Wanneer u als onderneming van een betrokkene een verzoek tot inzage krijgt, kan u daar best heel zorgvuldig mee omgaan. Het recht op inzage is één van de basisrechten van GDPR. Mr. Liesbet Demasure, advocaat, certified DPO en Data Protection Lead Auditor, geeft meer duiding.
Wat houdt het recht op inzage precies in?
Het recht op inzage houdt in dat een betrokkene (een klant, een werknemer van een leverancier, etc.) het recht heeft om een onderneming op ieder moment te vragen om de persoonsgegevens die van hem of haar worden bijgehouden, in te kijken. De betrokkene is zelfs gerechtigd om kosteloos een kopie op te vragen van zijn of haar persoonsgegevens.
In een arrest 12 januari 2023 werpt het Hof van Justitie (HvJ 12 januari 2023, C-154/21, RW tegen Österreichische Post AG) een nieuwe blik op dit recht op inzage. En dit heeft een impact op de wijze waarop uw onderneming omgaat het beheer van haar datastromen.
Verplichtingen onderneming: checklist!
Welke verplichtingen heeft een onderneming wanneer een betrokkene (een klant, een werknemer van een leverancier, etc.) zijn of haar recht op inzage uitoefent? Hieronder vindt u een kort overzicht, in het licht van de uitspraak van het Hof van Justitie van 12 januari 2023.
Wanneer een onderneming een verzoek tot inzage ontvangt, moet zij inzage geven in de volgende gegevens, en dit in principe binnen een maand:
- De verwerkingsdoeleinden.
- De verschillende categorieën van persoonsgegevens (contactgegevens, financiële gegevens, etc.).
- De bewaartermijn van de persoonsgegevens, dan wel de elementen om deze termijn te bepalen.
- Informatie inzake het recht op gegevenswissing, verbetering van persoonsgegevens en het recht om de verwerking te beperken of hiertegen bezwaar te maken.
- De mededeling dat de betrokkene het recht heeft om een klacht in te dienen bij een toezichthoudende autoriteit en de contactgegevens van deze autoriteit.
- Indien de gegevens op een onrechtstreekse wijze worden ingezameld via een ‘bron’: mededeling van deze bron, de wijze waarop de bron deze gegevens verkrijgt, de bijhorende rechtsgrond voor verwerking en de adresgegevens van de bron.
- Het al dan niet bestaan van geautomatiseerde besluitvorming, nuttige informatie over de onderliggende logica hiervan en de verwachte consequenties van die verwerking voor de betrokkene.
- Indien de persoonsgegevens worden getransfereerd buiten de Europees Economische Ruimte: de locaties en de passende technische en organisatorische waarborgen.
- De ontvangers, of categorieën van ontvangers, van de persoonsgegevens.
Lijst van ontvangers: welke ontvangers?
De onderneming moet aan de betrokkene die het vraagt, opgeven wie de ontvangers zijn van zijn of haar persoonsgegevens. Een ‘ontvanger’ is volgens GDPR “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt.”.
In het arrest van 12 januari 2023 heeft het Hof van Justitie geoordeeld dat de onderneming in principe verplicht om een lijst met de identiteit van de ontvangers te bezorgen aan de betrokkene, inclusief van de ontvangers waarvan de onderneming zich slechts voorneemt om gegevens aan te verstrekken en van de ontvangers die nog niet definitief vaststaan, maar die wel reeds gegevens hebben gekregen. De betrokkene moet immers in staat zijn om ook bij deze ontvangers zijn of haar rechten uit te oefenen.
Hierop zijn twee uitzonderingen met name:
- Indien het onmogelijk is om deze ontvangers te identificeren.
- Indien het verzoek van de betrokkene kennelijk ongegrond of buitensporig is. In dat laatste geval volstaat het dat de onderneming de categorieën van ontvangers meedeelt.
Dat heeft tot gevolg dat uw onderneming in principe alle ontvangers van gegevens die aan deze criteria beantwoorden moet identificeren en moet opnemen in de lijst van ontvangers, met de nodige toelichting…
U kan een verzoek tot inzage dus best heel zorgvuldig behandelen. Het recht op inzage maakt de kern uit van de GDPR.
Liesbet Demasure, VDV Advocaten
Voor eventuele vragen, contacteer vrijblijvend Mr. Maarten Verhaghe, advocaat en certified DPO en Mr. Liesbet Demasure, advocaat, certified DPO en Data Protection Lead Auditor.
0 reacties