Privacy Policy

De GDPR bepaalt de personen van wie persoonsgegevens worden verwerkt door Selas (dit

zijn de “betrokkenen”), een aantal rechten hebben. Het betreft volgende rechten:

1. Recht op inzage in de persoonsgegevens;
2. Recht op rectificatie of verbetering;
3. Recht op beperking van de verwerking in een aantal gevallen nl:
   • Wanneer de betrokkene de juistheid van de persoonsgegevens ter discussie stelt
   • Wanneer de betrokkene meent dat de verwerking onrechtmatig is en zich verzet tegen het wissen van de gegevens en in de plaats om beperking van de verwerking verzoekt
   • Wanneer Selas de gegevens niet langer nodig heeft maar de betrokkene de gegevens nodig heeft voor de instelling, uitoefening, of onderbouwing van een rechtsvordering
   • De betrokkene bezwaar maakt tegen de verwerking en in afwachting van de uitkomst van de afweging.
4. Recht op overdraagbaarheid van de gegevens;
5. Recht op wissing van gegevens;
6. Recht van bezwaar;
   • Tegen de verwerking van persoonsgegevens voor direct marketing doeleinden;
   • Tegen de verwerking wanneer deze is gebaseerd op het algemeen belang (artikel 6, lid 1, e) GDPR) of wanneer deze noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke voor de verwerking (artikel 6, lid 1, f) GDPR);
   • Tegen de verwerking van persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische

Teneinde tijdig en binnen de grenzen van de GDPR aan deze rechten tegemoet te kunnen komen, dienen er aantal standaardprocessen geïmplementeerd te worden binnen Selas. Onderstaande toelichting kan dienen als handleiding bij het ontvangen van een verzoek van een betrokkene wiens persoonsgegevens men verwerkt en bevat ook een aantal aandachtspunten bij het implementeren van een procedure om tegemoet te kunnen komen aan verzoeken van betrokkenen.

I.          PROCEDURE

A.     RECHT VAN INZAGE EN/OF CORRECTIE (ARTIKEL 15 EN 16 GDPR)

1. Ontvangen van een verzoek van de betrokkene

In uw privacy policy dient u te omschrijven op welke manier de betrokkene een inzage en/of correctieverzoek kan indienen. Dit kan bijvoorbeeld via brief of via een specifiek e- mailadres. De GDPR bepaalt ook dat, indien dit mogelijk is, Selas vanop afstand toegang kan geven aan de betrokkene via een online portaal bijvoorbeeld waarmee de betrokkene dan zelf zijn rechten kan uitoefenen en aanpassingen doorvoeren, zijn gegevens wissen,…

2. Identificatieplicht

Selas dient eerst de identiteit van de betrokkene vast te stellen vooraleer gehoor wordt gegeven aan het verzoek van de betrokkene.

3. Termijn waarop het antwoord gegeven moet worden

Als organisatie dient u uiterlijk binnen 1 maand schriftelijk te reageren. In geval het een complex verzoek betreft, bv. door de grote hoeveelheid persoonsgegevens, kan deze termijn met 2 maand worden verlengd.

Wanneer Selas om de één of andere reden geen gevolg geeft aan het verzoek, dient de betrokkene uiterlijk 1 maand na het indienen van het verzoek te worden geïnformeerd waarom er geen gevolg werd aan gegeven en ook dat hij klacht kan indienen bij de Gegevensbeschermingsautoriteit en bij de rechtbank.

4. Weigering van een verzoek?

In bepaalde en uitzonderlijke gevallen kan Selas weigeren om gehoor te geven aan een verzoek. Dit kan bijvoorbeeld het geval zijn bij een kennelijk ongegronde of buitensporige vraag.

5. Antwoord geven op een inzageverzoek

Selas dient bij een inzageverzoek de volgende informatie te verstrekken:

• Een kopie van de verwerkte persoonsgegevens;
• Indien de persoonsgegevens niet bij de betrokkene zelf zijn bekomen, informatie over de bron van de persoonsgegevens.

6. Antwoord geven op een correctieverzoek

Als organisatie dient u de betrokkene op de hoogte te stellen als wordt besloten de persoonsgegevens te corrigeren of aan te vullen.

Deze aanvulling of correctie dient zo snel mogelijk of “onverwijld” te gebeuren.

7. Kennisgevingsplicht in geval van correctie

Wanneer wordt besloten tot het corrigeren van de persoonsgegevens in kwestie dient de verantwoordelijke voor de verwerking ook de ontvangers van de persoonsgegevens van de

betrokkene hiervan op de hoogte te stellen, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.

Daarnaast dient ook aan de betrokkene informatie worden verstrekt over deze ontvangers indien deze hierom verzoekt.

B.     RECHT OP BEPERKING VAN VERWERKING (ARTIKEL 18 GDPR)

1. Informatieplicht en ontvangen van een verzoek

In de privacy policy dient u te omschrijven dat de betrokkene in een aantal gevallen recht heeft om de beperking te vragen van de verwerking van zijn persoonsgegevens. Daarnaast dient opgenomen te worden op welke manier hij zijn recht kan uitoefenen, bv. door het verzenden van een e-mail naar een bepaald e-mailadres.

2. Onderzoek van het verzoek

Terwijl u een onderzoek uitvoert naar de uitoefening van het recht op beperking van verwerking van de betrokkene, dient u in uw bestand aan te geven dat de persoonsgegevens in kwestie niet verder kunnen worden verwerkt.

Met andere woorden: indien u zou beslissen om bijvoorbeeld een direct marketing mailing te versturen naar uw klantenbestand, moet u opletten dat u deze mail niet verzendt naar deze personen die zich beroepen op hun recht op beperking tot wanneer u de uitoefening van het recht van de betrokkene hebt onderzocht.

3. Beslissing over het verzoek

Indien wordt besloten dat het verzoek tot beperking van de betrokkene gerechtvaardigd was, is het niet meer toegestaan om de betreffende persoonsgegevens te verwerken.

Afgezien van het opslaan van deze gegevens, mag u als verantwoordelijke geen verrichtingen meer uitvoeren met de persoonsgegevens.

Wanneer de verantwoordelijke voor de verwerking de persoonsgegevens toch verder wenst te verwerken is dit enkel mogelijk in volgende omstandigheden:

• Wanneer de betrokkene opnieuw toestemming geeft;
• Voor de instelling, uitoefening of onderbouwing van een rechtsvordering door de verantwoordelijke voor de verwerking;
• Ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon;
• Bij dringende reden van algemeen belang voor de Unie of voor een

4. Verwittig betrokkene vooraleer verder te verwerken

Indien uiteindelijk wordt beslist dat de gegevens die werden verwerkt bv. wel juist zijn of niet onrechtmatig werden verwerkt en dat u deze zodus wél werden mag verwerken, dient u de betrokkene te informeren dat u de gegevens verder zal verwerken vóóraleer de beperking van de verwerking wordt opgeheven.

5. Kennisgevingsplicht

Indien de persoonsgegevens in kwestie werden doorgegeven aan een derde, dient u ook deze ontvangers te informeren over het recht tot beperking waarom de betrokkene heeft verzocht, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.

C.    RECHT VAN BEZWAAR (ARTIKEL 21 GDPR)

1. Informatieplicht

Het recht van bezwaar dient uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht te worden gebracht. Dit kan u best doen door het opnemen van het recht van bezwaar in de privacy policy. De GDPR bepaalt nog dat dit “duidelijk en gescheiden van enige andere informatie” dient weergegeven te worden.

2. Ontvangen van een bezwaar van de betrokkene

• Bezwaar tegen direct marketing

Wanneer de betrokkene bezwaar maakt tegen het verwerken van zijn persoonsgegevens voor direct marketing doeleinden mag u deze gegevens niet meer gebruiken voor direct marketing doeleinden.

De betrokkene dient dit bezwaar zodus niet te motiveren.

• Bezwaar bij verwerking (incl. profiling) op basis van algemeen belang en gerechtvaardigd belang:

De betrokkene heeft te allen tijde het recht om redenen die verband houden met zijn specifieke situatie bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens.

In dit geval zal de betrokkene zijn bezwaren wél moeten motiveren.

3. Beslissing over het verzoek

Indien de betrokkene bezwaar maakt tegen het verwerken van zijn persoonsgegevens voor direct marketing doeleinden (m.i.v. profiling), dient de verantwoordelijke voor de verwerking hier gehoor aan te geven.

Indien de betrokkene bezwaar maakt tegen de verwerking op basis van algemeen belang en gerechtvaardigd belang, zal de verantwoordelijke voor de verwerking de verwerking moeten staken tenzij hij:

• dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene, of;
• deze nodig heeft voor de instelling, uitoefening of onderbouwing van een

Deze al dan niet verdere verwerking moet dus wel gemotiveerd worden. Het indienen van bezwaar dient kosteloos te zijn.

In geval het verwerken van persoonsgegevens online gebeurt, dient de betrokkene ook online zijn bezwaar kenbaar te kunnen maken.

De GDPR bepaalt geen termijn waarbinnen men dient te reageren.

D.    RECHT OP GEGEVENSWISSING (ARTIKEL 17 GDPR)

1. Indienen van een verzoek en beslissing

De betrokkene heeft het recht om wissing te bekomen van zijn persoonsgegevens en de verantwoordelijke voor de verwerking is verplicht om deze wissing door te voeren wanneer:

• De persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld/verwerkt;
• De betrokkene zijn toestemming intrekt en er geen andere rechtsgrond meer voorhanden is voor de verwerking;
• De betrokkene bezwaar maakt tegen de verwerking die plaatsvond op basis van algemeen belang en gerechtvaardigd belang en er geen prevalerende dwingende gerechtvaardigde gronden zijn voor de verwerking;
• De betrokkene bezwaar maakt tegen de verwerking om redenen van direct marketing
• De persoonsgegevens onrechtmatig zijn verwerkt;
• De persoonsgegevens moeten worden gewist op basis van een wettelijke verplichting die op de verantwoordelijke voor de verwerking rust;
• De verwerkte persoonsgegevens deze zijn van een -16

Indien de persoonsgegevens openbaar werden gemaakt en de betrokkene verzoekt om wissing van de gegevens, dient de verantwoordelijke voor de verwerking maatregelen te nemen om de andere partijen die deze persoonsgegevens ook verwerken te informeren over het verzoek tot gegevenswissing van de betrokkene. U dient enkel “redelijke” maatregelen te nemen rekening houdend met de beschikbare technologie en de uitvoeringskosten. Het doel is het wissen van koppelingen naar deze persoonsgegevens en het wissen van kopieën of reproducties.

2. Beslissing over het verzoek

De wissing dient “zonder onredelijke vertraging” te gebeuren.

U dient niet tegemoet te komen aan een vraag tot wissing in één van volgende gevallen:

• Uitoefenen van het recht op vrijheid van meningsuiting;
• Nakomen van een wettelijke verplichting, vervullen van een taak van algemeen belang, uitoefenen van het openbaar gezag;
• Redenen van volksgezondheid;
• Wanneer de verwerking nodig is voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden;
• Voor instelling, onderbouwing of uitoefening van een

E.     RECHT OP OVERDRAAGBAARHEID VAN GEGEVENS (ARTIKEL 20 GDPR)

1. Wanneer is er sprake van een recht op dataportabiliteit?

Het recht op dataportabiliteit impliceert dat de betrokkene het recht heeft om de gegevens die een verantwoordelijke voor de verwerking van hem verwerkt, in een “gestructureerde, gangbare en machine leesbare vorm te verkrijgen” en bovendien deze gegevens aan een andere verantwoordelijke voor de verwerking over te dragen.

Echter, de betrokkene kan dit recht enkel en alleen uitoefenen in geval de verwerking is gebaseerd op ofwel de toestemming van de betrokkene, ofwel wanneer de verwerking via automatische procedés wordt verricht.

2. Indienen van een verzoek en beslissing

Indien de betrokkene hierom verzoekt, dient u de persoonsgegevens die u verwerkt van deze persoon in een gangbare en machine leesbare vorm te voorzien. Machine leesbaar impliceert dat de informatie zo is gestructureerd dat software specifieke elementen uit de persoonsgegevens kan extraheren. Een dergelijke werkwijze vergemakkelijkt het proces van andere organisaties om deze persoonsgegevens te gebruiken.

Indien de betrokkene hierom verzoekt, bent u gehouden om deze persoonsgegevens (in een gangbare en machine leesbare vorm) rechtstreeks aan een andere organisatie over te maken.

Indien u meent geen gehoor te (kunnen) geven aan het verzoek van de betrokkene, dan dient u hem/haar te informeren over de reden waarom men niet kan voldoen aan de vraag. Daarnaast dient men de betrokkene ook te melden dat hij/zij het recht heeft om een klacht in te dienen bij de Gegevensbeschermingsautoriteit en/of zich tot de rechtbank te wenden zonder onredelijke vertraging en uiterlijk binnen 1 maand.

3. Termijn

U dient een dergelijke vraag van een betrokkene zonder onredelijke vertraging te beantwoorden en uiterlijk binnen 1 maand.

Deze periode kan worden verlengd met 2 maanden wanneer de vraag complex is of indien u een reeks van aanvragen ontvangt. Minstens dient u de betrokkene binnen 1 maand te informeren over het ontvangst van de aanvraag en dient u hem/haar te informeren over de reden van de vertraging.