Uitoefening van toegangsrechten, overdraagbaarheid: welke bevoegdheden heeft een vertegenwoordiger?

Juridische Watch nr. 35 – Mei 2021

Uitoefening van toegangsrechten, overdraagbaarheid: welke bevoegdheden heeft een vertegenwoordiger? Sommige gegevensbeheerders konden hun verbijstering terecht uiten toen ze een verzoek van een bedrijf dat de opdracht heeft om gegevens uit hun klantenbestand te verkrijgen, met name wanneer het verzoek bijzonder brede eisen bevat, bijvoorbeeld met betrekking tot de overdracht van persoonsgegevens zonder tijdsbeperking of het vereisen van automatische toegang tot de gegevens.

De beheerder kan terecht vragen stellen over de risico’s die het hergebruik van zijn klantgegevens met zich meebrengt, en over de mogelijke concurrentieverstoringen die daaruit zouden voortvloeien.

In principe is de praktijk echter legaal.

Dit is vastgelegd in de AVG en in artikel 77 van het uitvoeringsbesluit van de Wet bescherming persoonsgegevens en heeft tot doel de uitoefening van het recht op toegang, verzet of gegevensoverdraagbaarheid te vergemakkelijken door de betrokkenen de mogelijkheid te bieden om een beroep te doen op een vertegenwoordiger om hun rechten uit te oefenen.

Hoe kunnen we de controle van individuen over hun gegevens behouden door een derde partij deze rechten te laten uitoefenen, en tegelijkertijd misbruik voorkomen dat kan voortvloeien uit onrechtmatige mandaten?

Het is aan de agent om de reikwijdte van zijn mandaat duidelijk te definiëren. Het is aan de manager die een dergelijk verzoek ontvangt om de geldigheid van dit mandaat te verifiëren.

De CNIL is onlangs een openbare raadpleging gestart over een conceptaanbeveling die tot doel heeft het kader van deze nieuwe praktijk te verduidelijken.

Ook heeft de Autoriteit Persoonsgegevens een standaardmandaat gepubliceerd, dat als naslagwerk kan dienen voor agenten en verwerkingsverantwoordelijken.

Bepaalde aspecten verdienen bijzondere aandacht en kunnen ertoe leiden dat een verwerkingsverantwoordelijke aanvullende informatie opvraagt alvorens de betreffende gegevens door te geven.

• Gegevens die het mogelijk maken om in het kader van het mandaat de persoon ten behoeve van wie de rechten worden uitgeoefend, duidelijk te identificeren (bijvoorbeeld identificatie, geboortedatum, datum van de laatste verbinding)

• De identificatie van de ontvanger aan wie de gegevens worden doorgegeven (dit kan de agent of de betrokken persoon zijn)

• De authenticiteit van het mandaat (bestaan van een elektronische handtekening), de reikwijdte en de duur ervan. De gegevens of categorieën van gegevens moeten worden gespecificeerd. De CNIL is van mening dat een mandaat dat voor onbepaalde tijd is opgesteld, niet voldoet aan de wettelijke vereisten.

• Indien de overdracht elektronisch plaatsvindt, met name via een application programming interface (API), moet deze stabiel zijn, een hoge beschikbaarheid hebben en beveiligingsmaatregelen bevatten die zijn aangepast aan de risico's. De CNIL heeft bedenkingen bij scrapingtechnieken waarmee de gebruikersnaam en het wachtwoord van de betrokkene kunnen worden achterhaald om de gegevens automatisch te extraheren.

Indien de verwerkingsverantwoordelijke twijfelt aan de geldigheid van een mandaat, moet hij de weigering om het verzoek om toegang in te willigen, rechtvaardigen overeenkomstig artikel 12.6 van de AVG.

Dit kan bijvoorbeeld het geval zijn als er gegronde twijfels bestaan over de identiteit van de betrokkene. In dat geval is het nodig om aanvullende informatie bij die persoon of bij de gemachtigde te verzamelen.

In het geval van een mandaat bedraagt de reactietermijn van de verwerkingsverantwoordelijke, net als bij een klassiek verzoek tot inzage, één maand.

Hoe zit het met het eventuele hergebruik van deze gegevens door de agent voor eigen doeleinden?

Dit is een afzonderlijke verwerkingshandeling die moet voldoen aan de rechtmatigheidsvereisten van de AVG.

De betrokkene moet in ieder geval de keuze hebben om, per geval bekeken, elk hergebruik dat de agent beoogt, al dan niet te accepteren.

Houd er rekening mee dat de CNIL, net als het Europees Comité voor gegevensbescherming, van mening is dat "agenten gegevens van derden niet voor hun eigen doeleinden mogen hergebruiken". Dit zou worden beschouwd als een inbreuk op de rechten en vrijheden van derden.

En ook

Frankrijk:

In haar activiteitenverslag 2020 heeft de CNIL maakt de balans op van de hoogtepunten van het jaar, met name de impact van de pandemie op de grondrechten.

Drie jaar na de inwerkingtreding van de AVG constateert zij een constante toename van het aantal klachten – meer dan 62% dit jaar, en er werden 14 sancties opgelegd, waaronder 11 boetes met een totaalbedrag van 138 miljoen euro.

DE Prioriteiten van de Commissie erbij betrekken

• De nieuwe regels omtrent cookies (recent zijn een twintigtal organisaties gecontroleerd),
• Cyberbeveiliging en
• Digitale soevereiniteit.

De CNIL kondigt ook toekomstige werkzaamheden aan die gewijd zijn aan het verband tussen gegevensbescherming en milieuvraagstukken die verband houden met klimaatverandering.

De CNIL kondigde ook aan controles bij apotheken om de voorwaarden te verifiëren voor het verzamelen van klantgegevens door het bedrijf Iqvia met het oog op pathologieanalyses.

Deze controles volgen op de publicatie medio mei van een rapport over misbruik van persoonsgegevens, dat veel reacties uitlokte.

De Commissie gaf uiteindelijk aan dat zij voor de invoering van een gezondheidspas op voorwaarde dat er garanties worden geboden voor de verwerking van de gegevens en dat de pas enkel wordt gebruikt voor de duur van de gezondheidscrisis.

Op 3 juni publiceerde het zijn derde advies over maatregelen ter bestrijding van de pandemie.

Op 20 mei heeft de Constitutionele Raad een uitspraak gedaan over de wet ‘Global Security’.

Het censureert artikel 24 met betrekking tot de criminalisering van de “kwaadaardige” verspreiding van beelden van wetshandhavingsdiensten, evenals een groot deel van de artikelen 47 en 48 die het toezicht door drones, met name tijdens demonstraties, en het gebruik van camera’s aan boord organiseren. voertuigen en vliegtuigen van de wetshandhaving.

Europa:

Verschillende actoren uit het maatschappelijk middenveld hebben op 26 mei het initiatief genomen klachten tegen gezichtsherkenningsbedrijf Clearview, met name in Frankrijk, Oostenrijk, Italië, Griekenland en het Verenigd Koninkrijk.

Daar Europees Hof voor de Rechten van de Mens Op 25 mei oordeelde het Britse Hooggerechtshof unaniem dat het wijdverbreide surveillanceregime in het Verenigd Koninkrijk, dat in 2013 door Edward Snowden openbaar werd gemaakt, in strijd is met Artikel 8 van het Europees Verdrag voor de Rechten van de Mens, met betrekking tot de bescherming van de privacy.

Het Europees Comité voor gegevensbescherming heeft op 20 mei twee gedragscodes aangenomen naar aanleiding van de beslissingen van de Franse en Belgische autoriteiten over de cloud: voor België betreft het een besluit betreffende de EU Cloud-gedragscode en voor Frankrijk betreft het de CISPE, betreffende Europese aanbieders van cloudinfrastructuurdiensten.

Op 2 juni publiceerde het Comité ook zijn activiteitenverslag over 2020.

De Europese Toezichthouder voor gegevensbescherming start twee onderzoeken naar het gebruik van clouddiensten van Amazon en Microsoft door Europese instellingen.

Deze onderzoeken zijn erop gericht de verwerkingsvoorwaarden en met name de gegevensoverdracht door deze bedrijven naar de Verenigde Staten te verifiëren in het licht van de Schrems II-uitspraak van het Hof van Justitie van de Europese Unie.

De Europese Unie heeft begin juni publiekelijk aangekondigd dat de Verenigde Staten, om een overeenkomst te kunnen sluiten over de doorgifte van gegevens aan de Verenigde Staten, bindende wetten moet aannemen waarmee Europese burgers zich voor de rechter kunnen verdedigen tegen de grootschalige verzameling van hun gegevens door de Amerikaanse overheid.

Internationaal :

Uit een recent onderzoek van Privacy Laws and Business (G. Greenleaf) blijkt dat wereldwijde privacyupdateVolgens het rapport is het aantal landen dat wetgeving inzake gegevensbescherming heeft aangenomen, gestegen van 132 naar 145, terwijl nog eens 23 landen wetsvoorstellen in de maak hebben.

Brazilië: Net als verschillende Europese collega's verzoekt de Braziliaanse toezichthoudende autoriteit WhatsApp om het nieuwe privacybeleid op te schorten totdat het onderzoek naar de gevolgen voor gegevensbescherming en concurrentie is afgerond.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.