Op 25 mei 2018 is het zover. Dan zal de nieuwe Europese General Data Protection Regulation (GDPR) de huidige Richtlijn Gegevensbescherming vervangen. De nieuwe verordening moet een betere gegevensbescherming bieden aan betrokkenen en noodzaakt heel wat bedrijven die persoonsgegevens verwerken tot ingrijpende veranderingen. Vanaf 2018 zal het immers mogelijk zijn om aan bedrijven boetes op te leggen tot 20 miljoen euro of 4% van hun wereldwijde omzet in geval van strijdigheid met de GDPR. Maar ook voor individuen luidt de GDPR een nieuw tijdperk in. De verordening bevat een reeks nieuwe beschermingsmaatregelen die ervoor zorgen dat de burger nog nooit zo sterk in zijn schoenen stond wat betreft zijn persoonsgegevens. Toch heerst er nog veel onwetendheid en onverschilligheid omtrent het thema. Dit artikel somt de rechten van betrokkenen op die de GDPR voorschrijft.
EEN VERBETERD RECHT OP INFORMATIE EN TRANSPARANTIE
Onder de huidige Belgische Privacywet moet de betrokkene geïnformeerd worden over de identiteit van de verantwoordelijke voor de verwerking, de doeleinden van de verwerking, de categorieën van persoonsgegevens die verwerkt worden, de ontvangers van de gegevens en over het bestaan van het recht op toegang tot en verbetering van de persoonsgegevens. Onder de GDPR wordt dit recht uitgebreid en zal je ook geïnformeerd moeten worden over de duurtijd dat de gegevens opgeslagen zullen worden, het recht van de betrokkene om te allen tijde zijn toestemming om de gegevens te verwerken, in te trekken en het recht van de betrokkene om een klacht in te dienen bij de Privacy Commissie.
RECHT VAN INZAGE EN RECTIFICATIE
Momenteel bestaat het recht al voor de betrokkene om de verwerkingsverantwoordelijke te verzoeken inzage te krijgen in zijn persoonsgegevens. Echter onder de GDPR wordt het recht verder uitgediept en brengt het bijkomende verplichtingen met zich mee voor de verwerkingsverantwoordelijke.
Onder het recht van inzage moet je zekerheid krijgen van de verwerkingsverantwoordelijke over het al dan niet verwerken van jouw persoonsgegevens. De verwerkingsverantwoordelijke moet de toegang geven tot die persoonsgegevens en indien je dit vraagt, je een kopie van die gegevens bezorgen. Er moet ook informatie verstrekt worden over het doel van de verwerking, de categorieën van persoonsgegevens die verwerkt worden, de ontvangers van de gegevens (vooral indien deze zich in een derde land buiten de EER bevinden) en over het type verwerking, met name of deze geautomatiseerd is of niet.
Bovendien heb je het recht om zonder onnodig uitstel een rechtzetting te verkrijgen van onjuiste persoonsgegevens van de verwerkingsverantwoordelijke. Daarnaast kan je ook de vervollediging van onvolledige persoonsgegevens eisen.
RECHT OP GEGEVENSWISSING VAN GEGEVENS (RIGHT TO BE FORGOTTEN)
Het recht op vergetelheid (right to be forgotten) werd in 2014 erkend door het Europees Hof van Justitie in de zaak Google Spain v. AEPD en Mario
Costeja González. Het Hof sprak hier uit dat zoekmachines de links naar webpagina’s, die verschijnen als je zoekt op de naam van een individu, moeten verwijderen als individuen dit verzoeken, tenzij er een gerechtvaardigd belang is bij het publiek dat de toegang tot die gegevens toch rechtvaardigt.
Met de komst van de GDPR krijgt het recht een sterkere juridische basis en krijgt het werkelijke rechtskracht. Individuen zullen de verwijdering van hun persoonsgegevens kunnen verzoeken in de volgende gevallen: (1) als de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze verzameld werden; (2) als je je toestemming om de gegevens te verwerken, intrekt; (3) als je bezwaar maakt tegen de verwerking en er geen andere rechtsgrond is voor de verwerking; (4) als de verwerking onrechtmatig is; (5) als de gegevens verwijderd moeten worden om te kunnen voldoen aan een wettelijke verplichting; of (6) als het persoonsgegevens van een kind betreft en deze gegevens verkregen zijn bij een informatiemaatschappij.
Bovendien is de verwerkingsverantwoordelijk die de gegevens openbaar maakt, ertoe gehouden de nodige stappen te ondernemen om andere verwerkingsverantwoordelijken die de gegevens verwerken, ervan op de hoogte te brengen dat je hem verzocht hebt de gegevens de verwijderen, alsook iedere koppeling ernaar of kopie of reproductie ervan.
RECHT OP BEPERKING VAN DE GEGEVENS
Naast het recht op verwijdering van je persoonsgegevens, kan je ook vragen om een beperking van de verwerking ervan. Deze beperking is mogelijk als je gegevens niet accuraat zijn of onrechtmatig verwerkt worden. De verwerking kan ook beperkt worden gedurende de periode dat je het antwoord afwacht op een bezwaar dat je gemaakt hebt tegen een bepaalde verwerking. Als de verwerking beperkt wordt, kan de verwerkingsverantwoordelijke de gegevens in principe enkel nog opslaan.
RECHT OP OVERDRAAGBAARHEID VAN DE GEGEVENS
Als je persoonsgegevens via geautomatiseerde procedures en op basis van jouw toestemming verwerkt worden, heb je het recht om deze gegevens in een leesbare vorm te krijgen en deze aan een andere verwerkingsverantwoordelijke over te dragen. De initiële verwerkingsverantwoordelijke mag je hierbij niet hinderen. Het recht op overdraagbaarheid is nieuw onder de GDPR en moet individuen de mogelijkheid bieden om te kiezen uit een ruimer aanbod aan onlinediensten in tijden waarin “Big Data” een steeds grotere rol spelen. Recent kwam er iets meer duidelijkheid rond dit recht naar aanleiding van de die werd gepubliceerd door de Working Party 29.
RECHT VAN BEZWAAR EN GEAUTOMATISEERDE INDIVIDUELE BESLUITVORMING, WAARONDER PROFILERING
Onder de GDPR zal het recht van bezwaar sterk uitgebreid worden. Momenteel kan je enkel bezwaar maken tegen een verwerking van je persoonsgegevens als je een legitieme reden kan aantonen. De GDPR draait dit om en maakt het mogelijk om bezwaar te maken telkens de verwerking gebaseerd is op een noodzaak van algemeen belang of op een belang van de verwerkingsverantwoordelijke, tenzij deze laatste legitieme redenen kan aanhalen. De GDPR behoudt ook het reeds bestaande recht om je te allen tijde te verzetten tegen verwerkingen voor doeleinden van directe marketing. Tenslotte heb je het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit, waaronder profilering, waaraan voor jou rechtsgevolgen zijn verbonden of dat je op een andere manier treft.
Uit het bovenstaande kan geconstateerd worden dat de GDPR op verschillende vlakken een versterking van je rechten met betrekking tot persoonsgegevens met zich mee brengt. Enerzijds zullen bestaande rechten verder worden uitgediept en aangevuld. Anderzijds komen er ook nieuwe rechten bij. Er zal voor individuen meer transparantie en duidelijkheid komen over wat er allemaal met hun persoonsgegevens gebeurt en waar deze allemaal terecht kunnen komen. Bovendien zal je je sneller kunnen verzetten tegen bepaalde verwerkingen en kan je vlotter je persoonsgegevens overdragen naar een andere verwerkingsverantwoordelijke. Kortom je zal je beter kunnen wapenen tegen eventueel misbruik van jouw persoonsgegevens.
Deze analyse is geschreven door Laura Schraa, Associate consultant en junior DPO bij Cranium.
