Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

1.20 Beleid m.b.t. bezwaar, beperken en wissen

De rechten van Betrokkenen

Betrokkenen hebben verregaande rechten voor wat betreft het verwerken van hun gegevens. Niet alleen hebben zij recht op inzicht op bestaande gegevens, maar ook invloed op de verwerking. 

Indien Betrokkene verzoekt te worden gewist, beperkt wil worden in verwerking of bezwaar maakt tegen verwerking, moet dat in principe worden gehonoreerd.

Er kunnen omstandigheden zijn waarin het een vitaal belang van Betrokkene of van anderen is om het verzoek niet te honoreren of dat de Organisatie zelf prevalerende dwingende gerechtvaardigde gronden heeft voor de verwerking. In dat geval mag de Organsiatie een aantal maatregelen nemen:

  • persoonsgegevens alsnog verwerken of
  • persoonsgegevens niet (direct) wissen

 Voor het beleid van bezwaar wordt het beleid van wissen en beperken aangehouden.  

 

Voorbeeldtekst voor in het Handboek: 

1.20.1 Beleid in het geval van wissen en beperken

Bedrijf xxx voert, op verzoek daartoe, de procedures op basis van hoofdstuk 2 van dit handboek, de nodige stappen uit om persoonsgegevens te wissen of in beperking te stellen.

Voor het wissen worden, rekening houdend met de beschikbare technologie en met de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, genomen.

In het geval van beperking van verwerking van die doeleinden, moet de VV, bij het verzamelen van (nieuwe) gegevens toetsen en zeker stellen of daarin gegevens van Betrokkene voorkomen, om te voorkomen dat die worden verwerkt.

Het bestand waarin de “gewiste” persoonsgegevens worden bewaard, dient enkel dit doel en wordt verder strikt beperkt! Bij het beperken wordt zeker gesteld dat de kans op inbreuk door onrechtmatig verwerken van persoonsgegevens minimaal is.

Betrokkene wordt van de maatregelen en, zo mogelijk, van het resultaat op de hoogte gesteld.

1.20.2 Situaties waarin belangen van Betrokkene ondergeschikt zijn

Veel persoonsgegevens zijn geënt op digitale informatie waarin emailadressen een centrale rol vervullen. Indien Betrokkene zeker wil stellen dat verwerking na een verzoek daartoe niet meer plaatsvindt en ook niet meer zal plaatsvinden, zullen aanvullingen op een te verwerken bestand daarop moeten worden gecontroleerd.

Het beleid van Bedrijf xxx is daarom dat, voorafgaand aan iedere verwerking van persoonsgegevens waarop aanvullingen zijn gedaan sinds de beperking of het wissen, een controle wordt gedaan of de gegevens van Betrokkene niet op een of andere wijze alsnog zijn toegevoegd.

Bedrijf xxx zal dan ook minimaal een bestand aanhouden dat email-adressen van Betrokkenen, die verzocht hebben om beperkt te worden in verwerking of te worden geëist, aanhouden.

Het bestand “beperkte” persoonsgegevens mag voor geen enkele andere doel worden gebruikt. Er is geen duur voor wissen van dat bestand vastgesteld.

In het geval van aan Betrokken geleverde diensten of middelen die moeten kunnen worden getraceerd, ten behoeve van een “recall”, wordt een bestand van persoonsgegevens aangehouden waarmee de noodzaak van traceren kan worden bepaald en waarmee Betrokkene kan worden gecontacteerd.

Persoonsgegevens worden gewist nadat de noodzaak van traceren is opgehouden te bestaan.

1.20.3 Grondslagen voor afwijkend beleid

Het aanhouden van persoonsgegevens voor het verlenen van garantie is op grondslag van overeenkomst. De gegevens daarvan worden gewist nadat de garantieperiode is geacht te zijn verstreken.

De grondslagen voor het afwijken van verzoeken tot beperken of wissen zijn:

“art. 6.1.d: ...de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;...”

“art 17.1.c: … wissen hoeft niet wanneer betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking,...;”

“art.21.: ...De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens (in het geval van bezwaar) tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene….”

 

 

Vorige pagina        Index        Volgende pagina

Afdrukken