In januari 2023 heeft het Hof van Justitie van de Europese Unie (HvJ-EU) in zaak C-154/21 besloten dat “eenieder het recht heeft te weten aan wie zijn of haar persoonsgegevens zijn verstrekt“. Dit vonnis werd aangekondigd na een geschil bij het Oostenrijkse Hooggerechtshof tussen een Oostenrijks staatsburger en de Oostenrijkse postdienst Österreichische Post.
De burger van Oostenrijk verzocht de postdienst de identiteit bekend te maken van de ontvangers van wie zijn persoonsgegevens waren gedeeld. De Oostenrijkse postdienst verklaarde dat het persoonlijke gegevens gebruikt voor zover toegestaan door de wet, persoonsgegevens aan handelspartners aanbiedt voor marketingdoeleinden, maar niet duidelijk wat de exacte identiteit van de ontvangers is. Tijdens de procedure verduidelijkte de Oostenrijkse postdienst verder dat de gegevens waren doorgegeven aan verwerkers en derden, waaronder:
Het Oostenrijkse Hooggerechtshof bleef toen met de vraag zitten; laat de AVG de verwerkingsverantwoordelijke de keuze om de specifieke identiteit van de ontvangers of alleen de categorieën ontvangers bekend te maken; of dat het de betrokkene het recht geeft om zijn specifieke identiteit te kennen?
Dat was de vraag die aan het HvJ-EU werd gesteld.
In deze blog kijken we naar de betreffende casus, bespreken we wat dit betekent voor uw organisatie en wat u nu moet doen om de naleving van de nieuwe uitspraak te waarborgen.
Het HvJ-EU maakte duidelijk dat betrokkenen het recht hebben om te weten wie hun persoonsgegevens ontvangt. Het Hof verklaart:
“… Wanneer persoonsgegevens aan ontvangers zijn of zullen worden verstrekt, is er een verplichting voor de verwerkingsverantwoordelijke om de betrokkene op verzoek de werkelijke identiteit van die ontvangers te verstrekken. Alleen wanneer het (nog) niet mogelijk is om die ontvangers te identificeren, mag de verwerkingsverantwoordelijke alleen de categorieën van de ontvanger in kwestie aangeven…”
Het Hof voegde er ook het voorbehoud aan toe dat het verzoek kan worden afgewezen, zolang de verwerkingsverantwoordelijke kan aantonen dat het verzoek kennelijk ongegrond of buitensporig is.
In dit geval heeft het HvJ-EU artikel 15, lid 1, onder c), in een bredere context geïnterpreteerd en de doelstellingen van de AVG overwogen, waarbij het oordeelde dat betrokkenen het recht hebben om te weten wie over hun gegevens beschikt. Ter bevordering van de beslissing heeft het Hof de volgende punten benadrukt:
Deze beslissing kan mogelijk gevolgen hebben voor veel kleine en middelgrote organisaties, maar het is ook een belangrijke beslissing op het gebied van de rechten van betrokkenen. Het HvJ-EU heeft heel duidelijk gemaakt dat het recht op toegang essentieel is om betrokkenen in staat te stellen hun andere rechten uit te oefenen die door de AVG worden verleend. Dit omvat het recht op rectificatie, recht op verwijdering, recht op beperking van de verwerking, recht om bezwaar te maken tegen verwerking of het recht op schadevergoeding en aansprakelijkheid als ze schade hebben geleden.
Hoewel dit arrest betrokkenen geen nieuw recht geeft, strekt het zich uit tot het recht van inzag voor betrokkenen. Het bevestigt ook dat betrokkenen het recht moeten hebben om te weten waar hun gegevens naartoe gaan en om welke reden deze met een derde partij worden gedeeld.
Ga om te beginnen terug naar uw gegevensstromen en zoek uit waar uw gegevens naartoe gaan en waar al uw leveranciers zich bevinden. U moet ervoor zorgen dat dit up-to-date is en nauwkeurig de het proces weergeeft van de persoonlijke gegevens die u verzamelt. In dit stadium moet u ook overwegen om naar uw verwerkingsregister te kijken en ervoor te zorgen dat deze een afspiegeling blijven van uw verwerkingsactiviteiten. Als er belangrijke wijzigingen zijn aangebracht in uw gegevensoverzicht of als uw processen zijn gewijzigd, moet uw verwerkingsregister worden bijgewerkt om dit weer te geven. U moet er ook voor zorgen dat u vendor due diligence hebt uitgevoerd op nieuwe leveranciers, omdat dit zal helpen om aan te tonen dat u verantwoordelijk bent voor het delen en verwerken van persoonlijke gegevens.
Uw volgende prioriteit moet zijn om uw privacyverklaring bij te werken met uw gegevensverwerkers en externe leveranciers. Dit toont transparantie aan uw betrokkenen. Dit zal uw betrokkenen ook aanmoedigen om naar de privacyverklaring te gaan om deze informatie te vinden, in plaats van u rechtstreeks te vragen deze te verstrekken.
U moet alle andere bestaande kennisgevingen bijwerken om deze wijziging weer te geven. Dit omvat alle beleidsregels en procedures die de rechten van betrokkenen behandelt. Deze moeten mogelijk worden bijgewerkt en het personeel dat verzoeken van betrokkenen behandelt, moet op de hoogte worden gebracht van eventuele wijzigingen.
Verzeker uzelf dat uw organisatie alle andere rechten respecteert die de AVG betrokkenen toekent. Het HvJ-EU heeft duidelijk gemaakt dat het recht om te weten waar de persoonsgegevens van een betrokkene naartoe gaan (en naar wie) een cruciaal onderdeel vormt van het recht op inzage. Hierbij toegevoegd, dat het “recht op inzage noodzakelijk is om de betrokkene in staat te stellen andere rechten uit te oefenen die door de AVG worden verleend”. Het is belangrijk dat u nadenkt en begrijpt hoe uw bedrijf andere rechten van betrokkenen nakomt en hoe deze nieuwe uitspraak aansluit. U dient ervoor te zorgen dat alle rechten die door uw betrokkenen worden uitgeoefend, worden meegedeeld aan alle betrokken gegevensverwerkers of externe leveranciers. Ondersteunt de externe verwerker u bijvoorbeeld wanneer een van uw betrokkenen zijn adres wil bijwerken of een kopie van zijn gegevens wil verkrijgen?
Deze uitspraak is een belangrijke verduidelijking voor organisaties en kan hen ertoe aanzetten om veel van hun processen en beleid te veranderen. Als uw organisatie betrokkenen in de EU heeft of als u een gegevensverwerker bent voor een in de EU gevestigde verwerkingsverantwoordelijk, moet u ervoor zorgen dat u dit besluit nakomt en een mechanisme biedt voor het verstrekken van deze informatie aan betrokkenen (vooral als zij daarom vragen).
Als uw organisatie persoonsgegevens verwerkt over betrokkenen die woonachtig zijn in de EU, of als u meer informatie wilt over hoe u uw beleid up-to-date en compliant kunt houden, vult u dan het onderstaande formulier in, waarna iemand van ons team contact met u opneemt.
Vul hieronder uw gegevens in en wij nemen zo spoedig mogelijk contact met u op