In een arrest van 13 mei 2014, in de zaak Google Spanje tegen AEPD, heeft het Hof van Justitie van de Europese Unie zich uitgesproken over het recht van de Europese burgers om aan zoekmachines te vragen dat bepaalde informatie die op hen betrekking heeft “gedesindexeerd” wordt, onder bepaalde voorwaarden. Het Hof preciseerde met name dat dit “recht op gegevenswissing” slechts gold voor de gerechtelijke informatie betreffende een “particuliere” persoon (in tegenstelling tot een “publieke” persoon). Hoewel beperkt, heeft dit nieuw vastgelegde recht heel wat inkt doen vloeien en veel publieke belangstelling uitgelokt.
Dit recht op vergetelheid, momenteel enkel “digitaal”, zal zeer binnenkort worden uitgebreid als gevolg van de inwerkingtreding op 25 mei 2018 van artikel 17 van de GDPR.
Dit preciseert inderdaad dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke zonder onredelijke vertraging de wissing van de persoonsgegevens die op hem betrekking hebben te verkrijgen.
We hebben hieronder enkele praktische vragen met betrekking tot deze nieuwe bepaling opgenomen:
Wanneer is dit recht op vergetelheid of recht op gegevenswissing van toepassing?
Het recht op gegevenswissing is zeker geen absoluut recht. Artikel 17 van de GDPR bepaalt zes gevallen waarin de betrokkene de wissing van zijn persoonsgegevens zal kunnen vragen:
- wanneer de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt door de verwerkingsverantwoordelijke;
- wanneer de betrokkene zijn toestemming voor de verwerking van de gegevens intrekt en er geen andere rechtsgrond is voor de verwerking (dit is bijvoorbeeld het geval voor gevoelige gegevens);
- wanneer de betrokkene zich verzet tegen de noodzakelijke verwerking voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen of wanneer de betrokkene zich verzet tegen de noodzakelijke verwerking voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, en er geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking zijn (overeenkomstig artikel 21.1 van de GDPR); of wanneer de betrokkene zich verzet tegen de verwerking van hem betreffende persoonsgegevens voor direct marketing, met inbegrip van profilering die betrekking heeft op direct marketing (overeenkomstig artikel 21.2 van de GDPR);
- wanneer de persoonsgegevens onrechtmatig verwerkt zijn;
- wanneer de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting die is voorzien door het Unierecht of het lidstatelijke recht die op de verwerkingsverantwoordelijke rust;
- wanneer de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij aan kinderen (overeenkomstig artikel 8 van de GDPR) en ze dus een minderjarige betreffen.
Ook al is deze lijst limitatief, toch moet worden benadrukt dat deze een groot aantal gevallen viseert. Bovendien wordt het recht van verzet, een geval waarin de gegevenswissing kan worden gevraagd (punt 3 hierboven), ook verruimd door de GDPR (“De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van [de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, of de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde], met inbegrip van profilering op basis van die [situaties]”).
Er moet echter worden onderstreept dat dit recht op gegevensuitwissing of vergetelheid zal moeten wijken in enkele specifieke gevallen, wanneer er een hoger belang op het spel staat, zoals:
- het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
- het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
- redenen van algemeen belang op het gebied van volksgezondheid;
- met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, voor zover het recht op gegevenswissing of vergetelheid de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen.
Welke zijn de concrete verplichtingen van de verwerkingsverantwoordelijke?
Wanneer de betrokkene, in een van bovengenoemde gevallen, de wissing van zijn persoonsgegevens vraagt, is de verwerkingsverantwoordelijke ertoe gehouden om “zonder onredelijke vertraging” en in ieder geval binnen een termijn van maximum één maand volgend op de vraag, de persoonsgegevens van de betrokkene te wissen.
Indien de verwerkingsverantwoordelijke de gegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.
Overeenkomstig overweging nr. 59 van de GDPR zal de verwerkingsverantwoordelijke, indien hij niet van plan is om gevolg te geven aan een vraag tot gegevenswissing van de betrokkene, zijn weigering moeten motiveren.
Voor de goede orde preciseert artikel 13 van de GDPR dat de verwerkingsverantwoordelijke de betrokkene voortaan informatie zal moeten verstrekken over “de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn”, wat eveneens het idee versterkt van het recht op vergetelheid van bepaalde informatie na verloop van een zekere tijd.
Welke zijn de toepasselijke sancties?
Deze verplichtingen zijn niet slechts principes, maar kunnen ook gesanctioneerd worden aangezien de GDPR iedere toezichthoudende autoriteit toelaat om administratieve geldboeten op te leggen indien de betreffende bepalingen niet worden nageleefd. De hoogte ervan hangt af van de geschonden bepalingen.
Wat betreft de “rechten van de betrokkenen”, met inbegrip van het recht op gegevenswissing of vergetelheid, zal de verwerkingsverantwoordelijke in geval van niet-naleving van de hierboven uiteengezette regels een administratieve geldboete opgelegd krijgen gelijk aan het hoogste van deze twee bedragen: hetzij een administratieve geldboete tot 20 miljoen EUR, hetzij, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar.
Actiepunt
Wij raden u aan om hier alvast over na te denken en in voorkomend geval de interne procedures betreffende de verwerking van persoonsgegevens aan te passen en te zorgen voor:
- het opzetten van mechanismen die toelaten na te gaan dat de persoonsgegevens niet langer dan noodzakelijk worden bijgehouden in het kader van een retentiebeleid;
- het verstrekken van duidelijke informatie aan de betrokkenen alsook de concrete middelen om hun recht op gegevenswissing of vergetelheid uit te voeren (bijvoorbeeld de manier waarop een aanvraag kan worden ingediend bij de verwerkingsverantwoordelijke). Dit kan gebeuren in het kader van de informatieverplichting (in de praktijk: door een verklaring of een mededeling van vertrouwelijkheid);
- het opzetten van een systeem dat toelaat de verspreiding van de persoonsgegevens bij andere verwerkingsverantwoordelijken te controleren;
- het opstellen van een intern reglement ter attentie van de werknemers die verantwoordelijk zijn voor de verwerking van persoonsgegevens (departement HR, marketing, ...), dat de regels en de te volgen procedures uiteenzet wanneer de betrokkenen hun recht op gegevenswissing inroepen;
- het ontwikkelen van een procedure bestemd om de verwerkingsverantwoordelijke toe te laten om de andere verwerkingsverantwoordelijken efficiënt en binnen de vereiste termijn te informeren over de aanvraag tot gegevenswissing door de betrokkene en te zorgen voor de effectieve wissing van de links naar die gegevens of de kopieën hiervan.