De rechten van de betrokkene volgens de AVG
Hoofdstuk III van de AVG bevat de volgende rechten van de betrokkene:
- Recht op informatie (artikel 12–14 AVG;
- Recht van inzage (artikel 15 AVG);
- Recht op rectificatie en aanvulling (artikel 16 AVG);
- Recht op gegevenswissing (artikel 17 AVG);
- Recht op beperking (artikel 18 AVG);
- Recht op dataportabiliteit (artikel 20 AVG);
- Recht van bezwaar (artikel 21 AVG);
- Geautomatiseerde individuele besluitvorming (profilering) (artikel 22 lid 1 AVG).
Recht op informatie
Het recht op informatie is vastgelegd in artikel 12-14 van de AVG. Via dit recht moet de verwerkingsverantwoordelijke ervoor zorgen dat de betrokkene op behoorlijke, begrijpelijke en transparante wijze wordt geïnformeerd wanneer zijn persoonsgegevens worden verwerkt, en wat de doelen van deze verwerking zijn. Ook dient de verwerkingsverantwoordelijke onder meer de identiteit en de contactgegevens van de verwerkingsverantwoordelijke door te geven, evenals de bewaartermijnen van de persoonsgegevens. De informatie die aan een betrokkene moet worden verstrekt wordt vaak opgenomen in de privacyverklaring op een website.
De precieze informatie die verstrekt moet worden hangt af van of de persoonsgegevens bij de betrokkene zelf worden verzameld of dat deze via een andere bron zijn verkregen (artikel 13-14 AVG). Uit deze artikelen blijkt ook dat de betrokkene niet geïnformeerd hoeft te worden wanneer deze bijvoorbeeld al over de betreffende informatie beschikt, of indien dit onevenredig veel inspanning zou vergen.
Het verwerken van persoonsgegevens is dus alleen toegestaan wanneer er sprake is van transparantie. Daarom is transparantie als een apart verwerkingsbeginsel opgenomen in de AVG. Het transparantiebeginsel houdt in dat de betrokkene op de hoogte moet zijn van de verwerking en begrijpt welke persoonsgegevens worden verwerkt om wat voor redenen.
Recht van inzage
Het recht op inzage is vastgelegd in artikel 15 van de AVG. Via dit recht kan een betrokkene bij een verwerkingsverantwoordelijke inzicht krijgen in de persoonsgegevens die een organisatie van hem verwerkt. Het recht op inzage is voor een betrokkene een belangrijke eerste stap om de andere rechten van de betrokkene uit te kunnen oefenen, bijvoorbeeld om de persoonsgegevens te corrigeren of te laten verwijderen.
De verwerkingsverantwoordelijke moet bij het verstrekken van de persoonsgegevens onder meer laten weten waarom bepaalde persoonsgegevens worden verwerkt, welke soort persoonsgegevens bewaard worden (bijvoorbeeld NAW-gegevens of locatiegegevens) en aan wie deze eventueel zijn doorgestuurd.
Kopie persoonsgegevens
Nieuw onder de AVG is dat de verwerkingsverantwoordelijke ook kosteloos een kopie van de persoonsgegevens die worden verwerkt moet overhandigen. Dit recht om een kopie te verkrijgen mag geen afbreuk doen aan de rechten en vrijheden van anderen. Een decentrale overheid moet er dus voor zorgen dat in deze kopieën geen persoonsgegevens van anderen onrechtmatig aan de betrokkene worden verstrekt. Dit kan bijvoorbeeld door de betreffende persoonsgegevens van anderen op de kopie weg te lakken.
Recht op rectificatie en aanvulling
Artikel 16 AVG bepaalt dat, wanneer er sprake is van onjuistheden in de gegevensverwerking, de betrokkene het recht heeft om incorrecte gegevens te rectificeren en waar nodig aan te vullen. Als de incorrecte persoonsgegevens ook aan een derde zijn verstrekt, dient de verwerkingsverantwoordelijke de aangevulde en/of gerectificeerde persoonsgegevens ook aan deze derde partij toe te sturen.
Recht op gegevenswissing
Het recht op gegevenswissing wordt ook wel het recht om vergeten te worden genoemd. In artikel 17 van de AVG staat dat organisaties in bepaalde gevallen, op verzoek van de betrokkene waarvan zij gegevens verwerken, persoonsgegevens moeten wissen.
Zo’n verzoek van de betrokkene moet in een aantal gevallen ingewilligd worden, bijvoorbeeld wanneer de betrokkene de toestemming waarop de verwerking plaatsvond intrekt, of in situaties waarin de persoonsgegevens onrechtmatig worden verwerkt.
Als de verwerkingsverantwoordelijke de persoonsgegevens moet wissen, heeft hij de plicht om andere verwerkingsverantwoordelijken die de persoonsgegevens ook verwerken hiervan op de hoogte te stellen.
Uitzonderingen
In sommige situaties kan het recht op gegevenswissing niet ingeroepen worden. Dit is bijvoorbeeld het geval wanneer de verwerking van deze persoonsgegevens nodig is voor het nakomen van een wettelijke verplichting, het vervullen van een taak van algemeen belang of openbaar gezag, of wanneer de persoonsgegevens bewaard moeten blijven wegens archivering in het algemeen belang.
Recht op beperking
Onder bepaalde omstandigheden kan de betrokkene zijn recht op beperking inroepen om het gebruik van persoonsgegevens te beperken. In artikel 18 van de AVG staan vier situaties waarin een betrokkene hun op dit recht kan beroepen:
- De betrokkene betwist de juistheid van de persoonsgegevens;
- De verwerking is onrechtmatig;
- De verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig, maar de betrokkene wel voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- De betrokkene heeft bezwaar gemaakt tegen de verwerking.
Uitzonderingen
Een verwerkingsverantwoordelijke kan de persoonsgegevens nog wel blijven verwerken wanneer er toestemming is van de betrokkene, wanneer dit nodig is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of om gewichtige redenen van algemeen belang.
Recht op dataportabiliteit
Volgens artikel 20 AVG krijgt de betrokkene het recht om gegevens over te (laten) dragen. Dit heet het recht op dataportabiliteit en houdt in dat een betrokkene zijn persoonsgegevens bij een verwerkingsverantwoordelijke kan opvragen, om deze daarna in een passend format door te kunnen geven aan een andere organisatie.
Het gaat bij het recht op dataportabiliteit alleen om persoonsgegevens die geautomatiseerd worden verwerkt op basis van ofwel toestemming van de betrokkene (artikel 6 lid 1 onder a en artikel 9 lid 2 onder a AVG) of die noodzakelijk zijn om een overeenkomst met de betrokkene uit te voeren (artikel 6 lid 1 onder b AVG).
Voorwaarden:
- persoonsgegevens;
- die zijn verstrekt door de betrokken persoon, of direct afkomstig van zijn apparatuur;
- langs de geautomatiseerde weg verstrekt; en
- de privacy van anderen wordt niet in gevaar gebracht door de gegevens.
Recht van bezwaar
Artikel 21 AVG behandelt het recht van de betrokkene om bezwaar in te dienen tegen een verwerking. Dit kan wanneer een organisatie persoonsgegevens verwerkt op grondslag van hun gerechtvaardigd belang of een taak van algemeen belang. De verwerkingsverantwoordelijke maakt in dit geval namelijk een afweging tussen deze belangen en die van de rechten en vrijheden van de betrokkene.
Een betrokkene kan in twee situatie bezwaar aantekenen. Ten eerste in het geval van direct marketing, zonder dat de betrokkene toestemming heeft gegeven voor de reclamepost. Ten tweede vanwege de specifieke situatie van de betrokkene.
Als een betrokkene bezwaar aantekent tegen de verwerking van zijn persoonsgegevens dient de verwerkingsverantwoordelijke te stoppen met het verwerken van de gegevens. De verwerking kan alleen doorgaan wanneer de organisatie hier dwingende gerechtvaardigde gronden voor aanvoert. Deze gerechtvaardigde gronden moeten belangrijker zijn dan de belangen, rechten en vrijheden van de betrokkene of moeten een rechtsvordering betreffen.
De informatieplicht vereist dat het recht van bezwaar duidelijk en apart van alle andere informatie aan de betrokkene moet worden meegedeeld.
Geautomatiseerde individuele besluitvorming (profilering)
Een betrokkene heeft volgens artikel 22 lid 1 AVG het recht om niet te worden onderworpen aan besluiten van gegevensverwerkende organisaties die uitsluitend berusten op geautomatiseerde verwerking (waaronder profilering). Door technologische ontwikkelingen zoals Artificial Intelligence wordt het steeds makkelijk om data te verzamelen dat profielen maakt en geautomatiseerde beslissingen neemt. De betrokkene kan er echter voor kiezen dat zijn gegevens niet mee worden genomen. Dit is het geval wanneer dit automatische besluit bijvoorbeeld rechtsgevolgen voor hem heeft of hem op een andere wijze treft, zoals de automatische weigering bij een sollicitatie zonder menselijke tussenkomst.
Een beroep op dit recht geldt niet:
- Wanneer het automatisch genomen besluit noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst;
- Wanneer dit is toegestaan bij een wettelijke bepaling op de verwerkingsverantwoordelijke;
- In geval van uitdrukkelijke toestemming van de betrokkene.
Passende maatregelen
Als een geautomatiseerd besluit wordt genomen wegens de totstandkoming of uitvoering van een overeenkomst of de toestemming van de betrokkene, moet de verwerkingsverantwoordelijke wel passende maatregelen treffen om de rechten en vrijheden van de betrokkene zo goed mogelijk te garanderen. De betrokkene moet in deze gevallen ten minste de mogelijkheid krijgen om:
- Menselijke tussenkomst van de verwerkingsverantwoordelijke te verkrijgen;
- Zijn standpunt kenbaar te maken;
- Het besluit aan te vechten.
Ingaan op een verzoek
Wanneer een verzoek wordt ingediend ter uitvoering van een van de rechten, moeten decentrale overheden die verwerkingsverantwoordelijke zijn binnen een maand na ontvangst van het verzoek een reactie geven over het gevolg dat aan het verzoek is gegeven. Wanneer er bij complexe verzoeken meer tijd nodig is, kan deze periode nog eens met twee maanden verlengd worden. De verlenging moet dan binnen de eerste maand kenbaar worden gemaakt bij de betrokkene. Ook moeten decentrale overheden verifiëren dat degene die het verzoek indient ook daadwerkelijk de betrokkene is.
In artikel 12 AVG leest u meer over het ingaan op een verzoek van een betrokkene.
Wanneer mogen deze rechten beperkt worden?
In bepaalde gevallen kunnen decentrale overheden als verwerkingsverantwoordelijke de rechten van de betrokkene inperken, bijvoorbeeld om de nationale of openbare veiligheid te waarborgen of om de rechten en vrijheden van anderen te beschermen.
De beperking moet gebaseerd zijn op wettelijke bepalingen en de verwerkingsverantwoordelijke moet waarborgen dat de wezenlijke inhoud van grondrechten en fundamentele vrijheden ongeschonden blijft.
Meer informatie over het beperken van de rechten van betrokkenen kunt u vinden in artikel 23 AVG.