Droits des
personnes concernées
Conformément au RGPD-GDPR, les personnes concernées disposent entre autres des droits suivants :
Droit d'information - enquête et décision du DPD-FG (articles 13 & 14 du RGPD-GDPR)
Les personnes dont les données personnelles sont collectées ou traitées ont le droit d'être informées et peuvent autoriser d'autres personnes à exercer ces droits en leur nom. Jusqu'à deux fois par an, la personne concernée peut demander gratuitement à connaître les données collectées, à moins que cette demande ne soit infondée ou excessivement contraignante.
Consultation (article 15 du RGPD-GDPR)
La personne concernée a le droit de consultation des données personnelles collectées ou traitées, et d'obtenir les informations suivantes :
a. les finalités du traitement ;
b. les catégories de données à caractère personnel concernées ;
c. les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront transmises ;
d. s'il y a des transferts vers d'autres pays ou organisations internationales et, le cas échéant, vers qui ;
e. les durées (prévues ) de conservation des données ;
f. les droits dont dispose la personne concernée à l'égard des données en question ;
g. son droit de déposer une réclamation auprès de l'autorité chargée de la protection des données à caractère personnel (Autoriteit Persoonsgegevens - AP).
h. si les données de la personne concernée ont été obtenues auprès de sources autres que la personne concernée elle-même et, dans l'affirmative, quelles en sont les sources ;
i. l'existence d'une prise de décision ou d'un profilage automatisé et, dans l'affirmative, son mode de fonctionnement et les conséquences éventuelles pour la personne concernée.
Rectification, effacement (droit à l'oubli) et limitation du traitement (articles 16, 17 et 18 RGPD-GDPR)
Toute personne concernée peut demander la rectification, l'effacement (droit à l'oubli) ou la limitation du traitement des données à caractère personnel enregistrées à son égard :
I. rectification : droit de correction des données à caractère personnel incorrectes ou incomplètes ;
II. Effacement : droit à l'oubli des données à caractère personnel (effacement des données), telles que :
- les données à caractère personnel qui ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées et qu'il n'existe aucune raison de les conserver ;
- la finalité du traitement des données à caractère personnel repose sur le consentement de la personne concernée et cette dernière a retiré ou retire son consentement ;
- la personne concernée s'oppose au traitement et il n'existe pas de motifs légitimes impérieux de conserver ou de traiter les données ;
- les données à caractère personnel ont fait l'objet d'une conservation ou d'un traitement illicite.
III. le droit à l'oubli (demande d'effacement) sera refusé si les données à caractère personnel sont nécessaires pour des finalités spécifiques telles que des obligations légales ou des procédures judiciaires ; le cas échéant, seules les données nécessaires pour cette finalité seront conservées et des durées de conservation doivent être respectées, telles que celles prévues par la loi néerlandaise sur les archives et la recherche scientifique ou historique ;
IV. limitation du traitement : une personne concernée peut demander la limitation du traitement de ses données si l'exactitude des données est contestée par la personne concernée ou si les données à caractère personnel ne sont plus nécessaires pour la finalité initiale ; le traitement peut donc s'avérer illicite et la personne concernée peut demander à bloquer ou à suspendre (temporairement) le traitement des données pendant l'enquête, afin qu'elles ne soient pas accessibles aux employés, période pendant laquelle les données ne peuvent pas être supprimées.
Portabilité des données (article 20 du RGPD-GDPR)
Une personne concernée est en droit de demander de transmettre les données à une partie tierce. De DPD-FG vérifie ensuite s'il s'agit de données numériques et s'il existe une base juridique permettant à cette autre partie de traiter lesdites données à caractère personnel sur la base d'un accord ou du consentement de la personne concernée. Ces données sont alors transmises sous forme numérique et dans la mesure nécessaire au but visé. Ce sera également le cas si ROTO est la partie destinataire.
Droit d'opposition (article 21 du RGPD-GDPR)
Si le traitement des données n'est pas nécessaire à l'exécution d'une tâche dans l'intérêt légitime et impérieux du responsable du traitement, la personne concernée peut s'opposer, au traitement à des fins de marketing direct, par exemple, ou de recherche scientifique ou à des fins statistiques fondées sur la situation particulière de la personne concernée.
Droit contre le traitement/profilage automatisé (article 22 du RGPD-GDPR)
La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant d'une manière significative d'une autre manière, à moins que cette décision soit nécessaire à l'exécution d'un contrat, qu'elle soit autorisée par une disposition légale ou que la personne concernée ait donné son consentement explicite.