Jurisprudentie Documenten

Artikel 12 - Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

  • 1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
  • 2. De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. In de in artikel 11, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 22 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
  • 3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
  • 4. Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
  • 5.

    Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:

    • a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel
    • b) weigeren gevolg te geven aan het verzoek.
  • 6. Onverminderd artikel 11 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 15 tot en met 21, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.
  • 7. De krachtens de artikelen 13 en 14 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.
  • 8. De Commissie is bevoegd overeenkomstig artikel 92 gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen.

Relevante overwegingen

  • 38. Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden, is de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist.
  • 58. Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of voor de betrokkene beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal en, in voorkomend geval, aanvullendvisualisatie worden gebruikt. Die informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties. Aangezien kinderen specifieke bescherming verdienen, dient de informatie en communicatie, wanneer de verwerking specifiek tot een kind is gericht, in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze makkelijk kan begrijpen.
  • 59. Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en, indien van toepassing, deze gratis te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld en ten laatste binnen een maand op een verzoek van de betrokkene te reageren, en om de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven.
  • 60. Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene de nadere informatie te verstrekken die noodzakelijk is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene moeten worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde icoontjes worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze de zin van de voorgenomen verwerking weer te geven. Elektronisch weergegeven icoontjes moeten machineleesbaar zijn.
  • 73. In het Unierecht of het lidstatelijke recht kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage en rectificatie of wissing van gegevens, het recht op gegevensoverdraagbaarheid, het recht om bezwaar te maken, alsook aan besluiten gebaseerd op profilering, aan de melding aan de betrokkene van een inbreuk op persoonsgegevens en bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, voor zover dat in een democratische samenleving noodzakelijk en evenredig is voor de bescherming van de openbare veiligheid, waaronder de bescherming van het menselijk leven en met name bij natuurrampen of door de mens veroorzaakte rampen, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, of van schendingen van de beroepscodes voor gereglementeerde beroepen, voor de bescherming van andere belangrijke doelstellingen van algemeen en openbaar belang in de Unie of een lidstaat, met name een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, voor de verdere verwerking van gearchiveerde persoonsgegevens teneinde specifieke informatie over het politieke gedrag onder voormalige totalitaire regimes te verkrijgen of voor de bescherming van de betrokkene of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doeleinden. Deze beperkingen moeten in overeenstemming zijn met de vereisten van het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

Jurisprudentie Hof van Justitie van de EU

Zaak-nr. Arrest
C-307/22

FT tegen DW
Arrest van 26 oktober 2023 in zaak nr. C-307/22 (ECLI:EU:C:2023:811)

Prejudiciële verwijzing – Verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikelen 12, 15 en 23 – Recht van inzage van de betrokkene in de hem betreffende gegevens die worden verwerkt – Recht om kosteloos een eerste kopie van die gegevens te verkrijgen – Verwerking van de gegevens van een patiënt door zijn arts – Medisch dossier – Redenen voor het verzoek om inzage – Gebruik van de gegevens voor de aansprakelijkheidsstelling van de behandelaar – Begrip ‚kopie’

C-154/21

RW tegen Österreichische Post AG
Arrest van 12 januari 2023 in zaak nr. C-154/21 (ECLI:EU:C:2023:3)

Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 15, lid 1, onder c) – Recht van inzage van de betrokkene in zijn gegevens – Informatie over de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt – Beperkingen

Bepaling Arrest(en)
Artikel 12, lid 5

FT tegen DW
Arrest van 26 oktober 2023 in zaak nr. C-307/22 (ECLI:EU:C:2023:811)

Prejudiciële verwijzing – Verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikelen 12, 15 en 23 – Recht van inzage van de betrokkene in de hem betreffende gegevens die worden verwerkt – Recht om kosteloos een eerste kopie van die gegevens te verkrijgen – Verwerking van de gegevens van een patiënt door zijn arts – Medisch dossier – Redenen voor het verzoek om inzage – Gebruik van de gegevens voor de aansprakelijkheidsstelling van de behandelaar – Begrip ‚kopie’

RW tegen Österreichische Post AG
Arrest van 12 januari 2023 in zaak nr. C-154/21 (ECLI:EU:C:2023:3)

Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 15, lid 1, onder c) – Recht van inzage van de betrokkene in zijn gegevens – Informatie over de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt – Beperkingen

Sanctie-besluiten en EDPB-richtsnoeren

Datum publicatie Document
5 juni 2024

Boete Ambitious People Group verwijderverzoeken
Boete van de Autoriteit Persoonsgegevens

Privacyrechten AVG; Uitzendbureau; Sollicitaties - De Autoriteit Persoonsgegevens (AP) heeft recruitmentbedrijf Ambitious People Group (APG) een boete opgelegd van 6. 000 euro.   APG krijgt deze boete omdat het bedrijf de gegevens van 3 verschillende mensen niet had verwijderd nadat zij dat hadden gevraagd.   Lees verder: Boete voor recruitmentbedrijf om negeren verwijderverzoeken 1 Autoriteit Persoonsgegevens Postbus 93374, 2509 AJ Den Haag Bezuidenhoutseweg 30, 2594 AV Den Haag T….

31 januari 2024

Boete Uber privacyrechten
Boete van de Autoriteit Persoonsgegevens

Privacyrechten AVG; Doorgifte binnen en buiten de EER; Personeelsgegevens - De Autoriteit Persoonsgegevens (AP) legt Uber Technologies Inc. en Uber B. V. (hierna: Uber) een boete van 10 miljoen euro op, omdat het bedrijf onvoldoende openheid van zaken heeft gegeven over hoe lang het bedrijf gegevens van Europese chauffeurs bewaarde en naar welke landen buiten Europa deze werden doorgestuurd.   Ook maakte Uber het chauffeurs moeilijk om hun privacyrechten uit te oefenen.   De AP heeft de….

24 februari 2022

Boete DPG Media kopie ID bij inzageverzoek
Boete van de Autoriteit Persoonsgegevens

Privacyrechten AVG; Paspoort en identiteitskaart - De Autoriteit Persoonsgegevens legt DPG Media een boete op van 525. 000 euro.  DPG Media (voorheen: Sanoma) krijgt de boete omdat mensen die hun persoonsgegevens wilden inzien of laten verwijderen, daarvoor eerst een identiteitsbewijs moesten uploaden. Dat is in deze situatie niet nodig. Daardoor vroeg DPG Media te veel persoonsgegevens op.  Lees verder: Boete DPG Media voor onnodig opvragen identiteitsbewijs. Update september 2023Op 10….

22 juli 2021

Boete TikTok recht op informatie
Boete van de Autoriteit Persoonsgegevens

Smartphone & apps; Privacyrechten AVG; Persoonsgegevens op internet; Internationale samenwerking - De Autoriteit Persoonsgegevens legt TikTok een boete van 750. 000 euro op.  TikTok krijgt de boete voor het schenden van de privacy van jonge kinderen.   De informatie die de Nederlandse gebruikers – veelal jonge kinderen – van TikTok kregen bij het installeren en gebruiken van de app, was in het Engels en daardoor niet goed te begrijpen. Door de privacyverklaring niet in het Nederlands aan….

6 juli 2020

Boete BKR
Boete van de Autoriteit Persoonsgegevens

Inkomen en kredietwaardigheid; Privacyrechten AVG - De Autoriteit Persoonsgegevens (AP) heeft BKR een boete opgelegd van 830. 000 euro. Stichting Bureau Krediet Registratie (BKR) mag geen geld vragen aan mensen die digitaal hun persoonsgegevens willen inzien. En wanneer mensen per post inzage in hun persoonsgegevens bij BKR willen, moet dat eenvoudig en met redelijke tussenpozen mogelijk zijn.   BKR wierp te hoge drempels op voor inzage. Dat mag niet volgens de privacywetgeving. Daarom heeft….

18 december 2024

Boete Netflix
Boete van de Autoriteit Persoonsgegevens

Privacyrechten AVG; Internationale samenwerking - Netflix gaf klanten tussen 2018 en 2020 niet genoeg informatie over wat het bedrijf met hun persoonsgegevens doet. En de informatie die Netflix wel gaf, was op sommige punten onoverzichtelijk. De Autoriteit Persoonsgegevens (AP) legt de streamingdienst daarom een boete op van 4,75 miljoen euro.   Netflix heeft inmiddels haar privacyverklaring geüpdatet en de informatievoorziening verbeterd. Lees verder: Boete Netflix voor niet goed informeren….

  • Bijdragen?