Uitleg bij artikel 14 AVG
Artikel 14 bevat de informatieplicht van de verantwoordelijke en is het zusterartikel van artikel 13 AVG. Terwijl artikel 14 ziet op informatieverstrekking door de verantwoordelijke aan het datasubject in het geval de persoonsgegevens over het datasubject niet van het datasubject zelf zijn verkregen, ziet artikel 13 AVG op het geval waarin dat wel het geval is. Als iemand wordt gevraagd om gegevens (bijvoorbeeld telefonisch of middels een web-formulier) of als de gegevens worden verkregen door observatie van het gedrag (bijvoorbeeld door monitoring offline of online door middel van cookies) dan zal doorgaans artikel 13 AVG van toepassing zijn; als de gegevens worden verkregen van een derde partij (de belastingdienst krijgt informatie over datasubjecten via hun bank) dan is doorgaans artikel 14 van toepassing. De regels over de wijze en aard van communicatie staan in artikel 12 AVG.
Lid 1 geeft aan dat als er indirect persoonsgegevens van het datasubject worden verzameld, de verantwoordelijke informatie verstrekt waaruit in ieder geval blijkt:
a. zijn identiteit en contactgegevens. In het geval lid 2 van artikel 3 AVG van toepassing is en de verantwoordelijke een vertegenwoordiger heeft aangesteld (artikel 27 AVG) dient ook diens identiteit en contactgegevens te worden verstrekt.
b. als de verantwoordelijke een functionaris voor de gegevensbescherming oftewel een data protection officer heeft aangesteld (artikel 37 AVG), dan dienen ook diens identiteit en contactgegevens te worden vermeld.
c. de doeleinden waarvoor de gegevens worden verwerkt (artikel 5 lid 1 sub b AVG) en de rechtsgrond op basis waarvan dit geschiedt (artikel 6 AVG of artikel 9 AVG in het geval van bijzondere persoonsgegevens).
d. de betrokken categorieën van persoonsgegevens. Er hoeft dus niet te worden verteld welke informatie er allemaal precies is verkregen; er kan worden volstaan met bijvoorbeeld de informatie 'wij van de belastingdienst hebben financiële gegevens van uw bank verkregen.'
e. als de gegevens worden doorgegeven aan derden dan dienen ook zij te worden vermeld. Dat kan in voorkomende gevallen ook per categorie ontvanger. Als een sportclub bijvoorbeeld informatie verwerkt over een agressieve aandoening van het datasubject dan kan het volstaan door mede te delen dat deze informatie ook zal worden doorgegeven aan de omringende etablissementen, zonder die elk afzonderlijk bij naam te noemen (zie echter ook artikel 19 AVG).
f. als de verantwoordelijke van plan is of redelijkerwijs te voorzien is dat de persoonsgegevens zullen worden doorgevoerd naar landen buiten de Europese Unie, dan dient de rechtsgrond daarvoor te worden vermeld. Dat kan zijn een adequaatheidsbesluit (artikel 45 AVG), het bestaan van passende waarborgen (artikel 46 AVG, waaronder bindende bedrijfsvoorschriften artikel 47 AVG) of het bestaan van een uitzondering voor specifieke gevallen (artikel 49 AVG).
Lid 2 geeft aan dat ook de volgende informatie dient te worden verstrekt door de verantwoordelijke aan het datasubject - waarom deze informatie in een afzonderlijk lid staat is niet geheel duidelijk. Wel verwijst lid 3 van artikel 13 AVG met name naar dit lid. Het gaat om de volgende informatie:
a. de bewaartermijn die wordt gehanteerd voor de gegevens of, als er geen eenduidige bewaartermijn is (bijvoorbeeld omdat de gegevens worden verzameld voor een doel waarvan het niet op voorhand duidelijk is op welk moment dat zal zijn bereikt), de criteria op basis waarvan een beslissing zal worden genomen over het al dan niet verwijderen van de persoonsgegevens (artikel 5 lid 1 sub e AVG).
b. als er qua rechtsgrond een beroep wordt gedaan op artikel 6 lid 1 sub f dan moeten de gerechtvaardigde belangen van de verantwoordelijke of van een derde waar een beroep op wordt gedaan worden vermeld (opmerkelijk is dat dit vereiste niet geldt voor het al dan niet zwaarwegende publieke belang ex artikel 6 en 9 AVG - vergelijk ook artikel 21 AVG).
c. de verantwoordelijke deelt het datasubject mee dat hij het recht heeft op informatie en inzage (artikel 15 AVG), het recht op rectificatie (artikel 16 AVG), het recht om vergeten te worden (artikel 17 AVG), het recht op beperking (artikel 18 AVG), het recht op dataportabiliteit (artikel 20 AVG) en het recht op bezwaar (artikel 21 AVG). Het recht op kennisgeving (artikel 19 AVG) wordt niet expliciet genoemd, maar hoort vermoedelijk ook in het rijtje thuis.
d. dat als de verwerking van persoonsgegevens (artikel 6 lid 1 sub a AVG) of bijzondere persoonsgegevens (artikel 9 lid 2 sub a AVG) geschiedt op basis van toestemming, het datasubject altijd de bevoegdheid heeft zijn toestemming in te trekken (artikel 7 lid 3 AVG). Artikel 13 lid 2 sub c merkt ten overvloede op dat intrekking van eerder legitiem gegeven toestemming niet met terugwerkende kracht betekent dat de verwerking van persoonsgegevens voor het moment van intrekking als onrechtmatig moet worden gekwalificeerd.
e. dat het datasubject het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit (artikel 77 AVG). Er wordt niet vereist dat de verantwoordelijke het datasubject ook wijst op de mogelijkheid beroep in te stellen bij de rechter (artikel 79 AVG), zoals bijvoorbeeld wel in artikel 12 lid 4 AVG.
f. in artikel 14 lid 2 sub f wordt niet verwezen naar het geval waarin er sprake is van een noodzakelijke gegevensverwerking op basis van een contractuele of wettelijke verplichting zoals dat in artikel 13 lid 2 sub e AVG het geval is. In plaatst daarvan is de verantwoordelijke gehouden de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen. Wanneer de oorsprong van de persoonsgegevens niet aan het datasubject kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt (overweging 61).
g. dat er sprake is van geautomatiseerde besluitvorming (artikel 22 AVG), waaronder profiling (artikel 4 sub 4 AVG), waarbij voor profiling ook informatie dient te worden verschaft over de onderliggende logica van de profielen en de mogelijke gevolgen en consequenties die het gebruik van de profielen kunnen hebben op het datasubject.
Lid 3 geeft aan binnen welke termijn de communicatie uit leden 1 en 2 artikel 14 dient te geschieden. Dat moet in ieder geval binnen een maand na verkrijging van de persoonsgegevens geschieden. In drie gevallen moet dat eerder
a. als dat redelijk is. Daarvan kan bijvoorbeeld sprake zijn bij zeer gevoelige persoonsgegevens waarbij te voorzien is dat het datasubject bezwaar maakt tegen de verwerking daarvan.
b. als de gegevens worden gebruikt om te communiceren met het datasubject, uiterlijk op het moment van communicatie (bijvoorbeeld als de verantwoordelijke de gegevens gebruikt om na een week van ontvangst een commerciële aanbieding te doen aan het datasubject).
c. als er weer wordt overwogen om de gegevens aan een derde persoon door te sturen, uiterlijk op het moment dat deze gegevens worden doorgegeven (bijvoorbeeld, de Nederlandse belastingdienst heeft informatie verkregen van Nederlandse banken over het spaartegoed van datasubjecten en besluit dat ook andere belastingdiensten deze informatie in hun bezit zouden moeten hebben). Als pas na een half jaar na verkrijging van de persoonsgegevens wordt besloten deze naar zusterorganisaties door te sturen geldt de termijn van een maand uiteraard niet.
Lid 4 spreekt van de verwerking van de persoonsgegevens voor andere doeleinden dan waarvoor ze waren verzameld (let wel, lid 4 van artikel 14 AVG spreekt niet van een verenigbaar of onverenigbaar doel zoals artikel 5 lid 1 sub b AVG dat doet). In dat geval moet de verantwoordelijke voor het moment dat de persoonsgegevens voor dat andere doeleinde worden verwerkt de informatie verstrekken als bedoeld in artikel 14 lid 1 sub c en lid 2 (zie ook artikel 6 lid 4 AVG).
Lid 5 stelt dat leden 1 tot en met 4 van artikel 14 AVG niet van toepassing zijn in vier gevallen:
a. het datasubject reeds over de informatie beschikt (zie ook artikel 13 lid 4 AVG).
b. het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen. Daarbij wordt met name verwezen naar het verwerken van persoonsgegevens in het algemeen belang, zoals bij archivering, wetenschappelijk of historisch onderzoek of voor statistische analyses (artikel 89 AVG). Denk bijvoorbeeld aan het geval waarin een gemeentearchief een bedrijfsarchief overneemt - dan kan het te tijdrovend zijn om uit te pluizen over wie er allemaal informatie is te vinden in het archief en om vervolgens na te gaan hoe deze personen kunnen worden bereikt. Daarbij dient in aanmerking te worden genomen om hoeveel datasubjecten het gaat, hoe oud de gegevens zijn en welke passende waarborgen moeten worden ingebouwd (overweging 62). In zo'n geval moet het archief op zijn website duidelijke en heldere informatie verschaffen over de verwerking van de gegevens.
c. het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven in een wet van Nederland of de Europese Unie. Dat kan bijvoorbeeld het geval zijn bij telecommunicatieproviders die bepaalde verdachte zaken moeten melden bij politie en justitie.
d. de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim. Bijvoorbeeld als een kinderpsychiater aan de politie meldt dat hij vermoedt dat het kind geestelijk of lichamelijk wordt misbruikt door zijn ouders.
Artikel 14 Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen
1.Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:
a)de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;
c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;
d) de betrokken categorieën van persoonsgegevens;
e) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
f) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of aan een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van de in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.
2.Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:
a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
b) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd;
c) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking van bezwaar te maken en het recht op gegevensoverdraagbaarheid;
d) wanneer verwerking op artikel 6, lid 1, punt a) of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
e) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
f) de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;
g) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
3.De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:
a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.
4.Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
5.De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover:
a) de betrokkene reeds over de informatie beschikt;
b) het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie;
c) het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of
d) de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijke recht, waaronder een statutaire geheimhoudingsplicht
Overwegingen
(60) Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene de nadere informatie te verstrekken die noodzakelijk is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene moeten worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde icoontjes worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze de zin van de voorgenomen verwerking weer te geven. Elektronisch weergegeven icoontjes moeten machineleesbaar zijn.
(61) De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen bij de betrokkene van de gegevens of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval. Wanneer de persoonsgegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de persoonsgegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens te verwerken met een ander doel dan dat waarvoor zij zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken. Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt.
(62) Niettemin is het niet noodzakelijk de verplichting tot informatieverstrekking op te leggen wanneer de betrokkene al over de informatie beschikt, wanneer de registratie of mededeling van de persoonsgegevens uitdrukkelijk bij wet is voorgeschreven of wanneer de informatieverstrekking aan de betrokkene onmogelijk blijkt of onevenredig veel inspanningen zou kosten. Dit laatste zou met name het geval kunnen zijn wanneer verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden geschiedt. In dat verband mag in aanmerking worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke passende waarborgen moeten worden ingebouwd.