AP legt boete op wegens kosten bij inzage persoonsgegevens
07-07-2020
De Autoriteit Persoonsgegevens ('AP') heeft een bestuurlijke boete opgelegd van €830.000,- aan het Bureau Krediet Registratie ('BKR'), wegens de beperkte mogelijkheid tot inzage van persoonsgegevens. Betrokkenen konden slechts eenmaal per jaar (per post) zonder kosten hun persoonsgegevens inzien en er werd een vergoeding gerekend als betrokkenen hun persoonsgegevens digitaal wilden inzien. Dit is volgens de AP in strijd met de AVG. Het volledige boetebesluit kunt u hier lezen.
Artikel 12 lid 5 AVG bepaalt dat betrokkenen in beginsel recht hebben om van de verwerkingsverantwoordelijke kosteloos inzicht te verkrijgen in de hem betreffende persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke: a) een redelijke vergoeding aanrekenen; of b) weigeren gevolg te geven aan het verzoek. Verzoeken van betrokkenen die via elektronische wijze zijn ingediend dienen op basis van artikel 15 lid 3 AVG in een gangbare elektronische vorm beantwoord te worden, tenzij de betrokkene om een andere regeling verzoekt. In het kader van het transparantiebeginsel moet de verwerkingsverantwoordelijke op grond van artikel 12 lid 2 AVG de uitoefening van de rechten van betrokkenen faciliteren.
Artikel 12 lid 5 AVG is door het BKR geschonden, omdat zij niet kosteloos op elektronische wijze inzage in persoonsgegevens heeft geboden aan betrokkenen, wanneer zij daar via elektronische wijze om verzochten, aldus de AP. Artikel 12 lid 2 AVG is volgens de AP geschonden, doordat het BKR slechts éénmaal per jaar de mogelijkheid bood om persoonsgegevens in te zien. Het recht op inzage is hiermee niet voldoende gefaciliteerd. De AP stelt dat betrokkenen door dit beleid op voorhand namelijk worden ontmoedigd om het recht op inzage uit te oefenen.
De AP heeft een opmerkelijke constructie toegepast met betrekking tot de hoogte van de boete. Gelet op de ernst van de overtredingen heeft zij de basisboetes, zoals neergelegd in de boetebeleidsregels, met grofweg 20% verhoogd. Vervolgens heeft zij de boete onder de streep weer met 20% verlaagd, om op een boetebedrag van totaal €830.000,- te komen. De AP vond het namelijk niet evenredig om de boetes te cumuleren, terwijl beide overtredingen op dezelfde norm zien, namelijk transparantie voor betrokkenen.
Ten slotte
Het verdient de aanbeveling om uw interne en externe privacybeleid betreffende inzageverzoeken te beoordelen en ervoor te zorgen dat de processen zo zijn ingeregeld dat kosteloos aan verzoeken van betrokkenen kan worden voldaan, tenzij deze kennelijk ongegrond of buitensporig zijn. Vergeet daarbij ook niet de overige verzoeken die betrokkenen kunnen doen onder de AVG, zoals het recht op verwijdering, rectificatie en aanvulling, dataportabiliteit, dataminimalisatie en het recht tot bezwaar.
Indien u vragen heeft over uw privacybeleid kunt u altijd contact met ons opnemen.
Dit is een Legal Update van team Information Technology & Privacy.
