AVG en wettelijke bewaarplicht

13 december 2017

Wij informeerden u eerder over de nieuwe privacywet voor heel Europa, de Algemene Verordening gegevensbescherming (AVG). Wij ontvangen regelmatig vragen over AVG in relatie tot de wettelijke bewaarplicht van 7 jaar.

Mensen hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij een organisatie mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen.

Iemand kan om correctie vragen als zijn persoonsgegevens:

  • feitelijk onjuist zijn;
  • onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
  • op een andere manier in strijd met een wet worden gebruikt.

Bron: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/recht-op-correctie-en-verwijdering

Een verzoek om gegevens te verwijderen op grond van het recht op vergetelheid vraagt om een zorgvuldige afweging. De overwegingen om gegevens al dan niet te mogen verwijderen staan in onderstaande  tekst van de Autoriteit Persoonsgegevens, zoals die er al was onder de WBP.

De fiscale bewaarplicht zal voor een ondernemer veelal prevaleren boven het recht van een klant om gegevens te verwijderen.

De AVG heeft het nog wat verder uitgebreid (recht op vergetelheid), maar de kern blijft overeind: als de persoonsgegevens worden vastgelegd voor het voldoen aan een wettelijke plicht, hoeven/mogen deze niet verwijderd worden:

 

Recht op Vergetelheid onder de AVG is dus iets breder dan Recht op Correctie:
Voorwaarden recht op vergetelheid
Het recht op vergetelheid geldt niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing:

o Niet meer nodig
De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
o Intrekken toestemming
De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
o Bezwaar
De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.
o Onrechtmatige verwerking
De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
o Wettelijk bepaalde bewaartermijn
De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
o Kinderen
De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

Wanneer geldt het niet:

o De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van
meningsuiting gelijkwaardige grondrechten zijn.
o De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
o De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
o De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
o De organisatie moet de gegevens in het algemeen belang archiveren.
o De gegevens zijn noodzakelijk voor een rechtsvordering.