Wat u moet weten.

Verwerkt u als onderneming persoonsgegevens (voor meer informatie over het begrip ‘persoonsgegevens’, zie GDPR toolkit - persoonsgegevens)? Dan kan u zich maar beter voorbereiden op een verzoek tot inzage van een betrokkene. Immers, van zodra uw onderneming persoonsgegevens verwerkt, is de GDPR van toepassing en heeft de betrokkene overeenkomstig artikel 15 GDPR het recht om zijn of haar persoonsgegevens in te kijken. Het recht op inzage betekent concreet dat de betrokkene uw onderneming kan vragen (i) of er al dan niet persoonsgegevens van hem of haar worden verwerkt, (ii) om een kopie te verkrijgen van die persoonsgegevens en (iii) om informatie te verkrijgen over de verwerking ervan.

Kan u zich als onderneming beroepen op enige uitzondering onder de GDPR? Het uitgangspunt is dat u als onderneming een verzoek tot inzage niet kan weigeren. Het Hof van Justitie oordeelde reeds dat een betrokkene het recht heeft om zijn of haar schriftelijke examenantwoorden en de opmerkingen van de examinator hierbij in te kijken, omdat dit persoonsgegevens zijn. Het Italiaanse Hof van Cassatie oordeelde reeds dat een werknemer inzage moest verkrijgen in de evaluatiedocumenten die zijn werkgever over hem bijhield. De onderliggende motieven voor het verzoek zijn daarbij overigens niet relevant. In de praktijk is het dus mogelijk dat de betrokkene de informatie vervolgens gebruikt (in een procedure) tegen uw onderneming. Hoewel u een verzoek tot inzage dus niet kan weigeren, bepaalt artikel 15.4 GDPR uitdrukkelijk dat het recht op inzage geen afbreuk mag doen aan de rechten en vrijheden van derden, waaronder het zakengeheim en intellectuele eigendomsrechten. In de praktijk zal u deze informatie over derden moeten verwijderen of anonimiseren.

Vandaag lijkt aanvaard te worden dat dit recht op inzage niet automatisch een recht behelst op een kopie van het document waarin de persoonsgegevens zijn vervat en in elk geval geen recht inhoudt op toegang tot de datasystemen. Als onderneming bent u wel minstens verplicht om de betrokkene een overzicht van de verwerkte persoonsgegevens in een begrijpelijke vorm te bezorgen. Dit overzicht zal volstaan indien het de betrokkene in staat stelt om kennis te nemen van de persoonsgegevens en te controleren of deze juist zijn en verwerkt worden in overeenstemming met de GDPR.

Een verzoek tot inzage moet binnen één maand beantwoord worden. Deze termijn begint te lopen van zodra het verzoek voldoende duidelijk is (wie dient het verzoek in? wat vraagt men?). Ook de laattijdige reactie op een verzoek vormt een overtreding van de GDPR en kan bestraft worden.

Wat u moet doen.

Als onderneming moet u in de eerste plaats voorbereid zijn op een verzoek tot inzage. Het is daarom aangewezen om hiervoor een procedure uit te werken, bijvoorbeeld een intern stappenplan, standaarde-mails, en een interne verantwoordelijke aan te duiden voor het beantwoorden van deze verzoeken. Verder is het aan te raden om uw medewerkers, in het bijzonder HR en zij die nauw contact hebben met klanten, duidelijke instructies te geven over hoe ze moeten omgaan met de verwerking van persoonsgegevens en in het bijzonder over het nemen van notities.

Op het ogenblik dat u een verzoek tot inzage van een betrokkene ontvangt, is het belangrijk dat u de identiteit van de betrokkene verifieert, bijvoorbeeld aan de hand van een e-mailadres, klantennummer, een kopie van de voorkant van de ID kaart of tweefactor authenticatie via gsm. Indien u informatie over de betrokkene meedeelt aan een verkeerde persoon is er sprake van een datalek.

Van zodra u zekerheid heeft over de identiteit van de betrokkene moet u nagaan of uw onderneming persoonsgegevens over de betrokkene verwerkt. U mag de betrokkene wel steeds vragen om zijn of haar verzoek te specifiëren indien uw onderneming een grote hoeveelheid persoonsgegevens verwerkt. Indien uw onderneming geen persoonsgegevens over de betrokkene verwerkt, kan u ermee volstaan om dit zo mee te delen aan de betrokkene. Indien uw onderneming weldegelijk persoonsgegevens verwerkt over de betrokkene zal u minstens een overzicht van de verwerkte persoonsgegevens in begrijpelijke vorm moeten meedelen. Hierbij zal u dus de informatie over derden moeten verwijderen of anonimiseren alvorens het recht op inzage toe te kennen. Daarnaast zal u overeenkomstig artikel 15.1 GDPR bepaalde informatie moeten meedelen die ook moet worden opgenomen in een privacyverklaring, maar dan concreet toegepast op de betrokkene zelf. Het feit dat u de betrokkene reeds eerder een privacyverklaring bezorgde, ontslaat uw onderneming niet van deze bijkomende informatieverplichting.

De procedure moet u in staat stellen het verzoek tot inzage binnen één maand te beantwoorden. Houd daarbij ook rekening met het feit dat betrokkenen niet altijd de standaardprocedure zullen gebruiken zoals voorzien in de privacyverklaring maar bijvoorbeeld hun vaste contactpersoon bij uw onderneming zullen contacteren. Informeer uw medewerkers dus over de interne verantwoordelijke voor dergelijke verzoeken en voorzie de nodige back-ups bij langdurige afwezigheden.