De Algemene verordening gegevensbescherming (AVG) introduceert een recht op overdraagbaarheid van persoonsgegevens (art. 20 AVG). Het recht vormt een aanvulling op het inzagerecht (art. 15 AVG). Het geeft de betrokkene in een aantal situaties (zie hierna) aanspraak op overdracht van hem betreffende persoonsgegevens door de verwerkingsverantwoordelijke aan een andere verwerkingsverantwoordelijke (zie ook WP 242; zie ook overweging 68 AVG). Deze checklist is opgesteld vanuit het perspectief van de “zendende” verwerkingsverantwoordelijke.
Het recht op overdraagbaarheid omvat niet alle (persoons)gegevens waar de verwerkingsverantwoordelijke over beschikt. Het moet gaan om verzamelingen persoonsgegevens die betrokkene zelf aan de verwerkingsverantwoordelijke heeft verstrekt (overweging 68 AVG). Denk aan bestanden op social media of bestellijstjes. Het begrip “verstrekken” moet ruim worden uitgelegd (zie hierna).
Een verzoek om overdracht doet geen afbreuk aan de overige rechten (inzage, correctie, wissing) van betrokkene. Dat betekent dat bij overdracht een kopie wordt overgedragen. Als betrokkene wil dat alle gegevens worden verwijderd moet hij daar een apart verzoek voor indienen bij de verwerkingsverantwoordelijke.
is het gegevensverwerkende systeem ingericht om te kunnen voldoen aan verzoeken (art. 25 lid 1 AVG, laatste volzin: gegevensbescherming door standaardinstellingen);
is er een analyse gemaakt van organisatie/sector specifieke verzoeken (is er al een definitie van standaard gegevenssets voor overdracht);
is betrokkene geïnformeerd over zijn recht op overdraagbaarheid (art. 13 lid 2(b), 14 lid 2 (c) AVG);
betreft het verzoek persoonsgegevens (bij een document dat een advies bevat: alleen de persoonsgegevens in het advies);
betreft het persoonsgegevens die door de betrokkene aan de verwerkingsverantwoordelijke zijn verstrekt (art. 20 lid 1 AVG);
wordt aan het begrip verstrekking voldoende ruim uitleg gegeven (niet alleen social media pagina’s maar ook bestellijsten van boeken of muziek via een online shop); zie ook WP 242;
is er rekening mee gehouden dat ook “waargenomen gegevens” zoals bijvoorbeeld via e-health devices onder de regeling kunnen vallen;
betreft het een verwerking op basis van toestemming of overeenkomst (art. 20 lid 1(a) AVG);
betreft het een geautomatiseerde verwerking (art. 20 lid 1(b) AVG);
betreft het een verwerking noodzakelijk in het kader van openbaar gezag of algemeen belang (dan geen recht op overdracht) (art. 20 lid 3 AVG);
betreft het verzoek eigen analyses en bewerkingen door de verwerkingsverantwoordelijke op basis van de verstrekte gegevens (dan geen recht op overdracht (WP 242 p. 10));
vraagt de betrokkene om de persoonsgegevens alleen aan hemzelf te verstrekken (art. 20 lid 1 AVG);
vraagt de betrokkene aan de gegevensverwerkingsverantwoordelijke om de persoonsgegevens aan een andere gegevensverwerkingsverantwoordelijke te verstrekken (art. 20 lid 2 AVG);
is het technisch mogelijk de gegevens direct naar de andere verwerkingsverantwoordelijke te laten verzenden (art. 20 lid 2 AVG);
zijn er sectorale standaards afgesproken voor gegevensuitwisseling tussen verwerkingsverantwoordelijken;
is sprake van samenloop met een andere wettelijke dataportabiliteit- regeling (in dat geval moet betrokkene specificeren op welke regeling hij zich beroept (bijvoorbeeld bij een verzoek onder de Payment Services Directive 2 –PSD 2)).
uitgangspunt is dat betrokkene de gegevens opvraagt voor door de wetgever beoogde doeleinden (“het versterken van de zeggenschap over de eigen gegevens”). Als het betrokkene gaat om het veroorzaken van hinder voor de verwerkingsverantwoordelijke hoeft die niet aan het verzoek te voldoen:
• voor welk doel vraagt de betrokkene de gegevens op;
• is sprake van misbruik van recht of misbruik van bevoegdheid (3:13 BW);
• is sprake van het ontbreken van een belang (3:303 BW).
is sprake van rechten en vrijheden van anderen die zich tegen overdracht verzetten (art. 20 lid 4 AVG; art 23 lid 1(i) AVG); [let op: complex onderwerp: zie WP 242, p 11/12];
is sprake van inbreuk op intellectuele eigendomsrechten of geheimhoudingsverplichtingen (overweging 63 AVG; zie ook WP 242 p. 12);
is sprake van één van de overige uitzonderingen van art. 23 AVG resp. artt. 41 en 47 UAVG.
is een procedure ingericht om opvolging te geven aan een verzoek (zie ook checklist 21 bij inzageverzoeken);
wordt rekening gehouden met de wettelijke termijnen; art. 12 lid 3 AVG gaat uit van één maand bij een eenvoudig is sprake van een identificatieprocedure (art. 12 lid 2 AVG);
is er aanleiding om een kostenvergoeding te vragen (art. 12 lid 5 AVG); in beginsel mogen geen kosten in rekening worden gebracht; bij buitensporige verzoeken mag dat wèl.
betrokkene moet onverwijld doch uiterlijk binnen een maand worden geïnformeerd over de weigering en zijn recht bezwaar aan te tekenen bij AP of rechter (art. 12 lid 4 AVG);
betrokkene kan de AP verzoeken te bemiddelen (art. 35, 36 UAVG);
betrokkene kan verzoekschriftprocedure rechtbank beginnen (art. 35, 36 UAVG);
heeft betrokkene de procedure tijdig gestart (zie termijnen art. 35 en 36 UAVG).
De betrokkene heeft recht op “zijn” persoonsgegevens. Het staat de ontvangende verwerkingsverantwoordelijke niet zonder meer vrij om gegevens die ook op derden betrekking hebben te gaan gebruiken als daar opnieuw toestemming voor nodig is van die derden (WP 242, p. 11/12).
Dit is een checklist uit de uitgave Checklist Privacy AVG: privacybeleid in 57 checklists
Dit artikel is ook te vinden in het dossier AVG
