie de betrokkene in elk geval op de hoogte brengen voordat de wijziging van kracht wordt en je dient dit ruim van tevoren te doen. Hoe ingrijpender de wijziging, hoe eerder je organisatie de betrokkene op de hoogte moet stellen, zodat deze een redelijke termijn heeft om de impact hiervan te beoordelen en zijn rechten uit te oefenen.
Wanneer is je organisatie niet verplicht informatie te verstrekken?
Je organisatie is niet verplicht om de betrokkene op de hoogte te stellen als deze persoon al de noodzakelijke informatie heeft ontvangen.
In het geval van indirecte verzameling van persoonsgegevens zijn aanvullende uitzonderingen van toepassing. In dit geval is het verstrekken van informatie niet nodig als:
- het verstrekken van dergelijke informatie onmogelijk blijkt of onevenredige inspanningen vergt. De lat ligt voor deze uitzondering echter zeer hoog, wat impliceert dat een verwerkingsverantwoordelijke slechts in zeer uitzonderlijke gevallen voldoet aan dit criterium;
- het verkrijgen of openbaar maken van gegevens uitdrukkelijk bij wet is geregeld;
- de persoonsgegevens vertrouwelijk moeten worden behandeld op grond van een wettelijke geheimhoudingsplicht.
In de praktijk
-
In sommige EU-landen kan de nationale wetgeving de belastingautoriteiten verplichten bepaalde informatie over werknemers van de werkgevers op te vragen. De belastingdienst hoeft de werknemer in een dergelijk geval niet op de hoogte te stellen. Als onderdeel van zijn informatieplicht zal de werkgever de werknemer echter informeren dat de belastingdienst één van de ontvangers van de persoonsgegevens is.
Hoe moet de informatie aan de betrokkene worden verstrekt?
Een goede manier om informatie te verstrekken is om te werken met verschillende lagen van informatie. Hierdoor wordt voorkomen dat er in één keer te veel informatie wordt verstrekt, wat de transparantie niet ten goede komt en de betrokkene kan overladen met informatie. Het gebruik van een gelaagde aanpak voldoet zowel aan de eis van beknoptheid als de eis van het verstrekken van alle noodzakelijke informatie. Dit vereenvoudigt niet alleen de taak van de verwerkingsverantwoordelijke, maar stelt de betrokkene ook in staat om de essentiële informatie snel en efficiënt te begrijpen. De presentatie van de informatie kan als volgt zijn:
- Een eerste laag basisinformatie
- WAT? De organisatie geeft een samenvatting van de basisinformatie die de betrokkene nodig heeft om de impact en de omvang van de verwerking te beoordelen (bijvoorbeeld de identiteit van de verwerkingsverantwoordelijke, de doeleinden van de verwerking, categorieën ontvangers, gegevensbron, rechten van betrokkenen,...).
- HOE? Bijvoorbeeld in een tabel, op een duidelijk zichtbare plaats met de titel „Basis gegevensbeschermingsinformatie” of door middel van pop-ups die uitleg geven wanneer persoonsgegevens worden verzameld. Als de verwerking gebaseerd is op toestemming, verdient het de voorkeur deze informatie te vermelden op de plaats waar de betrokkene toestemming moet geven (bij de knop „toestemming”).
- WAT? De organisatie geeft een samenvatting van de basisinformatie die de betrokkene nodig heeft om de impact en de omvang van de verwerking te beoordelen (bijvoorbeeld de identiteit van de verwerkingsverantwoordelijke, de doeleinden van de verwerking, categorieën ontvangers, gegevensbron, rechten van betrokkenen,...).
- Een tweede laag van aanvullende en meer gedetailleerde informatie
- WAT? Dit deel toont de resterende informatie die de organisatie moet verstrekken op grond van de artikelen 13 en 14 van de AVG..
- HOE? Aanvullende informatie kan op verschillende manieren worden verstrekt, bijvoorbeeld door middel van hyperlinks in de basisinformatie of door het downloaden van een document. De verstrekking van deze aanvullende informatie moet een evenwicht bieden tussen beknoptheid enerzijds en volledigheid en nauwkeurigheid anderzijds. De informatie moet zodanig zijn gestructureerd dat het gemakkelijk leesbaar is. Vergeet niet de informatie aan te passen aan de doelgroep (bijvoorbeeld: als je service gericht is op kinderen, geef je de informatie op een manier die ze kunnen begrijpen).
- WAT? Dit deel toont de resterende informatie die de organisatie moet verstrekken op grond van de artikelen 13 en 14 van de AVG..
Recht op inzage
Door hun recht op inzage uit te oefenen, kunnen betrokkenen de rechtmatigheid controleren van elke verwerkingsactiviteit die hen betreft.
Wanneer zij hun recht op inzage uitoefenen, moeten betrokkenen een bevestiging krijgen van de verwerkingsverantwoordelijke over het al dan niet verwerken van hun persoonsgegevens. Wanneer dit het geval is, hebben betrokkenen toegang tot hun persoonsgegevens en de volgende informatie:
- de doeleinden van de verwerking;
- de betrokken categorieën persoonsgegevens;
- de ontvangers (of categorieën ontvangers) van de persoonsgegevens;
- de bewaartermijn voor de persoonsgegevens of de criteria die worden gebruikt om die periode te bepalen;
- het bestaan van het recht om de verwerkingsverantwoordelijke te verzoeken om rectificatie of wissing van persoonsgegevens of beperking van de verwerking van persoonsgegevens die betrekking hebben op de betrokkene of om bezwaar te maken tegen een dergelijke verwerking;
- het bestaan van het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit;
- de bron van de gegevens (wanneer de persoonsgegevens niet rechtstreeks bij de betrokkene worden verzameld);
- het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, begrijpelijke informatie over de betrokken logica, alsmede het belang en de verwachte gevolgen van een dergelijke verwerking voor de betrokkene;
- wanneer persoonsgegevens uit de Europese Unie worden doorgegeven, worden alle passende waarborgen ingevoerd (overeenkomstig artikel 46 AVG met betrekking tot gegevensoverdrachten).
Bovendien heeft de persoon het recht om (gratis) een kopie te ontvangen van al zijn persoonsgegevens die door je organisatie worden verwerkt. Als de persoon om extra kopieën vraagt, kan je organisatie besluiten een redelijke vergoeding te vragen die wordt berekend op basis van de administratieve kosten van het maken van kopieën. Houd er rekening mee dat personen in de meeste gevallen niet kunnen worden verplicht om een vergoeding te betalen om toegang te krijgen tot hun persoonlijke informatie.
Wanneer een verzoek elektronisch wordt ingediend, moet je organisatie de vereiste informatie verstrekken in een veelgebruikt digitaal bestandsformaat, tenzij de betrokkene anders verzoekt.
Belangrijk om op te merken
Voordat je een kopie van de persoonsgegevens verstrekt, moet je controleren of dit geen invloed heeft op de rechten en vrijheden van anderen (bijvoorbeeld als informatie over meer dan één persoon in hetzelfde bestand wordt verwerkt, of informatie met betrekking tot bedrijfsgeheimen en intellectuele eigendom).
Recht op rectificatie
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke de correctie van onjuiste gegevens en het invullen van onvolledige gegevens te vragen en te krijgen. Als je organisatie de persoonsgegevens aan derden heeft doorgegeven, moet je hen op de hoogte stellen van de rectificatie, tenzij dit onmogelijk blijkt of onevenredig veel inspanningen vergt.
In de praktijk
- Een klant informeert je organisatie dat hij naar een andere stad is verhuisd. Je bent verplicht om het adres te wijzigen in je klantendatabase.
Recht op gegevens verwijderen (recht om vergeten te worden)
Een betrokkene kan een organisatie verzoeken om zijn persoonsgegevens te wissen in de volgende situaties:
- de persoonsgegevens zijn niet langer nodig voor het doel waarvoor ze zijn verzameld.
- de organisatie verwerkt de persoonsgegevens onrechtmatig
- de organisatie moet de persoonsgegevens wissen vanwege een wettelijke verplichting
- de betrokkene trekt zijn toestemming in en de verwerking heeft geen andere rechtsgrondslag
- de betrokkene heeft met succes gebruik gemaakt van het recht om bezwaar te maken
- minderjarigen die toestemming hebben gegeven voor het gebruik van een online dienst kunnen altijd verzoeken om verwijdering van hun persoonsgegevens (ongeacht hun huidige leeftijd).
Wanneer de te wissen persoonsgegevens eerder aan andere organisaties zijn doorgegeven, moet je deze organisaties ervan op de hoogte stellen dat de betrokkene om verwijdering heeft verzocht, tenzij dit onmogelijk blijkt of onevenredige inspanningen vereist.
Wanneer je organisatie verplicht is persoonsgegevens te wissen die door de organisatie openbaar zijn gemaakt, moet men alle redelijke stappen ondernemen om andere verwerkingsverantwoordelijken die deze gegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om verwijdering van eventuele links naar, of kopieën of reproductie van die persoonsgegevens.
Je organisatie kan het wissen van persoonsgegevens enkel weigeren in een beperkt aantal gevallen, zoals:
- de uitoefening van het recht op vrijheid van meningsuiting en van informatie;
- het instellen, uitoefenen of verdedigen van rechtsvorderingen;
- de naleving van een wettelijke verplichting waaraan de organisatie is onderworpen of de uitvoering van een taak van algemeen belang of in het kader van de uitoefening van het aan de organisatie toevertrouwde openbaar gezag;
- redenen van algemeen belang op het gebied van de volksgezondheid;
- archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden (onder specifieke voorwaarden).
In de praktijk
- Een medewerker uit je organisatie is ontslagen. De medewerker vraagt dat zijn persoonsgegevens uit zijn personeelsbestand worden verwijderd. Het arbeidsrecht vereist echter dat je gedurende een bepaalde periode meerdere HR-documenten (register van personeelsleden, kopieën van salarisafschriften, enz.) bijhoudt. Voor deze documenten moet je het verzoek tot verwijdering van de gegevens weigeren.
- Een voormalige klant wil geen marketing-e-mails meer ontvangen van je organisatie en vraagt of je haar contactgegevens verwijdert. Aangezien er geen dwingende redenen voor je zijn om de contactgegevens te blijven verwerken, moet je deze wissen.
Recht op beperking van de verwerking
In bepaalde omstandigheden kunnen de betrokkenen verzoeken om een beperking van de verwerking van hun gegevens. Als gevolg hiervan kan je organisatie de persoonsgegevens nog steeds bewaren, maar moet je alle andere verwerkingsactiviteiten staken.
De betrokkene heeft het recht om de beperking van de gegevensverwerking te verkrijgen wanneer:
- de betrokkene de juistheid van de persoonsgegevens betwist;
- de verwerking onrechtmatig is: in plaats van de gegevens te wissen, kan de betrokkene verzoeken om beperking van het gebruik van de persoonsgegevens;
- de organisatie de persoonsgegevens niet meer nodig heeft, maar de gegevens nog steeds noodzakelijk zijn voor de betrokkene om een rechtsvordering uit te oefenen;
- de betrokkene gebruik heeft gemaakt van het recht van bezwaar. De beperking is van toepassing gedurende de tijd die nodig is om na te gaan of de door de organisatie nagestreefde legitieme redenen voorrang hebben op die van de betrokkene.
Als de betrokkene zijn recht op beperking van de verwerking met succes uitoefent, kan je organisatie de gegevens alleen in bepaalde specifieke omstandigheden gebruiken, bijvoorbeeld met toestemming van de betrokkene of voor de verdediging van rechtsvorderingen. Heb je de „beperkte” gegevens eerder doorgegeven aan andere ontvangers? Je moet deze ontvangers dan op de hoogte te stellen van de beperking van de verwerking, tenzij dit onmogelijk blijkt of onevenredige inspanningen vereist.
Voordat je de beperking opheft, moet je de betrokkene informeren over je voornemen om dit te doen.
Recht op dataportabiliteit
Het recht op dataportabiliteit stelt betrokkenen in staat om hun persoonsgegevens te verkrijgen in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat. Op deze manier kunnen ze de gegevens eenvoudig hergebruiken en, als ze dat willen, hun gegevens doorgeven aan een andere gegevensbeheerder. Het recht op dataportabiliteit kan alleen worden uitgeoefend als aan al deze drie voorwaarden is voldaan:
- de verwerking is gebaseerd op toestemming of een contract;
- de verwerking is geautomatiseerd (d.w.z. geen papieren documenten);
- de betrokkenen hebben de gegevens zelf verstrekt. Dit omvat ook alle gegevens die je organisatie heeft waargenomen op basis van het gedrag van de betrokkene (bijvoorbeeld met gekoppelde accessoires).
Dit recht heeft dus geen betrekking op gegevens die de organisatie zelf op basis van bovengenoemde gegevens creëert.
Concreter hebben betrokkenen het recht:
- om hun persoonsgegevens te verkrijgen in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat. Het formaat moet de betrokkene in staat stellen de persoonsgegevens voor een andere dienst te hergebruiken.
Voorbeeld: XML, JSON en CSV zijn gangbare formaten die aan dit criterium voldoen. Metagegevens moeten ook worden verstrekt zodat de gegevens op een ander platform kunnen worden gebruikt. Een PDF-formaat voldoet niet. - om hun persoonsgegevens rechtstreeks aan een andere verwerkingsverantwoordelijke te laten overdragen. Je organisatie mag dit alleen doen als een dergelijke directe overdracht technisch mogelijk is.
In de praktijk
- Je organisatie biedt online muziekstreamingdiensten aan. Je klanten kunnen de overdracht van hun songlijsten naar een andere muziekstreamingdienst aanvragen.
- JE hebt een midden- of kleinbedrijf dat een webmail-service aanbiedt. Als je klant met een e-mailaccount puur voor persoonlijke of huishoudelijke behoeften dit vraagt, moet je zijn adreslijst en e-mails overdragen aan een andere webmailservice, mits dit technisch haalbaar is. Als dit niet mogelijk is, moet je de adreslijst en e-mails aan de klant verstrekken in een herbruikbaar digitaal formaat.
Recht van bezwaar
Betrokkenen kunnen bezwaar maken tegen de verwerking van hun persoonsgegevens „om redenen die verband houden met hun specifieke situatie”. Het recht van bezwaar kan alleen worden uitgeoefend indien de verwerking gebaseerd is op één van de volgende rechtsgronden:
- het gerechtvaardigd belang van de organisatie of van een derde; of
- de uitvoering van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag.
In andere situaties kan de betrokkene geen gebruik maken van het recht om bezwaar te maken, omdat er voor de andere rechtsgrondslagen alternatieven zijn om hetzelfde doel te bereiken: in geval van toestemming kan de betrokkene eenvoudig de toestemming intrekken. De betrokkene kan geen bezwaar maken tegen een door de wet opgelegde verwerking.
Wanneer betrokkenen hun recht van bezwaar uitoefenen, moet je organisatie de belangen van beide partijen in evenwicht brengen. Zij zal elke verwerking van deze persoonsgegevens staken, tenzij zij dwingende gerechtvaardigde redenen kan aanvoeren die zwaarder wegen dan de rechten en vrijheden van de betrokkene. Je organisatie moet deze redenen documenteren en meedelen aan de betrokkene.
Belangrijk om op te merken
Wanneer de gegevens voor marketingdoeleinden worden verwerkt, heeft de betrokkene het recht om zonder opgave van redenen bezwaar te maken tegen deze verwerking. In dit geval zijn de redenen waarom je organisatie deze gegevens verwerkt niet relevant, in plaats daarvan moet het bezwaar leiden tot het onmiddellijke einde van de verwerking voor dit doel.
In de praktijk
- Je bent een klein eventmarketingbureau. Wanneer een persoon online een ticket koopt voor het concert van een band, ontvangen ze advertenties voor andere soortgelijke concerten. Als de persoon wil stoppen met het ontvangen van deze advertenties en objecten, moet de organisatie de direct marketing stopzetten.
- Je bent een mkb’er die actief is in de verzekeringsbranche. In deze sector zijn persoonsgegevens in bepaalde situaties nodig om witwaspraktijken te bestrijden. Je kunt, als verzekeringsagent, weigeren gevolg te geven aan een recht om bezwaar te maken, omdat je nationale antiwitwaswetgeving je verplicht om de gegevens te verwerken.
Lees meer
Recht op menselijke blik bij besluiten
Een persoon heeft het recht niet te worden onderworpen aan een volledig automatische beslissing (d.w.z. zonder menselijke tussenkomst in het besluitvormingsproces), die rechtsgevolgen heeft of aanzienlijke gevolgen heeft voor de persoon in kwestie.
Geautomatiseerde besluitvorming gaat vaak hand in hand met profilering, die in de AVG wordt gedefinieerd als „ elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;” (artikel 4, lid 4, AVG).
Voor de toepassing van dit recht moet de geautomatiseerde verwerking het volgende omvatten:
- een beslissing die uitsluitend gebaseerd is op geautomatiseerde verwerking, zonder menselijke tussenkomst. Dit betekent dat geen enkele natuurlijke persoon significante controle heeft over de beslissing en het besluit bijvoorbeeld niet kan wijzigen of terugdraaien;
- een beslissing die rechtsgevolgen heeft voor de betrokkenen of die hen in aanzienlijke mate treft.
In de praktijk
- Een voorbeeld van juridische gevolgen is de automatische beëindiging van een telefonieovereenkomst omdat de klant de maandelijkse factuur niet heeft betaald.
- De volgende voorbeelden bevatten een beslissing met grote invloed op de persoon (hoewel natuurlijk altijd rekening moet worden gehouden met de context bij het beoordelen of de impact op de betrokkene significant is):
- beslissingen die van invloed zijn op de financiële omstandigheden van personen, zoals hun geschiktheid om krediet op te nemen;
- automatische weigering van aanvragers die een aanvraag indienen via een onlineplatform;
- prijsdifferentiatie op basis van de browsegeschiedenis en koopgewoonten van een consument;
- beslissingen die invloed hebben op iemands toegang tot onderwijs, bijvoorbeeld universitaire toelatingen.
- beslissingen die van invloed zijn op de financiële omstandigheden van personen, zoals hun geschiktheid om krediet op te nemen;
Er zijn drie situaties waarin een geautomatiseerde individuele beslissing nog wél kan worden genomen:
- indien dit wettelijk is toegestaan (bv. het voorkomen van fraude of belastingontduiking);
- indien de beslissing is gebaseerd op de uitdrukkelijke toestemming van de betrokkene; of
- indien dit noodzakelijk is voor het sluiten of uitvoeren van een overeenkomst. Houd er echter rekening mee dat het in deze laatste situatie altijd afhangt van een beoordeling per geval. Zodra er minder privacy-invasieve methoden bestaan om de overeenkomst te sluiten of uit te voeren, wordt de geautomatiseerde beslissing niet langer als „noodzakelijk” beschouwd.
Indien het om gevoelige gegevens gaat, is geautomatiseerde besluitvorming alleen mogelijk op basis van uitdrukkelijke toestemming of een aanzienlijk algemeen belang uit hoofde van het Unierecht of het nationale recht.