Welke rechten hebben personen waarvan je data verzamelt volgens de GDPR?
In de GDPR-wetgeving van 25 mei 2018 worden de gegevens van personen beter beschermd. Welke rechten hebben de personen waarvan data verzameld wordt?
Uitgebreide rechten van data subjects
Dankzij de GDPR wordt de beveiliging van persoonsgegevens flink opgeschroefd. De personen waarvan gegevens worden verwerkt noemt men ook wel eens ‘data subjects’. Deze krijgen dankzij de GDPR dus meer rechten. Of je nu zelf datagegevens verwerkt, of er worden gegevens van jou verwerkt, je bent best op de hoogte.
Rechten van personen waarvan informatie verwerkt wordt:
- Recht op informatie
Dit gedeelte bestond al in de privacywet maar is in de GDPR verder uitgebreid. Worden er persoonsgegevens van iemand verwerkt, dan heeft deze persoon het recht om te weten welke gegevens er verwerkt worden en hoe dit gebeurt.
- Recht op inzage
Een data subject heeft het recht te weten of zijn gegevens verwerkt worden. Als dat zo is, mag hij deze informatie inkijken. Dit kan bijvoorbeeld zijn: de categorieën persoonsgegevens, de verwerkingsdoeleinden, de ontvangers, de periode, … Hij moet hier gemakkelijk toegang tot kunnen krijgen.
- Recht op correctie
Een persoon heeft het recht om zijn eigen gegevens aan te passen wanneer ze niet kloppen of onvolledig zijn. Denk maar aan de link in je e-mail met ‘gegevens aanpassen’.
- Recht van verzet
Een data subject heeft het recht zich te verzetten en moet hierover ingelicht worden. Zo kan hij zich verzetten tegen: direct marketing, het verwerken van gegevens op basis van gerechtvaardigde gronden en tegen de verwerking voor wetenschappelijk of historisch onderzoek.
- Recht om vergeten te worden
Een persoon heeft het recht om vergeten te worden. Zijn persoonsgegevens moeten dan gewist worden! Dit is wettelijk verplicht volgens het Unierecht of de nationale wetgeving.
Dit kan bijvoorbeeld wanneer:- De gegevens niet langer nodig zijn voor
- De persoon zijn toestemming voor de verwerking intrekt
- Het data subject bezwaar heeft tegen de verwerking
- Wanneer de gegevens onwettig verwerkt worden
- Wanneer men gegevens verzamelt bij het aanbod van diensten aan kinderen.
- Recht op portabiliteit* en datamigratie
Wanneer iemand gegevens heeft bezorgd aan een leverancier, dan moeten deze gemakkelijk teruggevonden worden. Zo kan de persoon gemakkelijker overstappen naar een andere dienstenleverancier en de gegevens overgedragen worden.
*Het gemak waarmee een softwareproduct van de ene hardware- of software omgeving naar een andere leverancier kan worden overgezet.
- Recht op waarschuwing bij hacking
Een persoon moet een waarschuwing krijgen van het bedrijf dat zijn gegevens verwerkt wanneer zijn informatie gehackt is of er een mogelijk data-lek is.
Wat met profilering?
Wanneer je (persoons)gegevens automatisch verwerkt, vergelijkt of samenbrengt om zo een individu te kunnen evalueren, classificeren of over hem een beslissing te kunnen nemen, spreekt men over profilering. Dit is enkel toegestaan wanneer de persoon expliciet toestemming geeft.
Dit zegt de GDPR (artikel 20) hierover:
“De betrokkene heeft het recht om niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.”
Profilering is wel toegestaan wanneer:
- Er uitdrukkelijk toestemming is gegeven door de betrokkene.
- Deze nodig is is om een overeenkomst tussen de betrokkene of verwerkingsverantwoordelijke tot stand te laten komen of uit te voeren.
- Bij een bepaling vanuit Unierecht of lidstaatrecht die op de verwerkingsverantwoordelijke van toepassing is en ook voorziet in passende maatregelen om de rechten, vrijheden en gerechtvaardigde belangen van de betrokkene te beschermen.
In het licht van de GDPR krijgen de personen waarvan de persoonsgegevens worden verwerkt meer rechten. Hou hier rekening mee als je omgaat met deze gegevens. Rechten brengen plichten met zich mee.
Volgende week in deel 4 van onze blogspecial over GDPR: Wat zijn mijn plichten als verwerkingsverantwoordelijke?