Bewaartermijn

Hoe kunnen wij ons volgens artikel 13 en 14 van de AVG informeren over de bewaartermijn van de persoonsgegevens als een bedrijf de gegevens nog nodig heeft nadat de overeenkomst met de betrokkene is afgelopen?

De definitie van de bewaartermijn is een "basisvereiste" in de privacywetgeving.

De formulering in artikel 13.2 (a) en 14.2 (a) is identiek, namelijk: "de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn".

Het is de verwerkingsverantwoordelijke die geval per geval de bewaartermijn moet bepalen waarbij hij rekening houdt met proportionaliteitsbeginsel.

Het is niet verplicht om de betrokkene een specifiek aantal dagen, maanden of jaren mee te delen. U kunt bijvoorbeeld simpelweg zeggen dat de gegevens worden bewaard "gedurende de uitvoeringstermijn van de overeenkomst" of de "tijd die nodig is om het doeleinde te bereiken".

De betrokkene hebben altijd te mogelijkheid om hun recht op gegevenswissing uit te oefenen. Artikel 17.3 (e) bepaalt evenwel dat het recht om gegevenswissing te verkrijgen niet van toepassing is als de verwerking noodzakelijk is voor vaststelling, de uitoefening of de verdediging van een wettelijke verplichting. Als dit het geval is, mag u die gegevens bijhouden.

Bron: artikel 17.3(e) AVG

Veranderen de bewaartermijnen onder de AVG?

Nee. Onder de Algemene verordening gegevensbescherming (AVG) gelden dezelfde bewaartermijnen als nu. Het uitgangspunt blijft dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor het doel van de verwerking.

Hoe lang de gegevens mogen worden bewaard, verschilt per geval. De verwerkingsverantwoordelijke:

  • bepaalt voorafgaand aan de verwerking hoe lang hij de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt hij in elk geval de criteria voor het vaststellen van de bewaartermijn. De bewaartermijn of de criteria worden vastgelegd in een beleid.
  • neemt de bewaartermijnen op in het register van verwerkingsactiviteiten.
  • informeert de betrokkenen over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op de website.

Wie persoonsgegevens verwerkt voor het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden mag de persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van de verwerking.

Let op: de verwerkingsverantwoordelijke neemt dan wel de technische en organisatorische maatregelen om de privacy van de betrokkenen zo goed mogelijk te beschermen, bv. dataminimalisatie.

 

Hoe staat het met het recht op gegevenswissing ten opzichte van andere wetgeving zoals de antiwitwaswetgeving, die verplicht om de gegevens gedurende een bepaalde periode bij te houden?

De AVG verleent aan de betrokkene het recht om van de verwerkingsverantwoordelijke de wissing te verkrijgen van hem betreffende persoonsgegevens en dit zonder onredelijke vertraging. De verwerkingsverantwoordelijke is op zijn beurt verplicht deze persoonsgegevens zonder onredelijke vertraging te wissen wanneer de in § 1 van artikel 17 opgesomde gevallen van toepassing zijn.

Dit recht is niet absoluut. De AVG voorziet immers in meerdere uitzonderingen op het recht op gegevenswissing. Onder deze uitzonderingen bevindt zich ondermeer "voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend".

Bron: artikel 17 AVG