In de vorige blog hebben wij al besproken op welke manier voldaan kan worden aan één van de rechten van een betrokkene, namelijk het recht op informatie. In deze blog gaan wij in op de zeven andere rechten die een betrokkene op grond van de AVG heeft.
Het recht op inzage
Dit recht houdt in dat een betrokkene o.a. inzicht moet krijgen in de (soorten) persoonsgegevens die jouw organisatie (als verwerkingsverantwoordelijke) van diegene verwerkt, waarom deze worden verwerkt (de doeleinden) en aan wie deze worden verstrekt. De eerste ‘kopie’ van de persoonsgegevens die worden verwerkt, moet kosteloos verstrekt worden. Kopie betekent overigens niet dat automatisch afschriften verstrekt moeten worden van documenten waarin de persoonsgegevens verwerkt zijn; dat hangt van de omstandigheden af. Er bestaan diverse uitzonderingen op het inzagerecht, bijvoorbeeld bij de opsporing van strafbare feiten.
Het recht op rectificatie
Naast het inzien van de persoonsgegevens heeft een betrokkene het recht op rectificatie. Dit houdt in dat diegene persoonsgegevens mag laten wijzigen of aanvullen wanneer deze objectief onjuist of onvolledig zijn. Een oordeel, indruk of mening wordt dus in principe niet aangepast. Als jouw organisatie persoonsgegevens aan een derde partij heeft verstrekt, dan moet jij de persoonsgegevens ook bij deze partij laten aanpassen of aanvullen.
Het recht op de verwijdering van gegevens
Iets verregaander dan rectificatie is het recht op gegevenswissing, ook wel het recht op vergetelheid genoemd. Jouw organisatie is in bepaalde situaties verplicht om persoonsgegevens te verwijderen, bijvoorbeeld bij onrechtmatige gegevensverwerking of wanneer de betrokkene de eerder gegeven toestemming tot verwerking intrekt. Ook derde partijen waaraan de persoonsgegevens zijn doorgegeven, moeten de gegevens wissen. Op dit recht bestaan diverse uitzonderingen, bijvoorbeeld wanneer de gegevensverwerking noodzakelijk is voor het nakomen van wettelijke verplichtingen of voor een juridische procedure.
Het recht op beperking van verwerking
De betrokkene heeft dus niet altijd recht op gegevenswissing, maar kan soms wel een beroep doen op het recht op beperking van de verwerking. Dat kan in vier situaties:
Bij de betwisting van de juistheid van de persoonsgegevens;
Bij onrechtmatige verwerking;
Wanneer bezwaar is gemaakt tegen de verwerking;
Wanneer de persoonsgegevens niet meer nodig zijn voor jouw organisatie (en dus eigenlijk gewist moeten worden), maar (nog) wel nodig zijn voor de betrokkene voor bijvoorbeeld een juridische procedure.
Het recht op overdracht van gegevens (dataportabiliteit)
Daarnaast moeten digitale persoonsgegevens overdraagbaar zijn, wat besloten ligt in het recht op dataportabiliteit. De betrokkene kan digitale persoonsgegevens die verwerkt worden op basis van toestemming of op basis van een overeenkomst tussen diegene en jouw organisatie opvragen met het doel deze door te geven aan een andere organisatie. Afgeleide gegevens, zoals gegevens gegenereerd door data-analyse, hoeven niet verstrekt te worden.
Het recht van bezwaar
Als jouw organisatie persoonsgegevens verwerkt op grond van het gerechtvaardigd belang of een overheidstaak, dan kan de betrokkene bezwaar maken tegen deze verwerking. Dat geldt ook wanneer persoonsgegevens voor bepaalde vormen van direct marketing worden verwerkt en de betrokkene daar geen toestemming voor heeft gegeven. Jouw organisatie moet bij een binnengekomen bezwaar een belangenafweging maken tussen het belang van de organisatie en dat van de betrokkene. Zodra bezwaar is ingediend, moet jouw organisatie stoppen met het verwerken van de persoonsgegevens, tenzij blijkt dat jouw belangen in dit specifieke geval zwaarder wegen dan het belang van de betrokkene.
Het recht op een menselijke blik bij automatische besluiten
Tot slot heeft de betrokkene het recht om niet te worden onderworpen aan automatische besluitvorming, zoals profilering. Is de betrokkene het niet eens met het genomen besluit en heeft dit besluit belangrijke gevolgen (zoals het niet verkrijgen van een lening), dan kan diegene menselijke tussenkomst eisen en moet jouw organisatie een nieuw besluit nemen.
Verzoek van een betrokkene
Ontvangt jouw organisatie een verzoek van een betrokkene met een beroep op één van deze rechten, reageer dan zo snel mogelijk, maar uiterlijk binnen één maand na ontvangst. Bij de behandeling van het verzoek moet jouw organisatie ook rekening houden met de rechten en vrijheden van anderen dan de betrokkene die het verzoek indient. In sommige gevallen moet je de identiteit van de betrokkene verifiëren voordat je het verzoek in behandeling mag nemen.
Wil je graag een procedure inrichten voor het omgaan met verzoeken? Of heb jij een verzoek van een betrokkene ontvangen en twijfel je over de juiste (vervolg)stappen? Onze specialisten denken graag met je mee!
Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen. (Lees onze disclaimer).