Introductie

In deze vijfde update staan wij stil bij het (nieuwe) recht op informatie van de betrokken onder de Algemene Verordening Gegevensbescherming (de AVGB). In de volgende twee updates gaan wij uitgebreider in op de andere rechten van de betrokkene (waaronder het recht op inzage, correctie en verwijdering).

Eén van de kernprincipes van de AVGB is dat verantwoordelijke transparant is naar de betrokkenen dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins worden verwerkt, en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Dit transparantiebeginsel vereist dat informatie en communicatie over de verwerking van persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en dat duidelijke en eenvoudige taal wordt gebruikt.

In dit kader wordt het recht op informatie in de AVGB aanzienlijk uitgebreid.

Transparantie

De AVGB verplicht organisaties om de betrokkenen in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en in eenvoudige taal te informeren over de hieronder vermelde informatie (in het bijzonder wanneer de informatie voor kinderen bestemd is). In voorkomend geval kan gebruik worden gemaakt van aanvullende visualisaties (bijvoorbeeld standaard pictogrammen).

De informatie moet in beginsel schriftelijk worden verstrekt (bijvoorbeeld door middel van een privacy beleid), en indien passend via elektronische middelen (bijvoorbeeld via een website).

Te verstrekken informatie indien persoonsgegevens rechtstreeks van de betrokkene worden verkregen

Indien persoonsgegevens rechtstreek worden verkregen van de betrokkene, is de verantwoordelijke verplicht de volgende informatie te verstrekken aan de betrokkene:

  1. diens identiteit en contactgegevens en, indien van toepassing, van diens vertegenwoordiger;
  2. in voorkomend geval, de contactgegevens van de functionaris voor de gegevensbescherming;
  3. de doeleinden en rechtsgrond voor de verwerking van persoonsgegevens, inclusief de gerechtvaardigde belangen van de verantwoordelijke indien de verwerking is gebaseerd op de rechtsgrond 'noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verantwoordelijke';
  4. de ontvangers of categorieën van ontvangers;
  5. indien van toepassing, details van de doorgifte van persoonsgegevens buiten de EU, waaronder op welke wijze de bescherming van de persoonsgegevens is gewaarborgd (bijvoorbeeld door het gebruik van EU Model Clauses of Binding Corporate Rules) en op welke wijze de betrokkene een kopie van de toegepaste waarborgen kan verkrijgen of raadplegen;
  6. de bewaartermijn van de persoonsgegevens, of indien dat niet mogelijk is, de criteria waarmee de bewaartermijn wordt bepaald (bijvoorbeeld één jaar na beëindiging overeenkomst);
  7. dat de betrokkene het recht heeft om inzage, rectificatie of verwijdering van de persoonsgegevens of beperking van de hem of haar betreffende verwerking te verzoeken, het recht heeft bezwaar te maken tegen de verwerking en het recht heeft op overdraagbaarheid van hem of haar betreffende persoonsgegevens;
  8. indien de verwerking is gebaseerd op toestemming, dat de betrokkene het recht heeft zijn of haar toestemming te allen tijde in te trekken;
  9. dat de betrokkene het recht heeft een klacht in te dienen bij de toezichthouder;
  10. of er een wettelijke of contractuele verplichting is om de persoonsgegevens te verstrekken, dan wel of de verstrekking noodzakelijk is om een overeenkomst te sluiten, of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn indien de persoonsgegevens niet worden verstrekt; en
  11. of er sprake is van geautomatiseerde besluitvorming, alsmede informatie over de onderliggende logica en het belang en de (verwachte) gevolgen van die verwerking voor de betrokkene.   

Bovenstaande informatie moet ten tijde van het verkrijgen van de persoonsgegevens worden verstrekt aan de betrokkene.

Te verstrekken informatie indien persoonsgegevens niet rechtstreeks van de betrokkene worden verkregen

In aanvulling op bovenvermelde informatie moet de verantwoordelijke onderstaande informatie verstrekken aan de betrokkene, indien de persoonsgegevens niet rechtstreeks van de betrokkene worden verkregen:

  1. de categorieën van persoonsgegevens die worden verwerkt;
  2. de bron waar de persoonsgegevens vandaan komen, en indien van toepassing, dat zij afkomstig zijn van openbare bronnen.

De informatie moet worden verstrekt aan de betrokkene:

  1. binnen een redelijke termijn na verkrijging van de persoonsgegevens (uiterlijk binnen één maand);
  2. indien de persoonsgegevens worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact; of
  3. indien verstrekking van de persoonsgegevens aan derden wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens worden verstrekt.    

Verdere verwerking van persoonsgegevens

Indien de verantwoordelijke de persoonsgegevens wil verwerken voor andere doeleinden dan waarvoor de persoonsgegevens initieel zijn verkregen, moet de verantwoordelijke de betrokkene vóór die verdere verwerking voorzien van informatie over de andere doeleinden, alsmede van alle verdere relevante informatie.

Uitzonderingen

Indien persoonsgegevens rechtstreeks van de betrokkene worden verkregen, geldt bovenvermelde informatieplicht niet indien de betrokkene reeds over de informatie beschikt (informatie hoeft maar één keer verstrekt te worden).
Indien persoonsgegevens niet rechtstreeks van de betrokkene worden verkregen, geldt bovenvermelde informatieplicht niet, indien:

  1. de betrokkene reeds over de informatie beschikt;
  2. het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, mits de verantwoordelijke passende maatregelen neemt om de rechten, vrijheden en gerechtvaardigde belangen van de betrokken te beschermen, waaronder het openbaar beschikbaar maken van de informatie;
  3. het verkrijgen of verstrekken van de persoonsgegevens uitdrukkelijk is voorgeschreven door Europees of lidstatelijk recht en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of
  4. de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim, voorgeschreven door Europees of lidstatelijk recht (bijvoorbeeld het beroepsgeheim voor advocaten en artsen).

Aanbevelingen

De AVGB heeft aanzienlijke gevolgen voor de bestaande informatieplichten en het is verstandig voor organisaties om hun bestaande verwerkingsactiviteiten te analyseren en bestaande (privacy) beleidsregels, (werknemers) handboeken, et cetera waar nodig aan te passen om aan de informatieverplichtingen onder de AVGB te voldoen. Organisaties die persoonsgegevens verwerken die niet rechtstreeks bij de betrokkenen worden verkregen, zullen ervoor moeten zorgen dat bovenvermelde informatie tijdig wordt verstrekt aan de betrokkenen.

Klik hier om u aan te melden voor deze nieuwsbrief

Januari 2017 Territoriale reikwijdte van de AVGB
Februari 2017 Het concept van toestemming
Maart 2017 Bijzondere persoonsgegevens
April 2017  'Accountability', 'Privacy by Design' en 'Privacy by Default'
Mei 2017 Rechten van betrokkenen (informatievoorziening)
Juni 2017 Rechten van betrokkenen (inzage, correctie en overdraagbaarheid)
Juli 2017 Rechten van betrokkenen (bezwaar, verwijdering en beperking van verwerking
Augustus 2017 Verwerkers
September 2017 Datalekken en meldplichten
Oktober 2017 Gegevensbeschermingseffectbeoordeling en de Functionaris voor de Gegevensbescherming
November 2017 Doorgifte van persoonsgegevens (buiten de EER)
December 2017 Toezichthouders (competenties, taken en bevoegdheden)
Januari 2018 One Stop Shop
Februari 2018 Sancties
Maart 2018 Verwerkingen van persoonsgegevens in arbeidsverhoudingen
April 2018 Profiliering en Retail
Mei 2018 Overzicht

Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.