Menu

De rechten van betrokkenen - Overzicht rechtspraak AVG 2018 - nu

Sinds haar oprichting in 2018 heeft de Belgische Gegevensbeschermingsautoriteit (hierna GBA) zich ontpopt tot een actieve toezichthouder op gebied van privacy en gegevensbescherming. Door de uitzonderlijke laagdrempeligheid van de klachtenprocedure vond de burger eenvoudig de weg naar de GBA en velde de Geschillenkamer (hierna GK) een groot aantal beslissingen. Aangezien de GBA de rechten van betrokkenen als een hoeksteen van de AVG beschouwt en wil optreden in alle gevallen waarin aan burgers de mogelijkheid wordt ontnomen om die rechten uit te oefenen, is het weinig verbazend dat de GK zich al meermaals over die rechten heeft uitgesproken en de verwerkingsverantwoordelijke(n) (hierna VV) op de vingers heeft getikt. Deze bijdrage bevat een overzicht van de belangrijkste rechtspraak in de eerste vier jaren van toepasselijkheid van de AVG, waarin wordt nagegaan in welke mate de GK en het Marktenhof (hierna MH) een invloed hebben op de interpretatie van de rechten van betrokkenen.

07-09-2022 -

1. Uitoefening van de rechten van betrokkenen (Art. 12 AVG)

Het is de taak van de VV om de uitoefening van de rechten van betrokkenen te faciliteren.

De VV zal zich daarom duidelijk en juist moeten identificeren en het de betrokkenen mogelijk maken de VV rechtstreeks te contacteren. De betrokkenen mogen echter niet worden bekritiseerd omdat zij een ander communicatiekanaal gebruiken om hun verzoeken te behandelen. Er kunnen geen nadelige gevolgen voor de betrokkene voortvloeien uit het feit dat hij – zelfs als hij correct was geïnformeerd – geen gebruik zou hebben gemaakt van het juiste formulier of op een andere manier contact zou hebben opgenomen met de VV, bijvoorbeeld via een onjuist e-mailadres.

De VV dient zich bijgevolg intern te organiseren zodat verzoeken van betrokkenen tijdig worden geïdentificeerd en beantwoord, zelfs al zijn ze niet rechtstreeks aan de functionaris voor gegevensbescherming of de privacydienst gericht. Door een loutere doorverwijzing van de betrokkene naar een andere interne dienst, bijvoorbeeld een contactcenter, laat de VV na om de uitoefening van de rechten van betrokkenen te faciliteren.

De vaststelling van interne en gestandaardiseerde procedures voor de uitoefening van de rechten van de betrokkene op het gebied van gegevensbescherming wordt gezien als van essentieel belang en het wordt waarschijnlijk geacht dat dat zal bijdragen tot de effectieve toepassing van die rechten. Echter dient de entiteit of organisatie die wordt gecontacteerd enkel gevolg te geven aan het verzoek indien die laatste inderdaad optreedt als VV.

De rechten van betrokkenen moeten op een behoorlijke manier worden gefaciliteerd, met name via gepaste communicatiekanalen. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene uitdrukkelijk anderszins verzoekt. Het systematisch vereisen van het maken van een afspraak voor de uitoefening van rechten van betrokkenen, is buitensporig, al kan niet worden uitgesloten dat voor het antwoord op de uitoefening van rechten soms een gesprek met de betrokkene nodig is.

Volgens de GK moet het even eenvoudig zijn om een bezwaar uit te drukken als om gegevens aan de VV te verstrekken of de VV in het kader van zijn producten en diensten te contacteren. Voor de uitoefening van het recht van bezwaar moet het ter beschikking gestelde communicatiemedium evenredig zijn aan het middel waarmee de VV met de betrokkene communiceert: als de VV de verplichte informatie op grond van de artikelen 13 en 14 via zijn website meedeelt en/of als de betrokkene van de verwerkingsverantwoordelijke digitale marketingberichten krijgt, dan moet het recht van bezwaar ook via online middelen kunnen worden geuit. Wanneer bijvoorbeeld een betrokkene zich voor elke verschillende vorm van direct marketing (e-mail, sms, telefoonoproepen, enz.) op een verschillende manier dient te verzetten, dan faciliteert de VV de uitoefening van dat recht niet voldoende.

De VV moet echter in staat zijn om de verzoekende betrokkene te identificeren. De VV heeft ingeval van twijfel het recht om aanvullende strikt noodzakelijke informatie te vragen, maar systematisch een kopie van de identiteitskaart opvragen is disproportioneel. Daarbij dient opgemerkt te worden dat een elektronische identiteitskaart in principe enkel gebruikt mag worden met de vrije, specifieke en geïnformeerde toestemming van de houder ervan. De betrokkene kan bij het overmaken van een kopie van zijn identiteitskaart de niet noodzakelijke informatie onzichtbaar maken. Bovendien gelden bijzondere regels voor de verwerking van rijksregisternummers die een zeer terughoudend gebruik voorschrijven.

Vervolgens zal de VV gevolg moeten geven aan het verzoek. De GK is daarbij bijzonder vergevingsgezind naar de betrokkene toe. Het onvolledig karakter van het verzoek, het feit dat het verzoek gebaseerd op een onjuiste bepaling van de AVG, of het gebruik van een verkeerd begrip of verkeerde interpretatie van het ingeroepen recht is geen voorwendsel om geen nuttig gevolg te geven aan die uitoefening van rechten. De VV dient dan ook proactief de wil van de betrokkene te interpreteren. In ieder geval zal de VV daadwerkelijk gevolg moeten geven aan het verzoek. Een e-mail waarin gemeld wordt dat het dossier opgevolgd zal worden is geen afdoende antwoord op de uitoefening van een recht. Het herhaaldelijk geen gevolg geven aan een verzoek van een betrokkene kan als een verzwarende omstandigheid worden beschouwd.

De VV dient binnen de maand na het eerste verzoek gevolg te geven aan het verzoek. Daaraan wordt niet voldaan wanneer men binnen de termijn van één maand een ontmoeting met de betrokkene organiseert. Die termijn geldt echter niet voor het antwoorden op reacties van een betrokkene op een weigeringsbeslissing. Het niet-respecteren van de termijn van één maand kan echter niet leiden tot een rechtsgeldige sanctie, aangezien die regel niet bij een wettelijke regel gesanctioneerd wordt, aldus het MH. Die zienswijze wordt evenwel niet bevestigd door de GK, die wel al administratieve geldboetes heeft opgelegd wegens niet naleving van artikel 12.3 AVG.

Afhankelijk van de complexiteit van het verzoek en van het aantal verzoeken, kan de termijn om te voldoen aan het verzoek met twee maanden worden verlengd, waarbij de betrokkene binnen één maand moet worden ingelicht over de verlenging. Voor zover er geen redelijke verantwoording bestaat voor de verlenging van de termijn, dient de termijn van één maand te worden aanzien als een eindtermijn. Het feit dat de betrokkene een tweede verzoek tot uitoefening van een recht richt aan de VV, stuit of schort de termijn van één maand na het eerste verzoek van de betrokkene niet. De termijn van één maand wordt evenmin uitgesteld of verlengd wanneer de VV de betrokkene bevraagt over het precieze recht dat die wenst uit te oefenen.

Het inwilligen van een verzoek van de betrokkene is geheel kosteloos. Slechts indien het verzoek kennelijk ongegrond of buitensporig is, met name vanwege het repetitieve karakter, mag de VV een redelijke vergoeding aanrekenen om de administratieve kosten te dekken of zelfs weigeren gevolg te geven aan het verzoek. De bewijslast van het kennelijk ongegronde of buitensporige karakter rust op de schouders van de VV. Indien de VV weigert om het verzoek in te willigen, informeert de VV de betrokkene over de mogelijkheid om klacht in te dienen bij de GBA of om een gerechtelijke procedure aanhangig te maken. De VV informeert de betrokkene daarbij over de reden waarom het verzoek zonder gevolg is gebleven, zoals wanneer de gegevens van de betrokkene niet zijn opgenomen in het gegevensbestand van de VV. Indien de betrokkene reeds bij het instellen van een verzoek dreigt met een klacht bij de toezichthoudende autoriteiten, kan de VV ervan uitgaan dat de betrokkene reeds geïnformeerd is over dat recht.

2. Recht op informatie (Artikelen 13 en 14 AVG)

De AVG voorziet dat de VV de betrokkene dient te informeren over de verwerking van zijn persoonsgegevens. Dat geldt indien de persoonsgegevens rechtstreeks van de betrokkene, dan wel onrechtstreeks via een derde worden ontvangen.

De betrokkene ontvangt die informatie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. Die informatie stelt de betrokkene in staat om van tevoren de reikwijdte en de gevolgen van de verwerking te beoordelen. Dat is niet het geval indien de informatie termen bevat die zonder nadere toelichting onduidelijk zijn. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dat passend is, elektronische middelen, verstrekt. De informatie kan eveneens mondeling worden meegedeeld, maar slechts indien dat door de betrokkene wordt verzocht. Dat met name wanneer de gegevens rechtstreeks fysiek door de betrokkene verstrekt worden. Een meer onmiddellijke mondelinge verstrekking van informatie of via een visuele affichage bij het binnengaan van een winkel bijvoorbeeld is dan meer geschikt. Ten slotte kan de VV de betrokkene informeren via goed zichtbare, gestandaardiseerde iconen.

De informatieverplichting aan de betrokkene ontstaat op het ogenblik dat de VV de gegevens ontvangt, ongeacht of de betrokkene zich bewust is van het verstrekken van zijn gegevens. Minstens dient het eerste bericht dat wordt verzonden aan de betrokkene een link naar de privacyverklaring te bevatten waarin op een toegankelijke wijze en op een beknopte en duidelijke manier de nodige informatie is opgenomen. Het is echter belangrijk dat de betrokkene kan oordelen of hij zijn gegevens wenst te verstrekken. In die zin kan het niet dat de privacyverklaring enkel geraadpleegd kan worden in een afgesloten klantenportaal dat niet toegankelijk is voor toekomstige klanten. Bovendien dient de privacyverklaring makkelijk terug te vinden te zijn. Het kan bijvoorbeeld niet dat een betrokkene veertien maal moet doorklikken alvorens het privacybeleid te vinden.

Wanneer de gegevens niet rechtstreeks van de betrokkene werden verkregen, zoals via publiek toegankelijke bronnen zoals openbare publicaties op sociale netwerksites, dan dient de VV die informatie mee te delen aan de betrokkene binnen een redelijke termijn en maximum één maand nadat de VV die gegevens ontving, tenzij het verstrekken van die informatie onmogelijk zou zijn of onevenredig veel inspanning zou vragen of indien wetgeving of een beroepsgeheim het verstrekken van informatie verhinderen.

Indien de betrokkene reeds over de informatie beschikt, dan is het niet nodig dat de VV de betrokkene nogmaals informeert. Echter is het niet voldoende dat die informatie aan het algemene publiek werd meegedeeld door middel van een persbericht of een publicatie in het Belgisch Staatsblad, aangezien de informatie eveneens op een makkelijk toegankelijke, centrale en geconsolideerde manier beschikbaar moet zijn en de betrokkene effectief over die informatie moet beschikken.

De VV dient minstens de volgende zaken aan de betrokkene mee te delen:

  • de identiteit en de contactgegevens van de VV. In dit kader kan het niet dat betrokkenen de indruk krijgen dat de VV een vzw of een overheidsinitiatief uitmaakt wanneer dat niet het geval is;
  • in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming (de DPO). De privacyverklaring mag niet vermelden dat de betrokkene eerst de VV dient te contacteren en diens antwoord dient af te wachten vooraleer een verzoek aan de DPO te mogen richten. Indien de VV beroep doet op een externe DPO, is het een best practice om aan te geven wat de relatie is van de DPO tot de VV;
  • de verwerkingsdoeleinden en de rechtsgrond voor de verwerking. Daarvoor is het nodig om een duidelijk onderscheid te maken tussen de verwerking van bijzondere categorieën van persoonsgegevens en ‘gewone’ persoonsgegevens. Indien de VV de gegevens van de betrokkene verwerkt op basis van zijn gerechtvaardigd belang, dan dient de VV die specifieke belangen op een heldere en duidelijke manier te specifiëren voor elke verwerkingsactiviteit. Indien de VV de gegevens verwerkt op basis van de rechtsgrond algemeen belang of een wettelijke verplichting, dan dient de VV eveneens te specifiëren welke belang of verplichting dat precies is door de specifieke wet en het wetsartikel te identificeren. De doeleinden mogen niet te generiek verwoord zijn, in het bijzonder wanneer die op de toestemming van de betrokkene rusten. Wenst de VV de gegevens van de betrokkene verder te verwerken voor andere doeleinden, dan dient de VV de betrokkene daarvan op de hoogte te brengen voordat die nieuwe verwerking plaatsvindt. Zo is een werkgever die na afloop van de arbeidsovereenkomst met de werknemer besluit om een e-mailadres en de verbonden mailbox van die werknemer te behouden op grond van het gerechtvaardigd belang, verplicht die werknemer daarover te informeren bij de beëindiging van de arbeidsovereenkomst;
  • de eventuele ontvangers of categorieën van ontvangers van de gegevens. De VV kan niet weigeren die informatie mee te delen aan de betrokkenen omdat dat een inbreuk zou vormen op haar bedrijfsgeheimen. Indien de lijst van ontvangers niet volledig is, wordt de betrokkene niet voldoende geïnformeerd over de doorgifte van zijn gegevens;
  • het eventuele voornemen tot doorgifte aan een derde land of een internationale organisatie. Het louter vermelden dat gegevens buiten de EU terecht kunnen komen is niet voldoende;
  • de bewaartermijn of de criteria ter bepaling van die termijn. Wat de bewaartermijn betreft moet de betrokkene in staat zijn om te beoordelen wat de bewaartermijnen voor gegevens zijn, afhankelijk van de situatie waarin die zich bevindt. Het meedelen dat gegevens voor een bepaalde periode worden bewaard “tenzij de bewaring belangrijk wordt geacht voor de verdediging van de legitieme belangen (…)”, is onvoldoende aangezien de VV ingeval van een geschil niet alle gegevens langer kan bewaren zonder het beginsel van minimale gegevensverwerking voorzien in artikel 5 (1) (c) AVG te schenden. Het louter meedelen dat gegevens worden bewaard zolang als nodig om de dienstverlening aan te kunnen bieden of zolang als de VV daarbij belang heeft, is evenmin voldoende. Verder kan de VV niet vermelden dat de voorziene bewaringstermijn verlengd kan worden indien de persoonsgegevens voor een andere finaliteit verwerkt kunnen worden;
  • een oplijsting van de rechten van betrokkenen;
  • de mogelijkheid om de toestemming in te trekken, zonder dat dat afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan. Het geven van foutieve informatie over de toestemmingsvereiste maakt namelijk een schending van de AVG uit;
  • het recht om klacht in te dienen bij een toezichthoudende autoriteit. De privacyverklaring van de VV mag niet vermelden dat de betrokkene een klacht mag indienen enkel bij de Belgische Gegevensbeschermingsautoriteit of enkel bij de Vlaamse Toezichtcommissie, aangezien een betrokkene ook klacht kan indienen bij alle andere Europese toezichthouders;
  • of de verstrekking van gegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de gegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer die gegevens niet worden verstrekt;
  • indien de gegevens niet rechtstreeks door de betrokkene aan de VV worden verstrekt, de bron waar de gegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen; en
  • het bestaan van geautomatiseerde besluitvorming en ten minste nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

Artikelen 13 en 14 vereisen niet dat de VV vermeldt op welke technische manier de persoonsgegevens verzameld worden (bijvoorbeeld door het gebruik van thermische camera’s), maar het loyauteitsprincipe vervat in artikel 5 (1) (a) AVG vereist dat betrokkenen weten hoe en wanneer hun persoonsgegevens worden verwerkt.

De informatie die wordt verstrekt moet voldoende nauwkeurig zijn. Zo is het niet geoorloofd dat men simpelweg spreekt van “andere doeleinden”, “andere gegevens”, “overheidsinstanties” of “andere ontvangers”. In dat geval moet de VV minstens een aantal voorbeelden meegeven. Ook mag een privacyverklaring geen beletseltekens of drie puntjes bevatten, aangezien dat onnauwkeurig en onvolledig is. Daaruit volgt dat het gebruik van “etc.”, “enz.” en andere woorden die wijzen op een niet-volledige opsomming best vermeden worden.

Bijzondere aandacht moet worden besteed aan het informeren van minderjarigen. Een kind jonger dan 13 jaar verliest zijn recht op transparantie immers niet in een situatie waarop artikel 8 AVG van toepassing is. De VV heeft verplichting om, in overeenstemming met de in artikel 12 (1) AVG vermelde (en door de overwegingen 38 en 58 ondersteunde) transparantiemaatregelen die specifiek bestemd zijn voor kinderen, ervoor te zorgen dat wanneer hij zich specifiek tot kinderen richt, alle informatieverstrekking en communicatie geschiedt in eenvoudige en begrijpelijke taal of met behulp van een medium dat kinderen gemakkelijk kunnen begrijpen. Bovendien kan van een leerling jonger dan 13 jaar niet worden verwacht dat hij bij een verzoek tot deelname aan een enquête zelf het verband legt met de privacyverklaring en het schoolreglement.

De VV dient verder te vermelden in de privacyverklaring welke wijzigingen die onderging, wanneer die plaatsvonden en hoe de betrokkene op de hoogte zal worden gebracht van dergelijke wijzigingen. Zogenaamde ‘version control’ van de privacyverklaring en het documenteren ervan is dus essentieel. Het is enerzijds onvoldoende dat de privacyverklaring louter vermeldt dat wijzigingen mogelijk zijn, maar anderzijds dient niet elke wijziging van de privacyverklaring rechtstreeks aan de betrokkenen te worden meegedeeld via e-mail. Een oplossing kan zijn dat een overzicht van de wijzigingen duidelijk op de website van de VV gecommuniceerd wordt.

Wil je de volledige bijdrage van Lydian lezen? Abonneer je dan op het Tijdschrift Privacy & Persoonsgegevens. Meer info daarover vind je hier. Je kunt het herfstnummer ook apart bestellen, mail dan even naar anje.vanbiesen@politeia.be.

Ook interessant

Recht

Privacy en gegevensbescherming van de werknemer in de private en publieke sector (P&P)

Koen Naert

Bestel

Recht

Privacy en Gedragsverandering (P&P)

Kurt Penninck

Bestel

Recht

Privacy & Persoonsgegevens: Handleiding voor een goed cookiebeleid

Bart Van den Brande
Matthias Vandamme

Bestel

Recht

Privacy & Persoonsgegevens: Cahier: GDPR in vraag & antwoord

Tom De Schepper
Miet Remans
Ward Van Hal

Bestel

Recht

Tijdschrift Privacy & Persoonsgegevens

Frederic Debusseré
Vincent Dooms
Isabel Plets
Frankie Schram
Brendan Van Alsenoy
Laura De Boel
Griet Verhenneman

Bestel

Recht

Big Data Rapport

Cliff Beeckman
Frank De Smet
Dieter Verhaeghe

Bestel