Je dient zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst van het verzoek te reageren. Deze termijn kan met nog eens twee maanden worden verlengd als het verzoek te complex is en er meer tijd nodig is om te antwoorden, mits de betrokkene hiervan binnen een maand na ontvangst van op de hoogte wordt gesteld.

Je moet dit, in beginsel, kosteloos doen.

Meer informatie:

• Respecteer de rechten van individuen
   

Sommige soorten persoonsgegevens behoren een speciale categorie persoonsgegevens, wat betekent dat ze meer bescherming verdienen, zogenaamde bijzondere persoonsgegevens. bijzondere persoonsgegevens omvatten gegevens die informatie onthullen over:

• de gezondheid van een individu;
• de seksuele geaardheid van een individu;
• het ras of de etniciteit van een persoon;
• politieke opvattingen, religieuze of filosofische overtuigingen van een individu; het lidmaatschap van een vakbond van een individu;
• de biometrische en genetische gegevens van een individu.

De verwerking van bijzondere persoonsgegevens van een persoon zijn over het algemeen verboden, behalve onder specifieke omstandigheden die de verwerking ervan rechtvaardigen.

Meer informatie:

• Beginselen voor gegevensbescherming
   

Compliance with the GDPR is monitored by the national data protection authorities (DPAs). DPAs can conduct investigations and impose sanctions where necessary. DPAs have a number of tools at their disposal, including fines up to 20 M€ or 4% of the worldwide annual turnover whichever is higher, reprimands, and temporary or permanent processing bans.

You can find the contact details for all EEA DPAs on the EDPB website: Members

More information:

• Data Protection Authority & you

Toestemming kan inderdaad een geldige rechtsgrondslag zijn voor het opslaan van de cv’s van sollicitanten. Een andere mogelijke rechtsgrondslag kan een legitiem belang zijn. In dat geval moet je een belagnenafweging uitvoeren om aan te tonen dat de legitieme belangen van jouw organisatie zwaarder wegen dan de rechten van het individu.

In ieder geval moet je de kandidaten laten weten dat je van plan bent hun gegevens te bewaren en voor welke doeleinden.
 

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens
   

Om als geldig te kunnen worden beschouwd, moet de toestemming:

• vrijelijk gegeven zijn;
• specifiek zijn;
• geïnformeerd zijn;
• ondubbelzinnig zijn.

Dit betekent dat personen een werkelijk vrije keuze moeten hebben met betrekking tot het al dan niet eens zijn met de verwerking van hun persoonsgegevens; zij hebben voldoende informatie nodig om te kunnen begrijpen welke gegevens worden verwerkt, voor welk doel en hoe dit gebeurt; ze hebben ook voldoende granulariteit nodig in toestemmingsaanvragen, zij moeten dus toestemming kunnen geven per onderdeel, niet voor een totaalpakket.

Bovendien moet er sprake zijn van een actieve handeling door het individu (zonder vooraf aangevinkte vakjes en los van de toepasselijke algemene voorwaarden).

Bovendien moeten individuen hun toestemming vrijelijk kunnen intrekken (zonder negatieve gevolgen) als ze later van gedachten veranderen.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

De eerste stap bij het installeren van bewakingscamera’s is het identificeren van het doel of de doeleinden daarvoor. De doeleinden voor de installatie van bewakingscamera’s kunnen divers zijn, zoals het waarborgen van de beveiliging van gebouwen, het helpen bij het voorkomen en opsporen van diefstal en andere misdrijven, of de bescherming van het leven en de gezondheid van werknemers, vanwege de aard van het werk.
Zoals bij elke verwerking van persoonsgegevens, moet de registratie van personen een juridische grondslag hebben op grond van de AVG. Toestemming kan een wettelijke basis vormen voor dergelijke gegevensverwerking. Het is echter onwaarschijnlijk dat dit in de meeste gevallen van toepassing is op het gebruik van bewakingscamera’s, aangezien het moeilijk zal zijn om vrije toestemming te krijgen van iedereen die waarschijnlijk zal worden opgenomen. De meest voorkomende grondslag voor dit soort verwerkingen van persoonsgegevens is een gerechtvaardigd belang. Wanneer de verwerking gebaseerd is op een gerechtvaardigd belang moet je een belangenafweging uitvoeren om te bepalen of jouw legitieme belangen zwaarder wegen dan de rechten van het individu.
Je moet individuen informeren dat ze worden geregistreerd. Dit kan worden gedaan door makkelijk leesbare borden op prominente posities te plaatsen. Bovendien moet bij alle ingangen een informatiebord worden geplaatst met vermelding van het doel van de bewakingscamera’s en de identiteit en contactgegevens van de verwerkingsverantwoordelijke.
Personen van wie de beelden door de bewakingscamera’s worden opgenomen, moeten de volgende informatie krijgen:

• de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
• de doeleinden van de verwerking;
• de rechtsgrondslag van de verwerking (indien gerechtvaardigd belang, specifieke informatie over welke legitieme belangen verband houden met de specifieke verwerking en over welke entiteit elk legitiem belang nastreeft);
• de contactgegevens van de functionaris voor gegevensbescherming, FG (indien er een FG is);
• de ontvangers of categorieën ontvangers van de gegevens;
• de beveiligingsvoorzieningen voor de bewakingscamerabeelden;
• de bewaartermijn voor de bewakingscamerabeelden;
• het bestaan van individuele rechten uit hoofde van de AVG en het recht om een klacht in te dienen bij de nationale gegevensbeschermingsautoriteit.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens
• Respecteer de rechten van individuen
  
   

De AVG geeft individuen controle over de verwerking van hun persoonsgegevens. Om dit te bereiken is transparantie essentieel. Dit betekent dat je personen van wie jij gegevens verwerkt, moet informeren over de verwerkingen en de doeleinden. Met andere woorden, je moet uitleggen wie hun gegevens verwerkt, maar ook hoe en waarom. Alleen als het gebruik van persoonsgegevens „transparant” is voor betrokkenen, kunnen zij mogelijke risico’s inschatten en beslissingen nemen over hun persoonsgegevens.

Op grond van de AVG ben je verplicht om de volgende informatie te delen met personen:

• de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
• de doeleinden van de verwerking;
• de juridische grondslag van de verwerking (indien gerechtvaardigd belang, specifieke informatie over welke legitieme belangen verband houden met de specifieke verwerking en over welke entiteit welk legitiem belang nastreeft.)
• de contactgegevens van de verwerkingsverantwoordelijke;
• de contactgegevens van de FG (indien er een FG is);
• de ontvangers of categorieën ontvangers van de gegevens;
• Informatie over de vraag of de gegevens buiten de Europese Economische Ruimte (EER) zullen worden doorgegeven (indien van toepassing: het al dan niet bestaan van een adequaatheidsbesluit of verwijzing naar de passende waarborgen en de wijze waarop deze informatie beschikbaar kan worden gesteld aan betrokkenen);
• de categorieën van persoonsgegevens die worden verwerkt, wanneer de gegevens niet door de persoon zelf zijn verstrekt.

Daarnaast vereist de AVG dat jouw organisatie de volgende informatie verstrekt om een eerlijke en transparante verwerking te waarborgen:

• de bewaartermijn of, indien dit niet mogelijk is, de criteria die zijn gehanteerd om deze periode te bepalen;
• het recht op inzage, verwijdering, rectificatie, beperking, bezwaar en overdraagbaarheid van persoonsgegevens;
• het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit;
• indien de rechtsgrond voor de verwerking toestemming is: het recht om de toestemming te allen tijde in te trekken;
• in het geval van geautomatiseerde besluitvorming, relevante informatie over de onderliggende logica en de beoogde gevolgen van de verwerking voor de betrokkene;
• de bron van de persoonsgegevens (indien je deze niet van de betrokkene hebt gekregen;
• of de persoon verplicht is om de persoonsgegevens te verstrekken (bij wet of overeenkomst of om een overeenkomst aan te gaan) en wat de gevolgen zijn van het weigeren om de gegevens te verstrekken.

Meer informatie:

• Respecteer de rechten van individuen
  
   

De FG kan een bestaande werknemer zijn met voldoende kennis van de AVG (als de professionele taken van de werknemer verenigbaar zijn met die van de FG en dit niet leidt tot belangenconflicten) of een externe persoon. De FG moet taken onafhankelijk kunnen uitvoeren en rechtstreeks aan het hoogste management kunnen rapporteren.

Meer informatie:

• Functionarisgegevensbescherming

Ja, maar om dit te doen, moet je eerst de juridische grondslag bepalen voor de verwerking van dit soort persoonsgegevens. De verwerking kan bijvoorbeeld worden beschouwd als een gerechtvaardigd belang voor jouw organisatie. Bij het verwerken van persoonsgegevens op basis van gerechtvaardigd belang is het altijd noodzakelijk om belangenafweging uit te voeren om te bepalen of jouw gerechtvaardigde belangen zwaarder wegen dan de rechten van individuen, met name wanneer er kinderen bij betrokken zijn.

Een andere mogelijke grondslag voor een dergelijke verwerking zou toestemming kunnen zijn. In ieder geval moeten individuen altijd vooraf worden geïnformeerd dat het evenement wordt gefotografeerd of gefilmd.

Meer informatie:

• Rechtmatige verwerking van persoonsgegevens

Ja, de AVG is van toepassing als de persoonsgegevens zijn opgenomen of bedoeld zijn om in een bestand te worden opgeslagen. Dit betekent dat de AVG ook van toepassing is op papieren dossiers en niet alleen op geautomatiseerde verwerking van persoonsgegevens.

Meer informatie:

• Beginselen voor gegevensbescherming