Netherlands: Monthly GDPR Update: Rights Of The Data Subjects (Erasure, Restriction, Object And Automated Individual Decision-Making)

Maandelijkse update AVGB: Rechten van de betrokkenen: (wissing, beperking, bezwaar en geautomatiseerde besluitvorming)

Introductie

In navolging op onze vorige updates ten aanzien van de rechten van de betrokkenen, behandelen wij in deze zevende update de resterende rechten van de betrokkenen: wissing, beperking, bezwaar en geautomatiseerde besluitvorming.

Recht op gegevenswissing

Het recht op gegevenswissing is ook wel bekend als 'het recht om te worden vergeten' (of in de bewoordingen van de Nederlandse versie van de AVGB: 'het recht op vergetelheid'). Dit betreft geen absoluut recht. Op grond van de AVGB heeft de betrokkene het recht om wissing van zijn of haar gegevens te verzoeken, indien:

1. de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld;
2. de verwerking is gebaseerd op toestemming en deze toestemming is ingetrokken (en er geen andere rechtsgrond is voor de verwerking);
3. de betrokkene bezwaar maakt tegen de verwerking en er geen dwingende gronden voor de verwerking zijn die zwaarder wegen;
4. de persoonsgegevens zijn onrechtmatig verwerkt;
5. de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting; en
6. de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van een informatiemaatschappij aan minderjarigen (in het bijzonder indien de minderjarige toestemming heeft gegeven zonder volledig bewust te zijn van de verwerkingsrisico's en hij of zij de persoonsgegevens wil laten verwijderen).

Het recht op gegevenswissing bestaat ook nu al op grond van de Wet bescherming persoonsgegevens (Wbp). De Wbp vereist voor een beroep op wissing dat de betreffende persoonsgegevens feitelijk onjuist, onvolledig of niet ter zake dienend zijn. Op grond van de AVGB is het voldoende dat één of meer van de bovenvermelde gronden van toepassing zijn.

Indien de verantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, dient de verantwoordelijke redelijke maatregelen (waaronder technische maatregelen) te nemen om andere verantwoordelijken te informeren dat de betrokkene om wissing van zijn of haar gegevens heeft verzocht. Deze verplichting kan mogelijk erg vergaand zijn aangezien de persoonsgegevens in een dergelijk geval openbaar beschikbaar zijn.

Uitzonderingen

De verantwoordelijke is niet verplicht om gehoor te geven aan het verzoek tot wissing, indien de verwerking nodig is:

1. voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
2. voor het nakomen van een EU of lidstatelijke wettelijke verplichting of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag verleend aan de verantwoordelijke;
3. om redenen van algemeen belang op het gebied van volksgezondheid;
4. met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, voor zover het recht op wissing de verwezenlijking van de doeleinden van die verwerking onmogelijk maken of in het gedrang brengen; of
5. voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Recht op beperking van de verwerking

Op grond van de AVGB hebben betrokkenen het recht om (tijdelijke) beperking van de verwerking te verkrijgen indien één of meer van de volgende situaties van toepassing zijn:

1. de betrokkene betwist de juistheid van de gegevens, voor de periode waarin de verantwoordelijke de juistheid van de gegevens controleert;
2. de verwerking is onrechtmatig en de betrokkene verzet zich tegen wissen en verzoekt in de plaats daarvan om beperking van het gebruik van de gegevens;
3. de gegevens zijn niet langer noodzakelijk voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering; of
4. de betrokkene heeft bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verantwoordelijke zwaarder wegen dan die van de betrokkene.

Wanneer de verwerking is beperkt mogen de persoonsgegevens alleen worden opgeslagen. Andere verwerkingsactiviteiten zijn niet toegestaan. De verantwoordelijke mag persoonsgegevens die 'beperkt' zijn desondanks verder verwerken indien de betrokkene hiervoor toestemming heeft gegeven of verdere verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een ander persoon of om gewichtige reden van algemeen belang voor de EU of een lidstaat.

Het feit dat de verwerking van persoonsgegevens is beperkt moet duidelijk in het bestand worden aangegeven. Methoden die kunnen worden gebruikt voor de beperking van de verwerking van persoonsgegevens zijn het tijdelijk verwijderen of blokkeren van de persoonsgegevens die zijn gepubliceerd op een website, het tijdelijk verplaatsen van de betreffende persoonsgegevens of het ontoegankelijk maken van de betreffende persoonsgegevens. Het beperken van de verwerking moet in beginsel worden bewerkstelligd door technische maatregelen en zodanig worden gelogd in de IT-systemen van de verantwoordelijke dat deze gegevens niet verder worden verwerkt of kunnen worden gewijzigd.

De verantwoordelijke moet de betrokkene informeren voordat de beperking van de verwerking wordt opgeheven.

Recht van bezwaar

Op grond van de AVGB heeft de betrokkene het recht om bezwaar te maken tegen de verwerking van zijn of haar persoonsgegevens in de volgende drie situaties:

1. indien de verwerking is gebaseerd op de grondslag 'noodzakelijk in het algemeen belang' of 'noodzakelijk voor de gerechtvaardigde belangen van de verantwoordelijke';
2. indien de persoonsgegevens ten behoeve van directe marketing worden verwerkt; en
3. indien de persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of voor statische doeleinden worden verwerkt.

(i) De verwerking is gebaseerd op de grondslag 'noodzakelijk in het algemeen belang' of 'noodzakelijk voor de gerechtvaardigde belangen van de verantwoordelijke'

Indien de verwerking is gebaseerd op één van deze grondslagen is de verantwoordelijke verplicht de verwerking te staken indien de betrokkene bezwaar maakt, tenzij de verantwoordelijke dwingende gerechtvaardigde gronden aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene, of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

Dit is een verandering ten opzichte van de huidige situatie. Op grond van de Wbp moet de betrokkene namelijk aantonen dat sprake is van bijzondere persoonlijke omstandigheden. Onder de AVGB is dit niet langer vereist. Indien een betrokkene bezwaar maakt moet de verantwoordelijke aantonen waarom hij desondanks de verwerking van persoonsgegevens mag voortzetten.

(ii) Persoonsgegevens worden verwerkt ten behoeve van 'direct marketing'

Het recht om bezwaar te maken indien persoonsgegevens worden verwerkt voor direct marketing is absoluut. Indien een betrokkene bezwaar maakt, moet de verantwoordelijke de verwerking van diens persoonsgegevens voor direct marketing (waaronder profilering) staken.

Onder de AVGB moet de verantwoordelijke de betrokkene uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie informeren dat hij te allen tijde en kosteloos bezwaar kan maken tegen de verwerking voor direct marketing doeleinden. Deze informatie moet worden verstrekt uiterlijk op het eerste contactmoment.

(iii) Persoonsgegevens worden verwerkt met het oog op wetenschappelijk of historisch onderzoek of statische doeleinden

Indien persoonsgegevens worden verwerkt voor wetenschappelijk of historisch onderzoek of voor statische doeleinden heeft de betrokkene slechts het recht bezwaar te maken op grond van redenen die met zijn of haar specifieke situatie verband houden. Daarnaast geldt een uitzondering indien de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang.

Recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming

Onder de AVGB heeft de betrokkene het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking (waaronder profilering) gebaseerd besluit waaraan voor hem of haar rechtsgevolgen zijn verbonden of dat hem of haar anderszins in aanmerkelijke mate treft. Voorbeelden van dergelijke beslissingen zijn de automatische weigering van een online kredietaanvraag of de verwerking van een sollicitatie via internet zonder menselijke tussenkomst.

De concept memorie van toelichting bij het concept voor de Nederlandse implementatiewet bepaalt dat het is verboden om de betrokkene te onderwerpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. Het gebruik van geautomatiseerde besluitvorming is niet verboden, maar er dient sprake te zijn van een vorm van menselijke tussenkomst.

Automatische besluitvorming is toegestaan indien hiertoe is voorzien bij EU of lidstatelijk recht (onder meer ten behoeve van de controle en voorkoming van belastingfraude en -ontduiking), dit noodzakelijk is voor de sluiting of uitvoering van een overeenkomst met de betrokkene, en indien de betrokkene zijn of haar uitdrukkelijke toestemming heeft gegeven. De Nederlandse wetgever is voornemens om het gebruik van geautomatiseerde besluitvorming (anders dan profilering) toe te staan indien dit noodzakelijk is om aan een wettelijke plicht te voldoen of noodzakelijk is in het algemeen belang. Voorbeelden hiervan zijn geautomatiseerde besluiten omtrent overheidstoeslagen, zoals kinderbijslag en studiefinanciering.

Voor dergelijke verwerkingen moeten passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene omtrent het recht op menselijke tussenkomst, het recht om zijn standpunt kenbaar te maken, het recht om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en het recht om het besluit aan te vechten.

Geautomatiseerde besluitvorming gebaseerd op bijzondere categorieën van persoonsgegevens is verder beperkt en slechts toegestaan met expliciete toestemming van de betrokkene of indien de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang of op grond van EU of lidstatelijk recht.

Praktische aanbevelingen en conclusie

Organisaties doen er goed aan om hun privacy beleid en -voorwaarden te beoordelen en waar nodig aan te passen om ervoor te zorgen dat de betrokkene adequaat wordt geïnformeerd over zijn of haar recht op gegevenswissing, beperking en bezwaar. Daarnaast moeten organisaties bepalen of hun systemen in staat zijn om persoonsgegevens te markeren als 'beperkt' zolang klachten worden afgehandeld. Tot slot moeten organisaties nagaan of en in welke mate zij gebruik maken van geautomatiseerde besluitvorming en of één van de grondslagen van toepassing is. Indien geautomatiseerde besluitvorming plaatsvindt moeten de interne procedures worden geëvalueerd en waar nodig aangepast.

Klik hier om u aan te melden voor deze nieuwsbrief

Dentons is the world's first polycentric global law firm. A top 20 firm on the Acritas 2015 Global Elite Brand Index, the Firm is committed to challenging the status quo in delivering consistent and uncompromising quality and value in new and inventive ways. Driven to provide clients a competitive edge, and connected to the communities where its clients want to do business, Dentons knows that understanding local cultures is crucial to successfully completing a deal, resolving a dispute or solving a business challenge. Now the world's largest law firm, Dentons' global team builds agile, tailored solutions to meet the local, national and global needs of private and public clients of any size in more than 125 locations serving 50-plus countries. www.dentons.com.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.