Je dient zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek te reageren. Deze termijn kan met nog eens twee maanden worden verlengd als het verzoek te complex is en er meer tijd nodig is om te antwoorden, mits de betrokkene hiervan binnen een maand na ontvangst van op de hoogte wordt gesteld.

Je moet dit, in beginsel, kosteloos doen.

Meer informatie:

• Respecteer de rechten van individuen
   

Personen hebben het recht om te verzoeken om verwijdering van hun betreffende persoonsgegevens en in dat geval heeft de verwerkingsverantwoordelijke de verplichting om de persoonsgegevens te verwijderen. Je dient zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek te reageren. Deze termijn kan met nog eens twee maanden worden verlengd als het verzoek te complex is en er meer tijd nodig is om aan het verzoek te voldoen, mits de betrokkene hiervan binnen een maand na ontvangst van het verzoek over wordt ingelicht.
Het is belangrijk op te merken dat het recht op verwijdering niet absoluut is. Zij is niet van toepassing wanneer de gegevens in kwestie noodzakelijk zijn voor:

• uitoefening van het recht op vrijheid van meningsuiting en van informatie (bv. voor journalistieke doeleinden);
• naleving van een wettelijke verplichting die de verwerking van persoonsgegevens vereist (bv. het verwerken van gegevens over de werkuren van werknemers);
• redenen van algemeen belang op het gebied van de volksgezondheid
• archiveringsdoeleinden in het algemeen belang of wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden; en
• het instellen, uitoefenen of verdedigen van rechtsvorderingen.

Wanneer de te verwijderen persoonsgegevens eerder aan andere organisaties zijn doorgegeven, moet je deze ontvangers ervan op de hoogte stellen dat de betrokkene om verwijdering heeft verzocht, tenzij dit onmogelijk blijkt of onevenredige inspanningen vereist.

Meer informatie:
•    Respecteer de rechten van individuen

Ja, maar om dit te doen, moet je eerst de juridische grondslag bepalen voor de verwerking van dit soort persoonsgegevens. De verwerking kan bijvoorbeeld worden beschouwd als een gerechtvaardigd belang voor jouw organisatie. Bij het verwerken van persoonsgegevens op basis van gerechtvaardigd belang is het altijd noodzakelijk om belangenafweging uit te voeren om te bepalen of jouw gerechtvaardigde belangen zwaarder wegen dan de rechten van individuen, met name wanneer er kinderen bij betrokken zijn.

Een andere mogelijke grondslag voor een dergelijke verwerking zou toestemming kunnen zijn. In ieder geval moeten individuen altijd vooraf worden geïnformeerd dat het evenement wordt gefotografeerd of gefilmd.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

De FG kan niet aansprakelijk worden gesteld voor het niet naleven van de AVG. Naleving van de AVG is de verantwoordelijkheid van de organisatie die de FG heeft aangesteld.

Meer informatie:

• functionaris gegevensbescherming (FG)

Nee, de verwerking van bijzondere persoonsgegevens is over het algemeen verboden, behalve in zeer specifieke omstandigheden:

• De betrokkene heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn bijzondere persoonsgegevens.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor de voor de verwerking verantwoordelijke om zijn verplichtingen na te komen, met name in het kader van werkgelegenheid, sociale zekerheid en sociale bescherming. De verwerkingsverantwoordelijke kan bijvoorbeeld de bijzondere persoonsgegevens van een persoon moeten verwerken om te kunnen bepalen of hij recht heeft op bepaalde socialezekerheidsuitkeringen of arbeidstoelagen.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk om de vitale belangen van een persoon te beschermen wanneer de persoon fysiek of wettelijk niet in staat is toestemming te geven. Als een persoon bijvoorbeeld bewusteloos wordt gelaten als gevolg van een ongeval en onmiddellijke medische zorg vereist, moeten hun gezondheidsgegevens mogelijk worden verwerkt om de juiste medische zorg te kunnen verlenen.
• De verwerking van bijzondere persoonsgegevens vindt plaats in het kader van de legitieme activiteiten van een stichting, vereniging of andere non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel, en uitsluitend voor de verwerking van de persoonsgegevens van hun leden, voormalige leden of personen die regelmatig contact met hen hebben.
• De bijzondere persoonsgegevens zijn duidelijk openbaar gemaakt door individuen.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van gerechtelijke procedures.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor aangelegenheden van aanzienlijk algemeen belang.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van preventieve of arbeidsgeneeskunde. Bijvoorbeeld, het beoordelen van de bijzondere persoonsgegevens van een individu, zoals hun medische gegevens, kan nodig zijn om hun werkcapaciteit als werknemer te bepalen.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor volksgezondheidsaangelegenheden op basis van EU- of nationale wetgeving. De verwerking van bijzondere persoonsgegevens van personen kan bijvoorbeeld nodig zijn om een hoge kwaliteit van de gezondheidszorg en een hoge kwaliteit van medische producten te waarborgen, of om ernstige bedreigingen voor de gezondheid, zoals virussen, te bestrijden.
• De verwerking van bijzondere persoonsgegevens is noodzakelijk voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden. De verwerking van bijzondere persoonsgegevens kan bijvoorbeeld nodig zijn om nauwkeurige statistieken te verstrekken over de situatie van een land op een bepaald gebied. 

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens
   

Verwerking van persoonsgegevens is toegestaan als er een juridische grondslag voor is. Naast vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming kunnen ook andere rechtsgronden voor verwerking worden gebruikt.
Met andere woorden, toestemming is noodzakelijk wanneer geen van de andere rechtsgrondslagen van toepassing is.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

Elke organisatie, ongeacht de omvang of sector, die gevestigd in de Europese Economische Ruimte (EER), of die producten of diensten aanbiedt aan personen in de EER, die persoonsgegevens verwerkt, al dan niet met geautomatiseerde middelen, moet voldoen aan de AVG. Zelfs als de AVG voornamelijk betrekking heeft op geautomatiseerde verwerking van persoonsgegevens, worden handmatig uitgevoerde verwerkingen ook onderworpen aan de AVG vanaf het moment dat de papieren bestanden systematisch worden georganiseerd, bijvoorbeeld alfabetisch geordend in een archiefkast. 

Voorbeelden van verwerkingen zijn het verzamelen, vastleggen, ordenen, gebruiken, wijzigen, opslaan, openbaar maken, wijzigen en verwijderen van persoonsgegevens van personen.

Niettemin wordt de toepassing van de AVG gemoduleerd op basis van de aard, context, doeleinden en risico’s van de uitgevoerde verwerkingen. Voor mkb’s waarvan de kernactiviteit niet de verwerking van persoonsgegevens is, kunnen de verplichtingen minder streng zijn dan voor een groot bedrijf.

Meer informatie:

• beginselen voor gegevensbescherming

FG’s kunnen andere taken binnen de organisatie uitvoeren, maar dit kan niet leiden tot een belangenconflict. Dit houdt in dat de FG geen positie kan hebben waarin hij het doel en de middelen van de verwerkingsactiviteiten bepaalt. Conflicterende functies omvatten voornamelijk managementfuncties (hoofdbestuur, chief operating, chief financial officer, Head of HR, Head of IT, Managing Director), maar kunnen ook andere functies omvatten indien zij leiden tot het bepalen van de doeleinden en verwerkingsmiddelen.

De FG moet zijn taken en taken op onafhankelijke wijze kunnen uitvoeren. Dit betekent dat jouw organisatie:

• de FG geen instructies mag geven met betrekking tot de uitvoering van diens taken als functionarisgegevensbescherming;
• de FG niet mag bestraffen of ontslaan voor het uitvoeren van diens taken.

Meer informatie:

• Functionarisgegevensbescherming

Individuen kunnen jou vragen of jij hun gegevens verwerkt en waar dit het geval is, Zij hebben recht op toegang tot die gegevens. Dus wanneer dit gebeurt en als jij hun gegevens verwerkt, moet jij bijvoorbeeld kosteloos een kopie van hun persoonsgegevens verstrekken, samen met eventueel noodzakelijke aanvullende informatie. Wanneer een verzoek elektronisch wordt ingediend, moet jouw organisatie de vereiste informatie verstrekken in een gangbaar elektronisch formaat, tenzij de betrokkene anders verzoekt.

Meer informatie:

• Respecteer de rechten van individuen

Een datalek is een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens.

• Als het datalek een risico vormt voor de betrokken personen, moet je dit binnen 72 uur melden bij de relevante gegevensbeschermingsautoriteit.
• Als de inbreuk waarschijnlijk zal leiden tot een hoog risico voor individuen, moet je die inbreuk ook zonder onnodige vertraging aan de betrokken personen meedelen.

In ieder geval moet je voor alle inbreuken — zelfs inbreuken die niet aan een gegevensbeschermingsautoriteit worden gemeld — ten minste de basisgegevens van de inbreuk, de beoordeling daarvan, de gevolgen ervan en de maatregelen die in reactie daarop zijn genomen, registreren.

Meer informatie:

• Datalekken