31 jul. 2024

Negeren verzoek tot verwijdering persoonsgegevens, kan leiden tot een boete!

Recentelijk heeft de Raad van State een boete van €6.000 bevestigd, opgelegd door de Autoriteit Persoonsgegevens (AP) aan een recruitmentbedrijf, omdat het bedrijf drie verwijderingsverzoeken niet adequaat had behandeld. Wat speelde er en waar moet u rekening mee houden in het geval uw organisatie een verwijderingsverzoek krijgt? Hieronder leest u hier meer over.

Recht op gegevenswissing: basiskennis

Allereerst over het recht op gegevenswissing: als uw organisatie persoonsgegevens verwerkt en daarvoor verwerkingsverantwoordelijke is, kunt u te maken krijgen met betrokkenen die hun rechten onder de AVG willen uitoefenen. Deze betrokkenen kunnen bijvoorbeeld een verwijderingsverzoek doen op grond van het zogenaamde recht van vergetelheid (oftewel het recht van gegevenswissing). Dat recht hebben ze, maar dat betekent niet dat u ook daadwerkelijk altijd alle persoonsgegevens moet verwijderen. Het recht op verwijdering is namelijk beperkt en er zijn situaties denkbaar dat u er niet aan hoeft te voldoen. In onder andere de volgende situaties zou een verzoek tot gegevenswissing afgewezen kunnen worden:

  • De gegevens zijn noodzakelijk voor het uitoefenen van het recht op vrije meningsuiting en informatie,
  • er bestaat een wettelijke verplichting om de gegevens te bewaren,
  • de organisatie verwerkt de gegevens ter uitoefening van openbaar gezag of een wettelijk vastgelegde taak van algemeen belang,
  • de gegevens zijn essentieel voor een taak van algemeen belang op (bijvoorbeeld) het gebied van volksgezondheid of met oog op archivering,
  • de gegevens zijn noodzakelijk voor een rechtsvordering.

Bij het verkrijgen van een gegrond verwijderingsverzoek, moeten de gegevens ‘zonder onredelijke vertraging’ gewist worden. Hieronder wordt verstaan dat de organisatie onverwijld, en in ieder geval binnen een maand na ontvangst van het verwijderingsverzoek reageert, met mogelijke verlenging in complexe gevallen (welke verlenging gemotiveerd moet worden).

Oordeel van de Raad van State

In 2020 heeft de AP heeft een bestuurlijke boete opgelegd aan het recruitmentbureau, omdat het tot driemaal toe niet had voldaan aan de eis om zonder onredelijke vertraging te handelen op het verzoek tot het wissen van persoonsgegevens. bij de Raad van State.

In hoger beroep werd geoordeeld dat de opgelegde boete rechtmatig is. Een vereiste voor het opleggen van een boete vanwege een inbreuk op de AVG is dat de verwerkingsverantwoordelijke deze inbreuk opzettelijk of uit nalatigheid heeft begaan. Van voornoemd vereiste is volgens de raad van state sprake aangezien er in drie afzonderlijke gevallen door medewerkers geen gevolg is gegeven aan de verzoeken tot verwijdering van persoonsgegevens. Daarnaast betreft het volgens de raad van state een ernstige overtreding, omdat het gaat om een groot bedrijf gaat dat gevoelige persoonsgegevens onder zich heeft. Bovendien werd het privacybeleid van het recruitmentbureau niet op juiste wijze nageleefd en was er geen sprake was van een incident, omdat het recruitmentbureau reeds eerder twee waarschuwingsbrieven van de AP had ontvangen. Na ontvangst van deze waarschuwingsbrieven heeft het recruitmentbureau de feitelijke uitvoering van haar werkprocessen niet verbeterd. Kortom, onder deze omstandigheden heeft de Autoriteit volgens de Raad van state mogen oordelen dat sprake was van een ernstige overtreding.

De boete behoeft daarnaast geen verdere matiging, omdat de AP al rekening had gehouden met het feit dat het recruitmentbureau een privacybeleid had en de boete daarnaast al veel lager is vastgesteld dan de basisboete die uit de Boetebeleidsregels volgt. Het privacybeleid was echter volgens de RvS niet op orde was, omdat het niet werd nageleefd. Zo zijn de instructies om een bevestiging te sturen (als antwoord op een verwijderingsverzoek) en de manager in te lichten niet uitgevoerd. Dat er hierbij geen sprake is geweest van opzet maakt het oordeel van de RvS niet anders.

Lessen voor de praktijk

Wat leert ons dit nu?Ondanks dat uw organisatie wellicht een goed privacybeleid kan hebben, kan er nog van alles misgaan als dit niet wordt nageleefd. U kunt dan zelfs boetes krijgen , Het is daarom van belang dat uw medewerkers altijd goed op de hoogte zijn van de instructies uit het privacybeleid en zodoende juist kunnen handelen bij het verkrijgen van bijvoorbeeld een verwijderingsverzoek. Neem gerust contact met ons op als u vragen heeft.

 

Lees hier de volledige uitspraak van de Raad van State.

Mirjam 1

Meer weten over dit onderwerp of een andere vraag?

Wij plaatsen functionele en analytische cookies. Eventueel kunnen derde partijen tracking cookies plaatsen. U dient daar dan eerst mee akkoord te gaan. Lees meer in onze Privacyverklaring