Versterkte rechten voor individuen tegenover bedrijven

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

De normen van democratische samenlevingen zouden een evenwicht moeten garanderen tussen belangen die mogelijk tegenstrijdig zijn. De meeste belangrijke teksten bevatten echter een oriëntatie – ik sprak hierboven over filosofie – die de ene partij bevoordeelt ten koste van de andere, hetzij omdat de autoriteit die deze teksten oplegt een nieuwe richting wil inslaan, hetzij omdat de noodzaak tot een heroriëntatie is gevoeld na enkele afwijkingen in één richting, die hebben geleid tot een asymmetrische verhouding tussen de partijen. De AVG is ongetwijfeld een instrument om de rechten van individuen te herstellen ten opzichte van almachtige bedrijven die zich niet langer veel aantrekken van privacy.  

Hoofdstuk III van de verordening is volledig gewijd aan de "Rechten van de betrokkene". Het is de "verwerkingsverantwoordelijke" die verantwoordelijk is voor het faciliteren van de uitoefening van deze rechten. Hij moet "zo spoedig mogelijk en in ieder geval binnen een maand na ontvangst van het verzoek" reageren. Indien nodig kan deze termijn met twee maanden worden verlengd, rekening houdend met de complexiteit en het aantal verzoeken (art. 12-3). Hieruit zou kunnen worden afgeleid dat men drie maanden de tijd heeft om op een verzoek te reageren en dat deze termijn alleen al veel verzoekers kan afschrikken. In feite is dat niet het geval; enerzijds omdat deze verlenging gerechtvaardigd moet zijn door een "noodzaak" of "complexiteit", anderzijds omdat de verzoeker binnen een maand op de hoogte moet worden gesteld van de redenen voor deze verlenging (opnieuw art. 12-3). En als de verwerkingsverantwoordelijke van mening is dat het verzoek ongegrond is, is het aan hem om dit ongegronde karakter aan te tonen (art. 12-5).

Artikel 13 somt alle informatie op die moet worden verstrekt bij het verzamelen van gegevens over een persoon. Dit is een revolutionaire ontwikkeling: we kunnen deze niet accepteren zonder eerst garanties te bieden over de integriteit van de bepalingen van de verordening. Niemand zal zich kunnen beroepen op zijn of haar omvang, reputatie of anciënniteit om internetgebruikers ertoe te bewegen zichzelf bekend te maken.

Het volgende dient daarom vooraf door het bedrijf te worden verstrekt:

– de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;

– de contactgegevens van de functionaris voor gegevensbescherming (in structuren waar dit verplicht is, komen we hierop terug);

– de verwerkingsdoeleinden waarvoor de gegevens bestemd zijn, alsmede de wettelijke basis voor deze verwerking;

– de ontvangers van de gegevens, ook wanneer een doorgifte naar een derde land gepland is.

Bij ontvangst van de gegevens (in de tekst staat “op het moment van…”) dient alsnog het volgende gemeld te worden:

– de houdbaarheid;

– het recht op rectificatie, verwijdering, beperking van de verwerking, verzet tegen verwerking en gegevensoverdraagbaarheid (we komen later terug op elk van deze rechten);

– het recht om een klacht in te dienen bij de toezichthoudende autoriteiten;

– de gevolgen van het niet verstrekken van gegevens;

– de gevolgen van het verstrekken van gegevens, met name in het kader van geautomatiseerde besluitvorming of profilering.

Wanneer de gegevens niet bij de betrokkene zelf zijn verzameld, gelden dezelfde verplichtingen, met de toevoeging van "de bron waar de persoonsgegevens vandaan komen". Deze informatie is niet vereist wanneer de gegevens worden verwerkt voor archiverings-, onderzoeks- of statistische doeleinden van algemeen belang.  

Zodra de gegevens door de betrokkene zijn doorgegeven, ontgaat het hem niet (wat een verandering ten opzichte van de huidige praktijken). De AVG creëert immers eerst (opnieuw) een recht op inzage (art. 15). Dit recht op inzage bestaat al in Frankrijk, maar is weinig bekend en ingewikkeld om te implementeren. Het omvat hier alle informatie genoemd in artikel 13. De inzage wordt gerealiseerd door middel van doorzending op eenvoudig verzoek: "De verwerkingsverantwoordelijke verstrekt een kopie van de persoonsgegevens die worden verwerkt" (art. 15-3). Deze kopie is kosteloos (voor een extra kopie kunnen redelijke kosten in rekening worden gebracht). Wanneer het verzoek elektronisch wordt ingediend, wordt het antwoord in dezelfde vorm verstrekt, tenzij het een ander verzoek betreft.

Het tweede uitdrukkelijk vastgelegde recht is het recht op rectificatie (art. 16). Dit recht heeft betrekking op gegevens die onjuist of onvolledig zijn ten opzichte van het doel van de verwerking.

Het belang van het derde recht is de afgelopen tien jaar geleidelijk duidelijk geworden, sinds de opkomst van Web 2.0 en sociale netwerken. Het is inderdaad sinds die tijd dat we ons bewust zijn geworden van het belang van data en dat verzamelingen zijn georganiseerd en vermenigvuldigd. Omdat informatie over ons in handen is van onbekende handen, is de vraag naar een recht op uitwissing (of recht om vergeten te worden) geformaliseerd. Frankrijk deed in 2010 een poging met de aanname van Handvesten over het recht om vergeten te worden, maar Facebook en Google weigerden deze te ondertekenen. Het was het Hof van Justitie van de Europese Unie dat in juni 2014 dit recht om vergeten te worden in het leven riep, waarna de belangrijkste digitale spelers, waaronder Google, procedures moesten opzetten, waaronder het online plaatsen van een "formulier" waarmee een internetgebruiker dit recht kon uitoefenen. Dankzij het formulier konden honderdduizenden mensen hun resultaten uit hun database laten verwijderen.

De AVG verankert dit recht op Europees niveau en beschrijft het op een eenvoudige manier (artikel 17). Op verzoek van de betrokkene is de verwerkingsverantwoordelijke verplicht om "zo spoedig mogelijk" de volgende persoonsgegevens te wissen:

– indien de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld;

– indien de toestemming wordt ingetrokken;

– indien er bezwaar is tegen de verwerking.

De betrokkene hoeft zijn verzoek niet te motiveren. De enige beperkingen op dit recht op gegevenswissing zijn:

– de nakoming van een wettelijke verplichting die voortvloeit uit het recht van de Unie of uit het recht van een lidstaat;

– de uitoefening van wettelijke rechten;

– redenen van openbare archivering, wetenschappelijk onderzoek of statistiek, alsook van volksgezondheid;

– ten slotte, “de uitoefening van het recht op vrijheid van meningsuiting en informatie” (art. 17-3a). Men vraagt zich af wat vrijheid van meningsuiting en informatie hiermee te maken heeft. Hadden lobby's die de belangen van de media vertegenwoordigden enige invloed? Of was het simpelweg de almacht van de media – even sterk als die van data – die zich aan de opstellers van de tekst opdrong?

Er is ook een "recht op beperking van de verwerking" voorzien, met name wanneer de juistheid van de gegevens wordt gecontroleerd of wanneer de verwerking onrechtmatig is, maar de betrokkene bezwaar maakt tegen het wissen ervan (art. 18). De beperking moet, net als de verwerking, aan de betrokkene worden meegedeeld (art. 19).        

Met het "recht op overdraagbaarheid" staat de AVG een individu toe om de gegevens die hij/zij aan een organisatie heeft verstrekt, op te vragen "in een gestructureerde, gangbare en machineleesbare vorm" (art. 20-1). Ze kunnen dit doen voor eigen gebruik of om de gegevens over te dragen aan een andere organisatie. Ze kunnen zelfs verzoeken dat hun gegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden overgedragen. De CNIL specificeert dat gegevens die "afgeleid, berekend of afgeleid" zijn, d.w.z. gecreëerd door de organisatie, niet kunnen worden opgeëist (dit staat los van het recht op toegang). De opgevraagde gegevens kunnen echter "secundair" informatie bevatten met betrekking tot derden.

De WP29, een Europese werkgroep opgericht krachtens artikel 29 van de Europese richtlijn uit 1995, die werkt aan verduidelijking van de AVG alvorens deze wordt omgevormd tot de Europese Raad voor Gegevensbescherming, beveelt het uploadmechanisme voor gegevensoverdracht aan binnen het kader van het recht op overdraagbaarheid. In alle gevallen moet de bepaling gemakkelijk toegankelijk en veilig zijn. Er is momenteel geen specifiek formaat aangegeven, maar "de WP29 moedigt spelers in de sector en beroepsverenigingen aan om te werken aan een reeks interoperabele standaarden en formaten om deze voorwaarden van het recht op overdraagbaarheid te respecteren."

De verwerkingsverantwoordelijke wordt aangemoedigd om duidelijk te communiceren over het recht op overdraagbaarheid, een authenticatieprocedure te implementeren voordat de gevraagde gegevens worden overgedragen en deze service gratis te verlenen, tenzij het verzoek kennelijk ongegrond of buitensporig is, "met name vanwege het repetitieve karakter ervan". Er dient te worden opgemerkt dat gegevens die onder het recht op overdraagbaarheid worden overgedragen, niet uit het oorspronkelijke bestand hoeven te worden verwijderd.

Iedereen heeft te allen tijde het recht om bezwaar te maken (art. 21). Dit bezwaar kan betrekking hebben op elke verwerking, met name prospectie (art. 21-2) en zelfs wetenschappelijk of historisch onderzoek, "tenzij de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang" (art. 21-6). Het is denkbaar dat dit recht vooral zal worden gebruikt om zich te verzetten tegen commerciële doeleinden.

Tot slot reguleert de AVG profilering. "De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft" (art. 22). Dit is toegestaan in het kader van een overeenkomst of indien deze gebaseerd is op een uitdrukkelijke overeenkomst. In deze gevallen zorgt de verwerkingsverantwoordelijke voor "de bescherming van de rechten en vrijheden en de gerechtvaardigde belangen van de betrokkene".