Geheimhouding van gegevens / persoonsgegevens

volgens art. 15 DSGVO

Advocatenkantoor voor IT-recht en gegevensbescherming in Kerpen, Keulen en Witten

IT-recht en gegevensbeschermingsrecht | Sterke partner voor werknemers en werkgevers

Geheimhouding van gegevens en persoonsgegevens

Advocatenkantoor voor IT-recht en gegevensbescherming in Kerpen, Keulen en Witten

Advocaat voor - Arbeidsrecht | Strafrecht | IT Recht | Gegevensbescherming

Het algemene gegevensgeheim is verankerd in de federale wet op de gegevensbescherming en is samen met de algemene verordening gegevensbescherming van toepassing. In het kader van het gebruik van persoonsgegevens is het verzamelen en gebruiken van dergelijke gegevens alleen toegestaan indien de federale wet op de gegevensbescherming of andere rechtsnormen dit uitdrukkelijk toestaan of voorschrijven, of indien de betrokkene met het gebruik heeft ingestemd. 

Aangezien het gebruik onder de premisse van toestemming valt, mogen personen de gegevens niet zonder toestemming verzamelen, achteraf verwerken of gebruiken en verspreiden. In het kader van een arbeidsverhouding en een activiteit waarbij de gegevens worden gebruikt, bestaat er ook een verbod als men niet meer voor de werkgever werkt en zijn activiteit niet meer uitoefent. Een voorbeeld hiervan is een activiteit in het kader van een personeelsfunctie.

Daarom moet een onderscheid worden gemaakt tussen richtsnoeren inzake gegevensbescherming, wetten inzake gegevensbescherming en verordeningen inzake gegevensbescherming. Een gegevensbeschermingsrichtlijn geeft een bepaalde richting aan, die op nationaal niveau leidt tot een gegevensbeschermingswet zoals de BDSG (federale gegevensbeschermingswet). De wetgeving inzake gegevensbescherming verschilt dus van land tot land en kan altijd enigszins anders zijn. In het kader van de regelgeving inzake gegevensbescherming zijn deze echter op internationaal niveau even bindend voor alle Europese landen of EU-lidstaten en dus verplicht deze verordening na te leven.

Sinds 2018 bestaat de Duitse federale wet op de gegevensbescherming (Bundesdatenschutzgesetz) in haar vorm, die in het kader van de Algemene Verordening Gegevensbescherming (GDPR) tot stand is gekomen en deze Europese verordening verder invult. Zo werden er expliciete voorschriften geformuleerd en speciale bepalingen voor Duitsland opgesteld. Zo regelt de federale wet op de gegevensbescherming de inhoud die de GDPR (basisverordening gegevensbescherming) dit niet beschrijft of openlaat. Er zijn echter ook expliciete wetten inzake gegevensbescherming op deelstaatniveau, zoals de DSG NRW (wet op de gegevensbescherming in NRW).

Het staat buiten kijf dat de overweging van de GDPR (Algemene Verordening Gegevensbescherming) is nog steeds spannend omdat het u het persoonlijke recht geeft om informatie over uw persoonsgegevens op te vragen bij de instanties die deze verwerken.

Het recht op informatie volgens art. 15 DSGVO

Informatie volgens art. 15 DSGVO

De Artikel 15 van de algemene verordening gegevensbescherming garandeert elk individu een belangrijk recht. Volgens dit artikel hebben betrokkenen het recht om van een bedrijf of instantie te verlangen welke gegevens over hen worden opgeslagen of verwerkt. In de meeste gevallen krijgt de betrokkene ook informatie over het doel van de verwerking, de herkomst van de gegevens of de ontvanger van de gegevens. 

Het recht op informatie bestaat ten aanzien van overheidsinstanties zoals overheden en alle andere instanties zoals bedrijven, verenigingen of zelfs clubs. Het doel van deze informatie is een algemeen overzicht te krijgen en een zekere mate van controle over welke gegevens precies worden verwerkt en opgeslagen.

Wat houdt het recht op informatie in?

Inhoud van het recht op informatie

Artikel 15 van de GDPR schept een basis voor u om specifieke rechten te doen gelden, zoals het recht op rectificatie, verwijdering, beperking van de verwerking of het recht op herroeping. U hebt dus de mogelijkheid om van de verantwoordelijke voor de verzameling en verwerking te vernemen of deze persoon gegevens verwerkt en zo ja, welke. Het gaat om gegevens die betrekking hebben op de persoon. In artikel 4, lid 1, nr. 1, van de Wet op de gegevensbescherming wordt dit nader toegelicht. GDPR.

Definities
"persoonsgegevens": alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (hierna "betrokkene" genoemd); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;".

Het begrip gegevens wordt dus verruimd en verwijst niet alleen naar de basisgegevens van de persoon, zoals naam, adres of geboortedatum. Ook gegevens zoals reeds beëindigde communicatie of notities en documenten worden aangetast. Het verzoek om informatie is in principe gratis voor u. De uitzondering hierop is als het verzoek duidelijk ongegrond is of als er een buitensporige opeenstapeling van verzoeken is. In dat geval kan voor de informatie een vergoeding worden gevraagd.

Het recht op correctie

Recht op correctie

Het recht op rectificatie vloeit voort uit artikel 16 van het EG-Verdrag. GDPR hoogtepunt. Als u merkt dat uw persoonsgegevens onjuist zijn, hebt u het recht te eisen dat de verwerker uw gegevens onmiddellijk corrigeert. Dit moet "onverwijld" gebeuren, d.w.z. zonder verwijtbare aarzeling.

Recht op correctie
"De betrokkene heeft het recht om van de voor de verwerking verantwoordelijke onverwijld rectificatie van hem betreffende onjuiste gegevens te verkrijgen. Rekening houdend met de doeleinden van de verwerking heeft de betrokkene het recht aanvulling van onvolledige persoonsgegevens te verkrijgen, onder meer door middel van een aanvullende verklaring."

Het recht op wissen en beperking van de verwerking

Verwijdering en beperking van de verwerking

Gegevensgeheim, persoonsgegevens, art. 15 DSGVO, Basisverordening gegevensbescherming, Gegevensverordening, Advocaat IT-recht, Advocaat IT-recht, Advocaat gegevensbescherming, Advocaat gegevensbeschermingsrecht, Advocaat gegevensbeschermingsrecht.

U hebt ook het recht op wissing of beperking van de verwerking ten opzichte van de instantie. U hebt het recht op wissing en beperking in het bijzonder wanneer de verwerking van uw gegevens niet langer noodzakelijk is of de verzameling ervan niet rechtmatig was, u een herroeping tegen de verwerking hebt geschreven of bezwaar hebt gemaakt tegen de verwerking. Daarnaast heeft u het recht als het wissen noodzakelijk is vanwege wettelijke redenen of ook als bijvoorbeeld een jongere zich heeft aangemeld bij een sociaal netwerk. Alle gronden voor wissen zijn te vinden in artikel 17 van de GDPR.

Als uitzondering op bovengenoemd recht moet worden vermeld dat wissen of beperken niet plaatsvindt als de verwerking van de gegevens een publieke taak of het algemeen belang dient. Een andere uitzondering is wanneer de verwerking van de gegevens noodzakelijk is voor onderzoek, wetenschap of statistiek. Als voorbeeld voor statistieken en de woonsituatie in Duitsland kan zeer actueel de "Census 2022" worden genoemd. Deelname hieraan is verplicht en niet-naleving van de kennisgeving kan worden bestraft met maximaal 5.000,00 euro. In het meest extreme geval kan het afstaan van gegevens zelfs worden afgedwongen.

Om de veiligheid van de gegevens te garanderen zijn alle medewerkers van de enquêtebureaus onderworpen aan het beroepsgeheim en is de online gegevensverzameling gecodeerd. De gegevens worden evenmin aan derden doorgegeven.

Indien u overeenkomstig §15 DSGVO informatie wenst te verkrijgen van een instantie, dan moet u over het volgende worden geïnformeerd.

Het gewenste recht op informatie heeft de volgende inhoud

Inhoud van het recht op informatie

  • Doel van de verwerking
    • dit is het doel dat de instantie met de gegevensverwerking nastreeft. Dit moet duidelijk en specifiek worden vermeld.
  • Voornemen van de overdracht, samen met de ontvangers en de categorieën ontvangers
    • de entiteit moet verplicht openbaar maken of zij voornemens is uw persoonsgegevens aan een derde entiteit te verstrekken.
  • Opslagperiode en opslaginformatie
  • Kennisgeving van uw rechten
    • de instantie moet u informeren over uw andere rechten. Dit zijn de aangewezen rechten van rectificatie, wissing of bezwaar of intrekking van toestemming.
  • Verwijzing naar automatische besluitvorming
    • het automatische besluitvormingsproces duidt bijvoorbeeld op profilering.
  • Uw persoonlijke gegevens
    • U hebt ook recht op een (elektronische) kopie van de persoonsgegevens.
  • Categorieën verwerkte gegevens
  • Bron van de dataset

Het gewenste recht op informatie heeft niet de volgende inhoud

Ontbrekende inhoud van het recht op informatie

  • Contactgegevens van de verantwoordelijke voor de verwerking en zijn functionaris voor gegevensbescherming
  • Rechtsgrondslag van de verwerking
    • Denkbare rechtsgrondslagen zijn hier de GDPR of de BDSG.
  • Nagestreefde belangen van de verantwoordelijke persoon
    • Dit verwijst naar de belangen voor de gegevensverwerking.
  • Bedoeling van de verandering van doel
  • De verwerkingsplicht

Grenzen van de informatie

Grenzen van de informatie

Het recht op informatie overeenkomstig artikel 15 GDPR wordt uitdrukkelijk niet onbeperkt toegekend. De grenzen van de toegang zijn in de eerste plaats de rechten en vrijheden van andere personen. Eenvoudiger gezegd gaat het om persoonsgegevens van derden of handels- en bedrijfsgeheimen. De persoon die de informatie verstrekt, mag niet altijd en volledig weigeren de informatie te verstrekken. Logischerwijs heeft hij altijd de mogelijkheid om de gegevens van derden of geheimen zwart te maken om hun identiteit voldoende te beschermen. Verdere beperkingen kunnen voortvloeien uit de federale wet op de gegevensbescherming of uit het Sociaal Wetboek X. 

Een voorbeeld hiervan is de bescherming van de openbare veiligheid. Dit betekent op zijn beurt de bescherming van de geschreven rechtsorde, de staat en zijn instellingen, of de individuele rechtsbelangen van de burgers.

Voorts bestaat er een verplichting om persoonsgegevens te bewaren indien deze bijvoorbeeld worden gebruikt op basis van fiscale of handelsrechtelijke voorschriften. In de regel bestaat er geen recht op informatie indien dit gepaard gaat met een onevenredig grote inspanning en de persoon die de informatie verstrekt de doelbinding van de beveiliging van de gegevens door passende technische of organisatorische maatregelen kan waarborgen. Meer details over de beperking van het recht op informatie zijn geregeld in artikel 34 BDSG. 

Het recht op informatie bestaat niet indien de betrokkene niet hoeft te worden geïnformeerd of indien de gegevens op grond van wettelijke voorschriften niet mogen worden gewist, of indien zij uitsluitend worden gebruikt met het oog op de beveiliging van de gegevens of de controle op de gegevensbescherming. Beide varianten moeten een onevenredig grote inspanning vergen om het verzoek te kunnen afwijzen.

Hoe kom ik aan mijn informatie?

De informatie ontvangen

Het verzoek zelf, met inbegrip van het recht op informatie, kan in een informeel verzoek worden gedaan en bij het bevoegde bureau worden ingediend zonder dat een motivering nodig is. Als u het kantoor persoonlijk bezoekt of telefonisch om informatie vraagt, zal dit meestal niet worden toegestaan of mogelijk zijn. In het geval van een telefonisch onderzoek kan meestal niet worden gegarandeerd dat de identificatie van de rechthebbende slaagt. Dit vloeit voort uit het beginsel dat de instantie die de persoonsgegevens verwerkt, ervoor moet zorgen dat de gegevens niet aan onbevoegde derden worden verstrekt. 

Het verzoek aan het orgaan moet dus altijd schriftelijk of via beveiligde elektronische middelen, zoals DE-Mail, worden ingediend. Indien de instantie objectief gezien redelijke twijfel heeft over de identiteit, kan zij aanvullende informatie vragen om de identiteit te bevestigen. Dit volgt uit artikel 12, lid 6, van de GDPR.

Rechtmatigheid van de verwerking
"Onverminderd artikel 11 kan de voor de verwerking verantwoordelijke, wanneer hij redelijke twijfels heeft over de identiteit van de natuurlijke persoon die het verzoek krachtens de artikelen 15 tot en met 21 indient, om aanvullende informatie verzoeken die nodig is om de identiteit van de betrokkene te bevestigen."

Het is bijvoorbeeld niet ongebruikelijk dat het aangezochte bureau om een kopie van de identiteitskaart vraagt om een dergelijke bevestiging te kunnen maken. Zo zorgt de aanvrager er tenminste voor dat naam, adres en geboortedatum kunnen worden gecontroleerd. U hoeft uw foto, nationaliteit of identiteitskaartnummer niet bekend te maken. Deze gegevens kunnen worden bewerkt als de identiteitskaart wordt opgevraagd. Het bureau moet ervoor zorgen dat de gegevens van het identiteitsbewijs alleen worden gebruikt om de identiteit te controleren en niet worden opgenomen in de databank van het bureau. Bij het indienen van een aanvraag is het daarom bijzonder raadzaam dat u precies omschrijft welke informatie u wilt ontvangen en waarover. Hierdoor kan informatie sneller en vooral gerichter worden verkregen.

Wat als de informatie uiteindelijk wordt geweigerd?

Weigering om informatie te verstrekken

Zelden, maar niettemin denkbaar, is de definitieve weigering van informatie aan de natuurlijke persoon. In deze gevallen staat het u vrij een klacht in te dienen bij de bevoegde toezichthoudende autoriteit voor gegevensbescherming. Het is belangrijk dat u de correspondentie die u tot dan toe met de autoriteit hebt gehad, bij uw klacht voegt. Daarom is het belangrijk dat u deze correspondentie bewaart. Ook om die reden is het altijd raadzaam geen telefonische of persoonlijke inlichtingen bij de instantie in te winnen. De bevoegde toezichthoudende autoriteit, bijvoorbeeld voor de deelstaat NRW, is de LDI (staatscommissaris voor gegevensbescherming en vrijheid van informatie).

Veelgemaakte fouten door organen in het kader van een verzoek om informatie op grond van artikel 15 GDPR zijn dat het verzoek om informatie gewoon wordt genegeerd, dat het antwoord alleen betrekking heeft op de stamgegevens, dat het verzoek niet wordt doorgestuurd binnen het orgaan of dat de informatie niet tijdig wordt verstrekt.

Procedure voor het aanvragen van informatie

Procedure voor het aanvragen van informatie

Gegevensgeheim, persoonsgegevens, art. 15 DSGVO, Basisverordening gegevensbescherming, Gegevensverordening, Advocaat IT-recht, Advocaat IT-recht, Advocaat gegevensbescherming, Advocaat gegevensbeschermingsrecht, Advocaat gegevensbeschermingsrecht.

Indien informatie wordt gevraagd uit hoofde van artikel 15 GDPR wordt gevraagd, dan kan de reguliere procedure in verschillende fasen worden verdeeld. In fase 1 wordt het verzoek om informatie naar het aangewezen bureau gestuurd. Binnen het kantoor wordt het verzoek doorgestuurd naar de verantwoordelijke medewerker. Fase 2 gaat meestal over het controleren van de identiteit van de aanvrager. Fase 3 is de verwerkingsfase, waarin alle informatie van de persoonsgegevens wordt verzameld. Fase 4 is de reactie, meestal binnen een maand. In fase 5 wordt de procedure afgerond en is een documentatie met bepaling en bewaartermijn het gevolg.

Informatie via juridisch adviseur

De bijstand van een advocaat

Volgens artikel 15 van de GDPR is een verzoek om informatie altijd iets waarvan alleen de betrokkenen gebruik kunnen maken. Dit is een persoonlijke claim. Er is echter niets tegen vertegenwoordiging, bijvoorbeeld door een vertrouwde advocaat. Aangezien het om persoonsgegevens gaat, moet de betrokken advocaat altijd een volmacht verkrijgen en deze aan de autoriteit voorleggen. Het gaat dus om de specifieke legitimatie van de vertegenwoordiger ten opzichte van het agentschap. 

Een aan de advocaat verleende volmacht moet derhalve specifiek verwijzen naar het gewenste recht op informatie uit hoofde van artikel 15 GDPR verwijzen naar. Het resultaat van de informatie wordt vervolgens ook doorgegeven aan de advocaat. Aangezien er geen eisen worden gesteld aan de volmacht zelf, kan deze schriftelijk, elektronisch of mondeling worden afgegeven. Om ervoor te zorgen dat het verzoek om informatie succesvol is, zal de bevoegde autoriteit altijd de nodige volmacht vragen aan de persoon die om informatie verzoekt. Dit mag er echter niet toe leiden dat het verzoek voor de betrokkene moeilijker wordt zodra hij of zij het niet zelf wil doen gelden.

Vordering tot schadevergoeding en vergoeding van pijn en lijden

Schadevergoeding en smartengeld

De GDPR bepaalt ook dat de informatie, zoals de correctie en de verwijdering van de gegevens, onverwijld moet worden verstrekt. Het moet echter uiterlijk binnen een maand gebeuren. Indien dit niet het geval is, kunnen vorderingen tot vergoeding van pijn en lijden of schade ontstaan. Dit wordt vergelijkenderwijs geregeld in artikel 12, lid 3, van de GDPR.

Transparante informatie [...] van de betrokkene
"De voor de verwerking verantwoordelijke verstrekt de betrokkene op verzoek informatie over de overeenkomstig de artikelen 15 tot en met 22 genomen maatregelen onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek. Deze termijn kan zo nodig met twee maanden worden verlengd, rekening houdend met de complexiteit en het aantal verzoeken. De voor de verwerking verantwoordelijke stelt de betrokkene binnen een maand na ontvangst van het verzoek in kennis van elke verlenging van de termijn en van de redenen daarvoor. Indien de betrokkene het verzoek langs elektronische weg doet, wordt hij of zij voor zover mogelijk langs elektronische weg geïnformeerd, tenzij hij of zij anders aangeeft."

Indien de bevoegde instantie deze verplichting schendt, vormt dit een inbreuk op de wet, die volgens de bepalingen van de GDPR kan leiden tot een boete tegen de instantie en een vordering tot schadevergoeding of vergoeding van smartengeld (immateriële schade) tegen de betrokkene. Dit volgt uit artikel 82 van de GDPR.

Aansprakelijkheid en recht op schadevergoeding
"Eenieder die als gevolg van een inbreuk op deze verordening materiële of immateriële schade heeft geleden, heeft recht op schadevergoeding door de voor de verwerking verantwoordelijke of de verwerker".

Beslissing van het Arbeitsgericht Düsseldorf

Besluit ArbG Düsseldorf

Het Arbeitsgericht Düsseldorf heeft reeds geoordeeld dat er een vordering tot schadevergoeding bestaat wegens het niet of onvoldoende verstrekken van informatie overeenkomstig artikel 15 van de GDPR. Er is vastgesteld dat wegens een vertraging van twee maanden een bedrag van 500,00 euro aan schadevergoeding passend is. Voor nog eens drie maanden vertraging bedroeg de smartengeldvergoeding 1.000,00 euro elk, en voor onvoldoende inhoudelijke informatie in twee gevallen nog eens 500,00 euro elk. Verweerder moest de betrokkene dus 5.000,00 euro betalen. Te lezen onder: ArbG Düsseldorf, ZD 2020.649.

Definitieve

Samenvattend kan worden gezegd dat met betrekking tot de in het kader van de algemene verordening gegevensbescherming (GDPR) gevraagde informatie altijd juridisch advies wordt aanbevolen als de informatie helemaal niet, te laat of onvoldoende is verstrekt. 

Bovendien is het in bijzonder complexe gevallen raadzaam rechtstreeks een advocaat te raadplegen zodat deze het verzoek om informatie overeenkomstig artikel 15 GDPR kan indienen. De mogelijkheid bestaat dat, zoals hierboven reeds vermeld, vorderingen tot schadevergoeding of vergoeding van pijn en lijden ontstaan, die door een advocaat via een gerechtelijke procedure kunnen worden geldend gemaakt. Dit garandeert ook dat de bevoegde autoriteit in de toekomst correct met uw persoonsgegevens zal omgaan.

Wij zijn graag de juiste contactpersoon voor u en zorgen voor de bescherming van uw persoonsgegevens.

Hebt u een advocaat in IT-recht of gegevensbeschermingsrecht nodig?

Neem dan contact met ons op

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Advocatenkantoor voor IT-recht en gegevensbescherming in Kerpen, Keulen en Witten

Advocaat voor - Arbeidsrecht | Strafrecht | IT Recht | Gegevensbescherming