Recentelijk heeft de Raad van State een boete van €6.000 bevestigd, opgelegd door de Autoriteit Persoonsgegevens (AP) aan een recruitmentbedrijf, omdat het bedrijf drie verwijderingsverzoeken niet adequaat had behandeld. Wat speelde er en waar moet u rekening mee houden in het geval uw organisatie een verwijderingsverzoek krijgt? Hieronder leest u hier meer over.
Recht op gegevenswissing: basiskennis
Allereerst over het recht op gegevenswissing: als uw organisatie persoonsgegevens verwerkt en daarvoor verwerkingsverantwoordelijke is, kunt u te maken krijgen met betrokkenen die hun rechten onder de AVG willen uitoefenen. Deze betrokkenen kunnen bijvoorbeeld een verwijderingsverzoek doen op grond van het zogenaamde recht van vergetelheid (oftewel het recht van gegevenswissing). Dat recht hebben ze, maar dat betekent niet dat u ook daadwerkelijk altijd alle persoonsgegevens moet verwijderen. Het recht op verwijdering is namelijk beperkt en er zijn situaties denkbaar dat u er niet aan hoeft te voldoen. In onder andere de volgende situaties zou een verzoek tot gegevenswissing afgewezen kunnen worden:
Bij het verkrijgen van een gegrond verwijderingsverzoek, moeten de gegevens ‘zonder onredelijke vertraging’ gewist worden. Hieronder wordt verstaan dat de organisatie onverwijld, en in ieder geval binnen een maand na ontvangst van het verwijderingsverzoek reageert, met mogelijke verlenging in complexe gevallen (welke verlenging gemotiveerd moet worden).
Oordeel van de Raad van State
In 2020 heeft de AP heeft een bestuurlijke boete opgelegd aan het recruitmentbureau, omdat het tot driemaal toe niet had voldaan aan de eis om zonder onredelijke vertraging te handelen op het verzoek tot het wissen van persoonsgegevens. bij de Raad van State.
In hoger beroep werd geoordeeld dat de opgelegde boete rechtmatig is. Een vereiste voor het opleggen van een boete vanwege een inbreuk op de AVG is dat de verwerkingsverantwoordelijke deze inbreuk opzettelijk of uit nalatigheid heeft begaan. Van voornoemd vereiste is volgens de raad van state sprake aangezien er in drie afzonderlijke gevallen door medewerkers geen gevolg is gegeven aan de verzoeken tot verwijdering van persoonsgegevens. Daarnaast betreft het volgens de raad van state een ernstige overtreding, omdat het gaat om een groot bedrijf gaat dat gevoelige persoonsgegevens onder zich heeft. Bovendien werd het privacybeleid van het recruitmentbureau niet op juiste wijze nageleefd en was er geen sprake was van een incident, omdat het recruitmentbureau reeds eerder twee waarschuwingsbrieven van de AP had ontvangen. Na ontvangst van deze waarschuwingsbrieven heeft het recruitmentbureau de feitelijke uitvoering van haar werkprocessen niet verbeterd. Kortom, onder deze omstandigheden heeft de Autoriteit volgens de Raad van state mogen oordelen dat sprake was van een ernstige overtreding.
De boete behoeft daarnaast geen verdere matiging, omdat de AP al rekening had gehouden met het feit dat het recruitmentbureau een privacybeleid had en de boete daarnaast al veel lager is vastgesteld dan de basisboete die uit de Boetebeleidsregels volgt. Het privacybeleid was echter volgens de RvS niet op orde was, omdat het niet werd nageleefd. Zo zijn de instructies om een bevestiging te sturen (als antwoord op een verwijderingsverzoek) en de manager in te lichten niet uitgevoerd. Dat er hierbij geen sprake is geweest van opzet maakt het oordeel van de RvS niet anders.
Lessen voor de praktijk
Wat leert ons dit nu?Ondanks dat uw organisatie wellicht een goed privacybeleid kan hebben, kan er nog van alles misgaan als dit niet wordt nageleefd. U kunt dan zelfs boetes krijgen , Het is daarom van belang dat uw medewerkers altijd goed op de hoogte zijn van de instructies uit het privacybeleid en zodoende juist kunnen handelen bij het verkrijgen van bijvoorbeeld een verwijderingsverzoek. Neem gerust contact met ons op als u vragen heeft.
Lees hier de volledige uitspraak van de Raad van State.