Uitleg bij artikel 12 AVG
Artikel 12 geeft algemene regels over hoe de verantwoordelijke met het datasubject dient te communiceren, zoals dat dit op een transparante en heldere wijze dient te geschieden. Het gaat dan in ieder geval om de communicatie die geschiedt als het datasubject één van zijn rechten inroept, zoals het recht op informatie en inzage (artikel 15 AVG), het recht op rectificatie (artikel 16 AVG), het recht om vergeten te worden (artikel 17 AVG), het recht op beperking (artikel 18 AVG), het recht op kennisgeving (artikel 19 AVG), het recht op dataportabiliteit (artikel 20 AVG), recht op bezwaar (artikel 21 AVG) en het verbod op automatische besluitvorming (artikel 22 AVG). In leden 1, 5 en 7 van artikel 12 gaat het ook om de plicht van de verantwoordelijke om op eigen initiatief informatie te verstrekken aan het datasubject over het feit dat er informatie over hem wordt verzameld (artikel 13 en 14 AVG) worden verkregen. In leden 1 en 5 wordt ook verwezen naar de plicht van de verantwoordelijke om bij een ontstaan datalek daarvan het datasubject op de hoogte te stellen (artikel 34 AVG). De AVG moedigt daarnaast ook algemene informatieverstrekking toe, aan het algemene publiek gericht, via een openbare website. Dergelijke vorm van informatievoorziening is met name op zijn plaats bij situaties
waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties (overweging 58).
Lid 1 geeft aan dat de communicatie tussen de verantwoordelijke en het datasubject, of het initiatief daartoe nu ligt bij het datasubject of bij de verantwoordelijke, helder, begrijpelijk en beknopt dient te zijn. Als het datasubject een kind is moet daar in de taal en de informatieverstrekking rekening mee worden gehouden. Dergelijke communicatie dient in principe schriftelijk te gebeuren, tenzij het datasubject verzoekt om mondelinge communicatie. Dan moet wel de identiteit van het datasubject worden vastgesteld - dit om te voorkomen dat iemand zich bijvoorbeeld telefonisch valselijk voordoet als een bepaald persoon, om zo informatie te verkrijgen of inzage in persoonsgegevens (zie ook lid 6 van artikel 12 AVG). Schriftelijke communicatie heeft de voorkeur omdat dan achteraf makkelijker is te achterhalen en te bewijzen wat er precies is gecommuniceerd en omdat de meeste datasubjecten hier de voorkeur aan geven. Ook kan er elektronisch worden gecommuniceerd, zoals via e-mail.
Lid 2 stelt dat de verantwoordelijke de plicht heeft om het datasubject te faciliteren met betrekking tot het inroepen van zijn rechten (artikel 15-22 AVG). Zo dient de verantwoordelijke het niet nodeloos ingewikkeld te maken om rechten in te roepen; bij voorkeur maakt hij bijvoorbeeld op zijn website een eenvoudige mogelijkheid om een verzoek in te dienen, waarin het datasubject kan kiezen welke van de rechten uit artikel 15-22 AVG hij wil inroepen, of zelfs een portaal te maken waar het datasubject zelf toegang heeft tot de over hem verwerkte persoonsgegevens en daaraan veranderingen kan aanbrengen (overweging 59). Ook hierbij geldt weer dat de verantwoordelijke het datasubject wel moet kunnen identificeren. Is dat niet mogelijk, dan hoeft de verantwoordelijke geen gevolg te geven aan het verzoek (artikel 11 lid 2 AVG), tenzij het datasubject aanvullende informatie geeft waardoor identificatie mogelijk is (zie ook lid 6 van artikel 12 AVG).
Lid 3 geeft termijnen voor communicatie met het datasubject in het geval hij een beroep doet op een van zijn rechten uit artikel 15-22 AVG. Dergelijke termijnen staan al vervat in de artikelen die zien op de communicatie waartoe de verantwoordelijke het initiatief dient te nemen (artikel 13, 14 en 24). Uitgangspunt is dat als een datasubject een beroep heeft gedaan op een van zijn rechten, de verantwoordelijke uiterlijk na een maand reageert. Dat kan zijn met een toekenning van het verzoek, een afwijzing van het verzoek of de mededeling dat de verantwoordelijke langer de tijd nodig heeft om te kunnen reageren. De verantwoordelijke kan de termijn van een maand uiterlijk met nog eens 2 maanden verlengen, wat betekent dat in ieder geval binnen 3 maanden nadat het datasubject een beroep heeft gedaan op één van zijn rechten er een beslissing moet zijn. Op een dergelijke verlenging kan de verantwoordelijke een beroep doen als hij veel en/of zeer complexe verzoeken heeft binnengekregen. Bij deze termijnen moet evenwel worden bedacht dat in sommige gevallen spoed geboden is - als een verantwoordelijke (een krant) bijvoorbeeld foutief heeft bericht dat een persoon veroordeeld zou zijn voor kindermisbruik en het datasubject maakt daar met goede gronden bezwaar tegen (er is bijvoorbeeld sprake van naamsverwisseling) dan kan de krant zeker geen 3 maanden wachten en ook geen maand. Uitgangspunt is dat als het datasubject zijn verzoek elektronisch doet, de daarop volgende communicatie van de verantwoordelijke ook via elektronische weg dient te geschieden, voor zover dat redelijkerwijs mogelijk is, tenzij het datasubject heeft aangegeven de reactie liever via andere weg (bijvoorbeeld post) te ontvangen.
Lid 4 stelt dat als de verantwoordelijke negatief beslist op een verzoek van het datasubject (bijvoorbeeld zijn recht op rectificatie afwijst omdat de gegevens volgens de verantwoordelijke wel correct zijn), dit uiterlijk binnen een maand nadat het datasubject zijn verzoek heeft ingediend dient te worden gecommuniceerd. Als dit lid letterlijk zou worden genomen zou dat betekenen dat als de verantwoordelijke een beroep doet op een verlenging (lid 3), deze vervolgens slechts positief zou kunnen oordelen of anders in strijd zou handelen met lid 4 van artikel 12. Dat lijkt onwaarschijnlijk en dus zal voor lid 4 bedoeld zijn om aan de termijn van 1 maand of de verlenging als bedoeld in lid 3 te refereren. Bij een negatieve beslissing dient de verantwoordelijke het datasubject er op te wijzen dat hij een klacht kan indienen bij de Autoriteit Persoonsgegevens (artikel 77 AVG) en beroep kan instellen bij de rechter (artikel 79 AVG) (bijvoorbeeld als het datasubject van mening is dat de persoonsgegevens wel degelijk incorrect zijn). Een negatieve beslissing moet met redenen omkleed zin (overweging 59).
Lid 5 geeft aan dat de communicatie tussen de verantwoordelijke en het datasubject kosteloos geschiedt, of die nu wordt geïnitieerd door het datasubject of door de verantwoordelijke. In het geval het datasubject het initiatief neemt door een beroep te doen op een van zijn rechten (artikel 15-22 AVG) dan zijn er wel twee uitzonderingsmogelijkheden. In het geval één van deze uitzonderingen opgaat kunnen ofwel redelijke kosten in rekening worden gebracht die zijn gemoeid met het voldoen aan het verzoek van het datasubject ofwel het verzoek worden geweigerd. Het is aan de verantwoordelijke om aan te tonen dat één van de twee uitzonderingsmogelijkheden van toepassing is. De eerste uitzonderingsmogelijkheid is van toepassing als het verzoek van het datasubject buitensporig is. Het buitensporige karakter van een verzoek is met name gelegen in de hoeveelheid en de frequentie van de verzoeken. Dit kan bijvoorbeeld het geval zijn als een datasubject iedere dag een kopie van zijn dossier vraagt. Dan kan dat verzoek worden geweigerd of kunnen er redelijke kosten in rekening worden gebracht. De tweede uitzonderingsmogelijkheid is gelegen in ongegronde klachten. Bij ongegronde klachten ligt het eerder voor de hand om verzoeken te weigeren dan daarvoor kosten in rekening te brengen. Als iemand immers geen gegrond verzoek kan doen om informatie in te zien, te wijzigen of te verwijderen, dan lijkt het raadzaam om daarvan af te zien.
Lid 6 bouwt voort op leden 1 en 2 van artikel 12 AVG, waarin werd verwezen naar de situatie waarin de verantwoordelijke de identiteit van het datasubject niet kan vaststellen. Lid 6 geeft aan dat de verantwoordelijke in het geval dat een datasubject een beroep doet op een van zijn rechten (artikel 15-22 AVG) om nadere informatie mag verzoeken om de identiteit van het datasubject vast te stellen. Dit kan onder meer voorkomen aangezien de verantwoordelijke volgens artikel 11 AVG niet gehouden is om uitsluitend om aan de AVG te voldoen, aanvullende gegevens ter identificatie van het datasubject bij te houden, te verkrijgen of te verwerken. Als degene die het verzoek indient geen gevolg kan of wil geven aan het informatieverzoek van de verantwoordelijke dan hoeft de verantwoordelijke geen gevolg te geven aan de door het datasubject ingeroepen rechten.
Lid 7 geeft aan dat communicatie die wordt geïnitieerd door de verantwoordelijke om aan zijn informatieverplichting (artikel 13 en 14 AVG) te voldoen ook kan geschieden middels gestandaardiseerde iconen. Dit kan de begrijpelijkheid en zichtbaarheid van de communicatie mogelijk vergroten. Als dergelijke informatie via sites of via e-mail wordt verstrekt - wat doorgaans het geval zal zijn - dan dienen de iconen ook machineleesbaar te zijn.
Lid 8 stelt dat de Europese Commissie (artikel 92 AVG) regels kan stellen ten aanzien van de icoontjes waaraan wordt gerefereerd in artikel 12 lid 7 AVG.
Artikel 12 Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene
1.De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
2.De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. In de in artikel 11, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 22 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
3.De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
4.Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
5.Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:
a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel
b) weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
6.Onverminderd artikel 11 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 15 tot en met 21, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.
7.De krachtens de artikelen 13 en 14 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.
8.De Commissie is bevoegd overeenkomstig artikel 92 gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen.
Overwegingen
(58) Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of voor de betrokkene beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal en, in voorkomend geval, aanvullendvisualisatie worden gebruikt. Die informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties. Aangezien kinderen specifieke bescherming verdienen, dient de informatie en communicatie, wanneer de verwerking specifiek tot een kind is gericht, in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze makkelijk kan begrijpen.
(59) Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en, indien van toepassing, deze gratis te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld en ten laatste binnen een maand op een verzoek van de betrokkene te reageren, en om de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven.
Bronnen