Artikel 29-Werkgroep richtlijnen voor het recht op gegevensoverdraagbaarheid

Het recht op gegevensoverdraagbaarheid (ook wel bekend als het recht op dataportabiliteit) is een nieuw privacyrecht van betrokkenen uit artikel 20 van de Algemene Verordening Gegevensbescherming (AVG). Op basis van dit recht dienen betrokkenen de mogelijkheid te hebben om zowel bij een verantwoordelijke persoonsgegevens op te vragen om deze op te slaan voor persoonlijk (her)gebruik, als om een verantwoordelijke (Verzender) te verzoeken deze over te dragen aan een andere verantwoordelijke (Ontvanger). Artikel 29-werkgroep (WP29) stelt in haar richtlijnen drie voorwaarden voor de uitoefening van dit recht:

  • de grondslag van de gegevensverwerking is toestemming of een overeenkomst;
  • het betreft persoonsgegeven welke zijn verstrekt door, en gerelateerd aan, de betrokkene;
  • er worden geen rechten en/of vrijheden van derden geschonden.

Grondslag gegevensverwerking

Op grond van het eerste vereiste geldt het recht op gegevensoverdraagbaarheid enkel voor persoonsgegevens die zijn verzameld op basis van toestemming (van de betrokkene) of op basis van een overeenkomst. Persoonsgegevens verzameld op basis van, bijvoorbeeld, een wettelijke plicht vallen niet onder de toepassing van dit recht.

Persoonsgegevens verstrekt door, en gerelateerd aan de betrokkene

Op basis van het tweede vereiste kan het recht op gegevensoverdraagbaarheid enkel worden uitgeoefend voor persoonsgegevens die zijn verstrekt door, en gerelateerd aan, de betrokkene. Beide termen moeten ruim te worden opgevat.

Zo omvat het begrip ‘verstrekken’ zowel persoonsgegevens die actief en bewust door de betrokkene zijn verstrekt (bijv. een e-mailadres bij de aanschaf van producten in een webwinkel), als persoonsgegevens die zijn verstrekt door middel van het gebruik van een apparaat of dienst (bijv. via cookies verzamelde gegevens over iemands zoekgeschiedenis).

Met het begrip ‘gerelateerd’ wordt gedoeld op persoonsgegevens van zowel de betrokkene zelf, als gepseudonimiseerde gegevens, als gegevens van derden die aan de betrokkene zijn gelinkt. Afgeleide gegevens (bijv. een interesseprofiel opgebouwd door bezoekersgedrag te registreren) vallen uitdrukkelijk niet onder gerelateerde gegevens.

Rechten van derden

Ondanks dat er, op basis van de tweede voorwaarde van dit recht, gegevens van derden kunnen worden verkregen en/of verplaatst, mogen er bij de uitoefening van dit recht geen fundamentele rechten van deze derden (bijv. op basis van privacywetgeving of een IE-recht) worden geschonden. Van een schending van deze rechten is echter, aldus WP29, niet snel sprake. Daarbij stelt WP29, dat zolang persoonsgegevens van derden door de Ontvanger worden verwerkt overeenkomstig met het doel van de Verzender er geen schending van de rechten intreedt. Het verwerken van de persoonsgegevens van derden voor eigen doeleinden van de Ontvanger (bijv. het gebruik voor marketingdoelen) levert daarentegen wel een schending op, en is dan ook niet toegestaan.

Verdeling verantwoordelijkheid persoonsgegevens Verzender vs. Ontvanger

Verzender is verantwoordelijk voor de persoonsgegevens, onder andere middels het voldoen aan de beveiligingseisen, tot aan het moment dat de Ontvanger de gegevens ontvangt. Zo dient de Verzender zorg te dragen voor een veilige ‘overdracht’ middels, bijvoorbeeld, encryptie. Vanaf het moment van ontvangst van de persoonsgegevens is de Ontvanger verantwoordelijk. Daarnaast dient de Ontvanger vanaf dat moment zorg te dragen voor overeenstemming met de beginselen uit de AVG, waaronder het noodzakelijkheidsvereiste, voor de verdere verwerking van de persoonsgegevens.

Technische vereisten aanbieden van persoonsgegevens

Door de Verzender dienen de persoonsgegevens beschikbaar te worden gesteld in een gestructureerd, veelgebruikt en machineleesbaar zoals bijvoorbeeld in een Excel-bestand. Daarnaast dient een Verantwoordelijke in het algemeen betrokkenen een directe mogelijkheid te bieden tot het downloaden van de persoonsgegevens. WP29 adviseert organisaties hiertoe een Application Programming Interface (API) in te stellen.

 

ICTRecht Academy

Onze privacytrainingen geven u een goede juridische voorbereiding om bijvoorbeeld taken als privacy officer uit te kunnen voeren en uw organisatie voor te bereiden op (naderende) privacywetgeving.
Terug naar overzicht