PrivacyTeam033 200 30 83

Aan wie heeft uw organisatie ontvangen persoonsgegevens verstrekt?

Het Europese Hof geeft aan dat wanneer persoonsgegevens aan ontvangers zijn of zullen worden verstrekt, de verwerkingsverantwoordelijke verplicht is om de betrokkene op verzoek de werkelijke identiteit van die ontvangers te verstrekken.

Als organisatie ben je verplicht om aan te geven met wie die informatie wordt gedeeld. Meestal is er te lezen: IT leveranciers, marketingbedrijven of overheidsinstanties. Als betrokkene heb je hier eigenlijk niets aan en het mag voortaan ook niet meer.

Een burger verzocht Österreichische Post, de belangrijkste exploitant van post- en logistieke diensten in Oostenrijk, om hem de identiteit bekend te maken van de ontvangers aan wie hij zijn persoonsgegevens had verstrekt. Hij beriep zich op de AVG. De AVG bepaalt dat de betrokkene het recht heeft om van de voor de verwerking verantwoordelijke informatie te verkrijgen over de ontvangers of categorieën ontvangers aan wie zijn of haar persoonsgegevens zijn of zullen worden verstrekt.

In antwoord op het verzoek van de burger heeft Österreichische Post enkel verklaard dat zij, voor zover wettelijk toegestaan, persoonsgegevens gebruikt in het kader van haar activiteiten als uitgever van telefoongidsen en dat zij deze persoonsgegevens aan handelspartners aanbiedt voor marketingdoeleinden.

De burger heeft Österreichische Post derhalve voor de Oostenrijkse rechter gedagvaard.  Tijdens de gerechtelijke procedure heeft Österreichische Post de burger verder meegedeeld dat zijn gegevens waren doorgegeven aan klanten, waaronder adverteerders die handel drijven via postorder- en stationaire verkooppunten, IT-bedrijven, aanbieders van mailinglijsten en verenigingen zoals liefdadigheidsorganisaties, niet-gouvernementele organisaties (NGO's) of politieke partijen. Het Oberste Gerichtshof (hoogste rechterlijke instantie, Oostenrijk), die het geschil in laatste aanleg behandelt, wenst van het Europese Hof te vernemen of de AVG de voor de verwerking verantwoordelijke de keuze laat om hetzij de specifieke identiteit van de ontvangers, hetzij alleen de categorieën van ontvangers bekend te maken, hetzij dat zij de betrokkene het recht geeft om zijn specifieke identiteit te kennen.

In het arrest van 12 januari antwoordt het Europese Hof dat wanneer persoonsgegevens aan ontvangers zijn of zullen worden verstrekt, de verwerkingsverantwoordelijke verplicht is om de betrokkene op verzoek de werkelijke identiteit van die ontvangers te verstrekken. Alleen wanneer het (nog) niet mogelijk is om die ontvangers te identificeren, mag de verwerkingsverantwoordelijke alleen de categorieën ontvangers in kwestie aangeven. Dat is ook het geval wanneer de voor de verwerking verantwoordelijke aantoont dat het verzoek kennelijk ongegrond of buitensporig is.

Het Europees Hof wijst erop dat het recht van toegang van de betrokkene noodzakelijk is om de betrokkene in staat te stellen andere door de AVG verleende rechten uit te oefenen, namelijk zijn of haar recht op rectificatie, recht op wissing ("recht om te worden vergeten"), recht op beperking van de verwerking, recht om bezwaar te maken tegen verwerking of recht op actie wanneer hij of zij schade lijdt. 

Heeft u ondersteuning nodig bij het uitvoeren van de procedure rechten van betrokkenen? De privacy specialisten van PrivacyTeam zijn altijd op de hoogte van de huidige regelgeving en helpen u graag.

Bron: The European Court of Justice.

Heeft u vragen of kunnen wij iets voor u betekenen?
Bel ons op 033- 200 30 83 of stuur een mail naar post@privacyteam.nl.

Privacy advies en software