Schending rechten van betrokkenen zwaar beboet in Nederland en België
Onder de AVG zijn de rechten van betrokkenen erg belangrijk. Deze belangrijkheid vertaalt zich onder andere in de hogere categorie boete voor overtreding van deze rechten van betrokkenen.
Europese privacy-toezichthouders treden dan ook streng op tegen schending van deze rechten van betrokkenen door bedrijven. Recentelijk zijn twee bedrijven voor overtreding van de rechten van betrokkenen beboet, namelijk de Stichting Bureau Krediet Registratie (BKR) in Nederland en techreus Google in België.
In dit artikel wordt ingegaan op de schendingen van deze bedrijven en worden ook tips aangedragen om te voorkomen dat bedrijven voor schending van de rechten van betrokkenen in het vizier van de toezichthouder komen.
BKR schending recht op inzage: € 830.000 boete
Bij het BKR konden betrokkenen hun persoonsgegevens inzien op slechts twee manieren, te weten: online tegen een kleine vergoeding of door één keer per jaar gebruik te maken van de optie om een formulier in te invullen en dit kosteloos per post versturen. Het BKR hanteerde deze routes van 25 mei 2018 tot 28 april 2019.
Volgens de AP zijn de door het BKR aangehouden routes in strijd met de AVG, die bepaalt dat een bedrijf die persoonsgegevens verwerkt kosteloos inzage moet worden geboden in deze gegevens.
Bovendien belemmerde het BKR dit inzagerecht verder door kosteloze inzage voor slechts één keer per jaar aan te bieden. Hierdoor worden betrokkenen ontmoedigd om het recht van inzage uit te oefenen en voldoet het BKR niet aan artikel 15 AVG. In de AVG is er weliswaar ruimte geboden aan bedrijven om verzoeken te weigeren bijvoorbeeld wanneer deze verzoeken te vaak worden ingediend of wanneer deze ongegrond blijken te zijn, maar voor deze weigering is op dat moment een individuele beoordeling nodig.
Concreet betekent dit dat een bedrijf een verzoek van een betrokkene niet vooraf in zijn algemeenheid kan weigeren door een limiet vast te stellen aan de frequentie van de verzoeken. Door slechts eenmaal per jaar het recht van inzage kosteloos toe te staan heeft het BKR, volgens de AP, het recht van inzage niet conform de AVG uitgevoerd.
Gelet op de overtredingen van het BKR heeft de AP besloten een boete van € 830.000 op te leggen. Het BKR heeft beroep aangetekend en deze kwestie wordt dan ook vervolgd in het najaar of in 2021.
Google België: schending recht op vergetelheid: € 600.000 boete
Wat speelde er in deze zaak? Een burger verzocht Google België om zoekresultaten, welke gekoppeld waren aan zijn naam te verwijderen uit hun zoekmachine. Hij had twee redenen daarvoor:
- Een deel van de zoekresultaten toonde aan dat hij mogelijke banden met politieke partijen had. Dit wordt door de burger betwist.
- Een ander deel van de zoekresultaten had betrekking op een pesterijklacht tegen de burger. Deze klacht is enkele jaren geleden al ongegrond verklaard.
Google België reageerde negatief op zijn verzoek en haalde geen van de zoekresultaten eruit.
De Belgische Gegevensbeschermingsautoriteit (de GBA) beoordeelde de klacht over Google België als volgt:
Ad 1. Met betrekking tot de zoekresultaten over de mogelijke banden met een politieke partij oordeelde de GBA dat deze – gelet op de rol van de burger in het openbare leven – noodzakelijk waren in het algemeen belang. Op dit deel van het verzoek heeft Google België correct gehandeld.
Ad. 2. Ten aanzien van de tweede klacht met betrekking tot de zoekresultaten over de pesterijklacht stelt de GBA zich op het standpunt dat Google België ernstig tekort is geschoten door dit deel van het verzoek te weigeren. De belangen van de burger prevaleren met name nu de verwijten niet konden worden vastgesteld, verouderd zijn en ernstige gevolgen voor de burger kunnen hebben. De GBA rekent het Google België erg aan, nu gebleken is dat Google België al over bewijzen beschikte waaruit blijkt dat de feiten irrelevant en verouderd waren.
Wat betreft de pagina’s over een klacht gericht tegen de klager, is de GBA van mening dat het verzoek om uit de zoekresultaten verwijderd te worden gegrond is en dat Google ernstig tekort schoot door dit te weigeren. Aangezien de verwijten gericht tegen de klager niet werden vastgesteld, oud zijn en waarschijnlijk ernstige gevolgen hebben voor de klager, moeten de rechten en belangen van de betrokkene prevaleren. Volgens de Geschillenkamer was Google bijzonder nalatig, aangezien het bedrijf over bewijzen beschikte dat de feiten irrelevant en verouderd waren.
De GBA legt voor de ernstige schending van het recht op de vergetelheid Google België een boete op van € 600.000. Google België gaat in beroep tegen de boete.
Advies
Uit deze zaken blijkt dat het belangrijk is om de rechten van betrokkenen op een juiste manier te implementeren. Waar dient u dan concreet rekening mee te houden?
Recht op inzage
Wanneer een betrokkene gebruik maakt van dit recht, dan dient u concreet een gecategoriseerd overzicht geven van de betreffende gegevens, inclusief voor welke doelen deze worden gebruikt, de ontvangers, de bewaartermijn en de bron daarvan. De betrokkene heeft in beginsel recht op een kosteloze inzage. Pas in bijzondere omstandigheden kunnen er kosten voor het recht van inzage worden gevraagd.
Recht op dataportabiliteit
Wanneer een betrokkene zich beroept op dit recht, zult u deze gegevens in een digitaal leesbaar standaardformaat dienen aan te leveren aan de betrokkene. Doel van dit recht is om mensen in de gelegenheid te stellen hun gegevens elders te hergebruiken of te publiceren. U dient zich ervan bewust te zijn dat een betrokkene zijn gegevens direct moet kunnen downloaden.
Recht op vergetelheid
Het recht op vergetelheid is in artikel 17 van de AVG opgenomen. In deze bepaling staat wanneer persoonsgegevens verwijderd dienen te worden, maar ook welke uitzonderingen op dit recht gelden. Zo hoeft een organisatie dit recht niet te honoreren wanneer een wettelijke plicht bestaat om deze gegevens te bewaren. Ook wanneer het recht op vrijheid van meningsuiting en informatie in het geding komt.
U dient gegevens te wissen wanneer de betrokkene zich terecht beroept op dit recht.
Het enkel afschermen van deze gegevens middels een wachtwoord mag in dat geval niet. Daarnaast moet u kunnen aantonen dat u gegevens op een veilige manier heeft gewist. In het geval dat u de persoonsgegevens aan een ander heeft verstrekt, zult u ervoor moeten zorgen dat de ander verzoekt om deze gegevens te wissen. Ook dient in uw verwerkingenregister op te nemen hoe lang u de persoonsgegevens bewaart en de reden hierachter.
Tot slot moet u zich ervan bewust zijn dat betrokkenen hun rechten op verschillende wijzen mogen uitoefenen. U mag deze rechten niet belemmeren door bijvoorbeeld te eisen dat zij eerst op kantoor langs moeten komen met een identiteitsbewijs. Verzoeken moeten bovendien binnen een maand behandeld worden. Indien een maand onhaalbaar lijkt, dan zult u gemotiveerd moeten uitleggen waarom het langer duurt. In zo’n geval wordt de behandelingstermijn met maximaal een maand verlengd.
De AVG verplicht bedrijven om betrokkenen te informeren over hun rechten van betrokkenen. Veelal worden deze rechten opgenomen in de privacyverklaring op uw website.
Wilt u weten of u aan de AVG wetgeving voldoet, neem dan contact op voor een AVG-check op service@deraadgevers.nl of via 06 – 222 648 23.
Utrecht, 27 juli 2020
Mr. drs. Shyreen Sheoraj Panday
Senior jurist AVG & externe Functionaris Gegevensbescherming