Hoe geef je invulling aan de verschillende rechten van betrokkenen: het recht op beperking van de verwerking

September 5, 2017

Deze vijfde blogpost in de reeks over de rechten van betrokkenen gaat over het recht op beperking van de verwerking. Dit is een nieuw recht onder de privacyverordening en houdt in dat de betrokkene het recht heeft de verwerking van zijn persoonsgegevens (tijdelijk) te stoppen. Wanneer je als organisatie in de rol zit van verwerkingsverantwoordelijke (hierna verantwoordelijke) is het van belang dat je weet wat je moet doen als betrokkenen hun rechten uitoefenen. In deze post behandel ik de situaties waarin het recht op beperking van de verwerking mogelijk is en hoe je als organisatie, in de rol van verantwoordelijke, invulling kunt geven aan dit recht.

Vanaf het moment dat een betrokkene een verzoek tot stopzetten van zijn of haar persoonsgegevens heeft ingediend, mogen deze gegevens ook niet meer door de organisatie gewijzigd worden. De persoonsgegevens moeten wel bij de verantwoordelijke opgeslagen blijven.

Wanneer is het recht op beperking van de verwerking mogelijk?

Het recht op beperking van de verwerking is mogelijk indien een van de volgende elementen van toepassing is:

  • Wanneer de betrokkene de juistheid van de persoonsgegevens ter discussie stelt. Gedurende de periode waarin binnen de organisatie de juistheid van de persoonsgegevens wordt gecontroleerd, geldt er een beperking van de verwerking van de persoonsgegevens voor de verantwoordelijke (de organisatie);
  • Wanneer de betrokkene van mening is dat de verwerking onrechtmatig is, maar wanneer hij niet wil dat de persoonsgegevens gewist worden, kan hij een recht op beperking van de verwerking vragen. De persoonsgegevens blijven dan namelijk wel opgeslagen en voor de betrokkene toegankelijk om bijvoorbeeld op te kunnen vragen;
  • De organisatie heeft de persoonsgegevens niet langer nodig, maar de betrokkene heeft de gegevens nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Bijvoorbeeld, een organisatie is verplicht om de persoonsgegevens van een voormalig klant langer te bewaren, omdat de klant deze persoonsgegevens nodig heeft voor een juridische procedure waar hij bij betrokken is;
  • De betrokkene heeft bezwaar gemaakt tegen de verwerking van zijn of haar persoonsgegevens. In afwachting van de uitkomst van de afweging of de gronden van de organisatie zwaarder wegen dan die van de betrokkene moet de gegevensverwerking beperkt worden. In dit geval hoeft het recht op beperking van de verwerking niet apart te worden ingeroepen, want de verwerking wordt bij het inroepen van bezwaar automatisch beperkt.

Wanneer de betrokkene het recht op de beperking van de verwerking heeft verkregen is het voor de organisatie niet meer toegestaan de betreffende persoonsgegevens te verwerken. Afgezien van het opslaan van de gegevens, mag je als verantwoordelijke geen verrichtingen meer uitvoeren met de persoonsgegevens.

Wanneer de verantwoordelijke weer verwerkingen wil gaan uitvoeren met de persoonsgegevens is dit slechts mogelijk in een aantal situaties:

  • Wanneer de betrokkene (weer) toestemming geeft;
  • Voor de instelling, uitoefening of onderbouwing van een rechtsvordering door de verantwoordelijke (bijvoorbeeld een verzoek indienen bij een rechtbank);
  • Ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon;
  • Bij dringende redenen van algemeen belang voor de Unie of voor een lidstaat.

Hoe kun je als organisatie invulling geven aan het recht op beperking van de verwerking?

  1. Als organisatie dien je de betrokkene altijd, voorafgaand aan de verwerking van persoonsgegevens, te informeren over het recht op beperking van de verwerkingen.
  2. Wanneer het recht op beperking van de verwerking is ingeroepen door de betrokkene kun je als organisatie de persoonsgegevens tijdelijk naar een ander verwerkingssysteem overplaatsen (om ervoor te zorgen dat de persoonsgegevens niet verwerkt worden), de persoonsgegevens tijdelijk niet beschikbaar maken of de persoonsgegevens tijdelijk van de website afhalen.
  3. Bij geautomatiseerde bestanden moet er met technische middelen voor worden gezorgd dat de persoonsgegevens niet langer verwerkt of gewijzigd kunnen worden. De beperking van de gegevensverwerking moet duidelijk in het bestand zijn aangegeven.
  4. Daarnaast dien je ontvangers (derde partijen) van de persoonsgegevens van de betrokkene te informeren over de beperking van de verwerking, tenzij dit onmogelijk blijkt of veel inspanning eist.
Download