GDPR: Recht van inzage - Nieuwe richtsnoeren van de European Data Protection Board

Onder de GDPR heeft elke betrokkene (sollicitanten, (ex-)werknemers, …) het recht om inzage te vragen in alle gegevens die de verwerkingsverantwoordelijke (werkgever) van hem of haar bijhoudt. Meer nog: de betrokkene mag zelfs een kopie vragen van al deze gegevens. Eind januari 2022 heeft de European Data Protection Board (EDPB) nieuwe richtsnoeren gepubliceerd over de draagwijdte van dit recht. Na afloop van de periode voor publieke consultatie worden de richtsnoeren definitief aangenomen.

Wat is het “recht van inzage”?

Het recht van inzage is opgenomen in artikel 15 van de GDPR. Het doel van dit recht is om personen voldoende, transparante en gemakkelijk toegankelijke informatie te verschaffen over de verwerking van hun persoonsgegevens, zodat zij de rechtmatigheid van de verwerking kunnen nagaan en de juistheid van de verwerkte gegevens kunnen controleren.

Het recht van inzage bevat drie componenten:

  • De bevestiging of er al dan niet persoonsgegevens van de betrokkene worden verwerkt;
  • Toegang tot deze persoonsgegevens; en
  • Toegang tot informatie over de verwerking, zoals het doel, de categorieën van gegevens en de ontvangers, de duur van de verwerking, de rechten van de betrokkene en de passende waarborgen in geval van doorgifte naar derde landen.

Wat zijn de formaliteiten voor een verzoek tot inzage?

Er gelden geen specifieke vorm- of inhoudelijke vereisten voor het verzoek en de betrokkene hoeft zijn verzoek ook niet te motiveren. De verzoeker moet evenmin uitdrukkelijk verwijzen naar het recht van inzage of de GDPR.

De verwerkingsverantwoordelijke moet zorgen voor passende en gebruiksvriendelijke communicatiekanalen die de betrokkene gemakkelijk kan gebruiken. De betrokkene is echter niet verplicht om deze specifieke kanalen te gebruiken en kan in de plaats daarvan zijn verzoek naar een officieel contactpunt van de onderneming sturen. De verwerkingsverantwoordelijke kan het verzoek enkel naast zich neerleggen indien dit is verstuurd aan een volstrekt willekeurig of kennelijk onjuist (e-mail)adres. Een verzoek kan m.a.w. niet worden genegeerd indien het niet is gericht aan de contactpersoon en/of het e-mailadres dat in de privacy policy van de onderneming is opgenomen. Indien de verwerkingsverantwoordelijke twijfelt aan de authenticiteit van (de indiener van) het verzoek kan hij bijkomende informatie vragen om de identiteit van de betrokkene te bevestigen.

Welke persoonsgegevens moeten verstrekt worden?

Het recht van inzage heeft een ruime draagwijdte: naast basispersoonsgegevens gaat het volgens de EDPB bv. ook om subjectieve nota’s tijdens een sollicitatie, historiek van surfgedrag, zoekactiviteiten, …

Tenzij uitdrukkelijk anders vermeld, moet het verzoek worden opgevat als betrekking hebbend op alle persoonsgegevens over de betrokkene, maar kan de verwerkingsverantwoordelijke de betrokkene wel vragen het verzoek te specificeren indien hij een grote hoeveelheid gegevens verwerkt. Dit geldt voor elk verzoek: wanneer een betrokkene meer dan éénmaal een verzoek indient, volstaat het dus niet om enkel inzage te verlenen in de veranderingen sinds het laatste verzoek.

Zelfs gegevens die mogelijk onjuist of onrechtmatig zijn verwerkt, moeten worden verstrekt. Gegevens die reeds zijn gewist, bijvoorbeeld overeenkomstig een retentiebeleid, en bijgevolg niet langer ter beschikking zijn van de verwerkingsverantwoordelijke, hoeven niet te worden verstrekt.

Concreet zal de verwerkingsverantwoordelijke in alle IT-systemen en andere archieven naar persoonsgegevens moeten zoeken op basis van zoekcriteria die de manier weerspiegelen waarop de informatie is gestructureerd, bijvoorbeeld naam en klant- of personeelsnummer.

Op welke manier moet geantwoord worden op het verzoek?

De belangrijkste manier om toegang te verlenen, is de betrokkene een kopie van zijn of haar gegevens te verstrekken, maar er kan worden voorzien in andere modaliteiten (zoals mondelinge informatie en toegang ter plaatse) indien de betrokkene daarom verzoekt. Het is aan de verwerkingsverantwoordelijke om te beslissen wat de meest geschikte vorm is om de gegevens te verstrekken: per post, per e-mail (mits alle nodige veiligheidswaarborgen zoals encryptie worden toegepast), per USB, …

De mededeling van gegevens en andere informatie over de verwerking moet in ieder geval worden verstrekt in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, door middel van duidelijke en eenvoudige taal. Wat de informatie over de verwerking betreft, volstaat het niet om de tekst van de privacy kennisgeving louter over te nemen in het antwoord aan de betrokkene, maar zal de tekst uit de privacy kennisgeving moeten worden geconcretiseerd naar de verwerkingsactiviteiten die relevant zijn voor de betrokkene (bv. wanneer de privacy kennisgeving in algemene termen vermeldt dat de persoonsgegevens van werknemers kunnen worden overdragen aan “hotels” voor zakenreizen, dan zal in het antwoord aan de betrokkene moeten worden gepreciseerd aan welke hotels de persoonsgegevens van die werknemer werden doorgegeven).

Binnen welke termijn moet geantwoord worden op het verzoek?

Aan het verzoek moet zo spoedig mogelijk en in elk geval binnen een maand na ontvangst van het verzoek gevolg worden gegeven (bv. een verzoek ontvangen op 5 maart moet ten laatste op 5 april beantwoord worden). Wanneer de laatste dag van de deadline valt in het weekend of op een feestdag, dan wordt de termijn verlengd tot de eerstvolgende werkdag. Indien het nodig is om de identiteit van de verzoeker te verifiëren (door bv. een kopie van de identiteitskaart op te vragen), dan begint de termijn pas te lopen vanaf het moment dat de verwerkingsverantwoordelijke de nodige zekerheid heeft verworven.

Deze termijn van een maand kan indien nodig met twee maanden worden verlengd, rekening houdend met de complexiteit van het verzoek en het aantal verzoeken. De betrokkene moet dan op de hoogte worden gebracht van de reden voor de vertraging. Deze uitzondering moet beperkt worden geïnterpreteerd aangezien volgens de EDPB de verwerkingsverantwoordelijke proactief systemen moet uitwerken om snel en accuraat te kunnen antwoorden op een verzoek tot uitoefening van het recht van inzage.

De verwerkingsverantwoordelijke moet de nodige maatregelen treffen om de verzoeken zo spoedig mogelijk te behandelen. Wanneer een grote hoeveelheid gegevens wordt verwerkt, zal de verwerkingsverantwoordelijke dan ook mechanismen moeten inbouwen die zijn aangepast aan de complexiteit van de verwerking. Het loutere feit dat een onderneming groot is en veel verzoeken ontvangt, mag volgens de EDPB immers niet automatisch leiden tot een verlenging van de termijn.

Kan inzage om bepaalde redenen geweigerd worden?

De GDPR staat bepaalde beperkingen van het recht van inzage toe:

  • Het recht van inzage mag geen afbreuk doen aan de rechten en vrijheden van anderen. Volgens de EDPB mag dit er echter niet toe leiden dat het verzoek tot inzage volledig wordt afgewezen: het zou er alleen toe kunnen leiden dat delen die negatieve gevolgen kunnen hebben voor de rechten en vrijheden van anderen ofwel worden weggelaten ofwel onleesbaar worden gemaakt;
  • Verzoeken die kennelijk ongegrond of buitensporig zijn, kunnen worden afgewezen of kunnen verantwoorden dat er een redelijke vergoeding gevraagd wordt ter dekking van de administratieve kosten. Deze begrippen moeten echter eng worden geïnterpreteerd volgens de EDPB, waardoor de mogelijkheden om een verzoek als kennelijk ongegrond of buitensporig te beschouwen vrij beperkt zijn.

Actiepunt

Zorg ervoor dat u duidelijke interne procedures binnen uw onderneming klaar heeft die u in staat stellen om tijdig en accuraat op een verzoek tot inzage van betrokkenen zoals (ex-)werknemers en klanten te reageren.