Hoe geef je invulling aan de verschillende rechten van betrokkenen: dataportabiliteit en het recht op vergetelheid
In deze blogpost staan wederom rechten van betrokkenen centraal. Ik bespreek dit keer het recht op overdraagbaarheid van gegevens, oftewel dataportabiliteit, en het recht op vergetelheid, beter bekend als ‘the right to be forgotten’. Deze twee rechten zijn los van elkaar in te roepen, maar zijn ook goed samen in te roepen door de betrokkene. Daarnaast is het recht op vergetelheid al wel bekend maar het recht op dataportabiliteit is nieuw. Wat moet je als organisatie weten over deze twee rechten?
Wat is het recht op dataportabiliteit?
Het recht op dataportabiliteit is nauw verwant aan het recht op inzage. Kort gezegd houdt het recht op dataportabiliteit in dat de betrokkene de persoonsgegevens die op hem betrekking hebben bij de verantwoordelijke kan ‘opvragen en meenemen’. Op deze manier heeft een betrokkenen nog meer zeggenschap over zijn of haar persoonsgegevens. Organisaties moeten de persoonsgegevens op verzoek verstrekken in een gestructureerde, gangbare, machineleesbaar en interoperabel formaat zodat de betrokkene het geheel kan verstrekken aan een andere organisatie.
Waar moet je als organisatie rekening mee houden bij dataportabiliteit?
- Toestemming of uitvoering van een overeenkomst
De betrokkene kan dit recht inroepen op twee momenten:
- Wanneer toestemming van de betrokkene de grondslag van de verwerking van de persoonsgegevens is
- Wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene een van de partijen is.
Dit wordt door de ‘Article 29 Working Party’ wat duidelijker uitgelegd. Het moet in deze gevallen gaan om persoonsgegevens die door de betrokkene zelf zijn verstrekt. Het gaat dan om gegevens die ‘actief en wetend’ zijn verstrekt, zoals een e-mailadres, en ook de gegevens die de organisatie verzamelt doordat de gebruiker de diensten van de organisatie gebruikt. Hierbij kun je denken aan gegevens die verzameld worden door bijvoorbeeld het gebruik van een slimme thermosstaat. Uitgesloten zijn gegevens die de organisatie zelf afleidt van de uit de persoonsgegevens die de betrokkene verstrekt bijvoorbeeld om risicoanalyses te doen en persoonsgegevens die worden verwerkt op basis van een andere wettelijke grondslag zoals gerechtvaardigd belang.
- Informeren
Als organisatie moet je de betrokkene informeren over het bestaan van het recht op dataportabiliteit. Dit dient al te gebeuren op het moment dat de persoonsgegevens verzameld worden.
- Interoperabel formaat
Dit betekent voor jouw organisatie dat de systemen zo ingericht moeten zijn dat ze interoperabel werken, maar dit betekent niet dat de systemen technisch verenigbaar moeten zijn.
- De ontvangende organisatie
Je kan als organisatie ook de partij zijn die de gegevens ontvangt van een betrokkene, met het verzoek dit te verwerken. Ook dan moet je aan twee punten denken:
- Zijn de gegevens wel relevant en noodzakelijk voor de dienst die je als organisatie verleent?
- Als ontvangende organisatie ben je niet verplicht om de gegevens die verstrekt worden te accepteren en te verwerken
Wanneer een betrokkene het recht op overdraagbaarheid van de gegevens heeft ingeroepen, kan deze vervolgens ook het recht op vergetelheid inroepen.
Wat is het recht op vergetelheid?
Zelf vind ik vergetelheid nogal een ongelukkig gekozen term maar er wordt ook wel van recht op gegevenswissing gesproken. Als de betrokkene een verzoek tot gegevenswissing indient bij jouw organisatie zal je de persoonsgegevens die je van de betrokkene verwerkt moeten wissen.
Dit kan voorkomen als:
- de gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor ze zijn verzameld;
- de betrokkene zijn of haar toestemming intrekt voor de verwerking van de persoonsgegevens en er geen andere grondslag is;
- de persoonsgegevens onrechtmatig verwerkt worden.
Wanneer je de persoonsgegevens van de betrokkene openbaar hebt gemaakt moet je de andere partijen die deze persoonsgegevens ook verwerken informeren over het verzoek tot gegevenswissing van de betrokkene. Hierbij moet je als organisatie met inachtneming van de beschikbare technologie redelijke maatregelen nemen.
Het bovenstaande samenvattend, het kan dus zo zijn dat een betrokkene bij jouw organisatie een verzoek indient tot dataportabiliteit. De verwerking van zijn of haar persoonsgegevens geschiedt met toestemming als wettelijke grondslag. Het is in dat geval een rechtmatig verzoek. De betrokkene trekt vervolgens zijn toestemming voor de verwerking in en roept ook het recht op gegevenswissing in. De organisatie heeft geen andere rechtsgrond om de gegevens te kunnen verwerken en dus moet je ook voldoen aan het verzoek tot gegevenswissing.
Om aan dergelijke verzoeken te kunnen voldoen is het voor organisaties dus van groot belang dat ze precies kunnen nagaan welke persoonsgegevens er worden verwerkt en op welke plek ze wordt opgeslagen. Wederom toont dit het belang van een goede data inventarisatie aan.