Zephyrnet-logo

Inzicht in het recht op gegevensverwijdering volgens de Nigeriaanse wet

Datum:


Introductie

"Het internet vergeet nooit". Veel internetgebruikers, met name populaire sociale mediaplatforms, zijn bekend met deze uitdrukking, die de virtuele permanentie van online geposte informatie suggereert. De duurzame aard van informatie die is opgeslagen met behulp van informatietechnologie, is verbeterd met de ontwikkeling van cloudopslag die het verzamelen, aggregeren en opslaan van gegevens mogelijk maakt, vaak zonder rekening te houden met de natuurlijke grenzen van soevereine staten. Wanneer informatie via een social media-platform wordt geplaatst, duurt het vaak een paar minuten voordat deze kan worden bekeken en gedeeld door miljoenen mensen over de hele wereld. Het internet en sociale mediaplatforms dienen naast het medium dat ze bieden voor het delen van informatie en ideeën, ook als opslagplaats van informatie.

Veel organisaties hebben hierop geprofiteerd om een ​​bedrijfsmodel te ontwikkelen, zoals digitale marketing, waarbij gegevens de aard van grondstof aannemen voor verdere exploitatie. De alomtegenwoordige aard en het gebruik van computersystemen hebben ernstige gevolgen voor de privacyrechten van burgers, vooral wanneer persoonlijke informatie wordt gedeeld, verhandeld en geëxploiteerd zonder de toestemming van de betrokkene. De tussenkomst van wetgeving inzake gegevensbescherming als middel om de privérechten van personen te beschermen, wordt dus gezien als een welkome ontwikkeling om mensen te beschermen tegen overmatige blootstelling van hun persoonlijke informatie in de digitale wereld. In de context van het voorgaande analyseert dit artikel het recht op gegevenswissing, een van de meest opvallende rechten onder de wetgeving inzake gegevensbescherming.

Het recht op gegevenswissing erkent hoe belangrijk het is dat individuen controle hebben over hun persoonlijke gegevens en deze kunnen laten verwijderen of verwijderen uit databases en online platforms. Het stelt individuen in staat om de verwijdering van hun persoonlijke informatie te vragen wanneer deze niet langer nodig is, onrechtmatig is verwerkt of wordt gebruikt op een manier die in strijd is met hun rechten. Dit recht dient als een essentieel instrument om individuen meer controle te geven over hun digitale voetafdruk en ervoor te zorgen dat ze de informatie die ze online delen kunnen beheren. Door het recht op gegevenswissing te analyseren binnen de context van wetgeving inzake gegevensbescherming, onderzoekt dit artikel het belang ervan voor het beschermen van de privacy van individuen en hen in staat stellen om meer controle te krijgen over hun persoonlijke informatie in een steeds meer onderling verbonden wereld.

Wettelijke basis voor gegevensbeschermingsrechten

Onder het Nigeriaanse rechtssysteem vindt elke wet zijn oorsprong in de grondwet van 1999, waaraan ze hun geldigheid ontlenen. Wetgeving inzake gegevensbescherming vormt daarop geen uitzondering. Artikel 37 van de Grondwet van 1999 bepaalt dat de privacy van burgers, hun woning, correspondentie, telefoongesprekken en telegrafische communicatie wordt hierbij gewaarborgd en beschermd. Het is algemeen aanvaard dat deze bepaling de basis vormt voor gegevensbeschermingsregelgeving, met name met betrekking tot de verwerking van persoonsgegevens in het digitale tijdperk1. Ter bevordering van de doelstelling om de rechten van burgers als betrokkenen te beschermen, heeft het Nigerian Information Technology Development Agency, dat is opgezadeld met regulering van IT-gebruik in Nigeria, de Nigerian Data Protection Regulation (NDPR) 2019 uitgevaardigd, evenals de aanvullende Implementatiekader 2020 gegevensbescherming in het land te regelen2. Naast andere opvallende gegevensbeschermingsbepalingen van deze twee wetgevingen, werden daarin specifieke rechten van de betrokkene voorzien. Het recht om verwijdering te eisen waarop dit artikel betrekking heeft, is een van de rechten die zijn gecreëerd onder de NDPR.

Betrokkene en reikwijdte van beschermde gegevens

Centraal in elke verordening inzake gegevensbescherming staat de betrokkene. In de context van de Nigeriaanse wet is de betrokkene elke natuurlijke persoon in Nigeria wiens privé-informatie door de wet wordt beschermd. De wet maakt in dit opzicht geen onderscheid tussen een Nigeriaanse burger en andere niet-nationale ingezetenen. Deze bescherming die wordt geboden aan zowel ingezetenen als niet-nationale ingezetenen, voldoet aan de internationale standaard zoals die van toepassing is in ontwikkelde economieën zoals de VS en de EU. Ondergeschikt aan het concept van de betrokkene zijn de middelen om hen te identificeren, waaronder informatie met betrekking tot de fysieke, mentale, fysiologische, economische, sociale en culturele identiteit. Daarnaast wordt persoonlijke informatie die nodig is om een ​​betrokkene te identificeren verder gedefinieerd, om informatie te dekken zoals internet IP-gegevens, locatie-informatie, social media-handle/moniker, e-mailadres, evenals berichten en publicaties om er maar een paar te noemen. Op grond van deze brede definitie valt informatie die automatisch wordt opgeslagen door digitale platforms via het verzamelen van cookies, geolocatie-applicaties en IP-adressen van websites allemaal onder de bescherming van de verordening.

Een ander belangrijk punt om op te merken met betrekking tot de bescherming van de betrokkene is dat zijn rechten worden geactiveerd met betrekking tot elke verwerkingshandeling door organisaties die in contact komen met zijn persoonlijke informatie. Gegevensverwerking wordt in dit verband breed gedefinieerd onder de NDPR

"elke bewerking of elk geheel van bewerkingen dat wordt uitgevoerd op Persoonsgegevens of op een geheel van Persoonsgegevens, al dan niet geautomatiseerd, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door doorgifte, verspreiding of anderszins beschikbaar stellen, aligneren of combineren, afschermen, wissen of vernietigen"

Dus wanneer een entiteit een van de hierboven gedefinieerde handelingen verricht met betrekking tot persoonsgegevens van een betrokkene, wordt de door de verordening geboden bescherming geactiveerd, ongeacht of de entiteit in contact komt met de gegevens via een contractuele overeenkomst met de betrokkene, of de gegevens zijn verkregen via niet-consensuele middelen of van derden.

Inzicht in het recht op gegevensverwijdering

Hoewel er verschillende rechten beschikbaar zijn voor de bescherming van een betrokkene onder de NDPR, gaat dit artikel meer over de reikwijdte van het recht op gegevenswissing, ook wel bekend als "het recht om vergeten te worden". In zijn eenvoudigste vorm is het recht op gegevenswissing het recht van een betrokkene om van een gegevensbeheerder of gegevensverwerker te eisen dat de persoonlijke gegevens die van hem in de administratie van de gegevensbeheerder worden bewaard, worden verwijderd. Dit recht vindt zijn oorsprong in de wetgeving inzake gegevensbescherming van de Europese Unie, met name in het geval van Google Spanje tegen Agencia Española de Protección de Datos3. Dit was een zaak waarin de eiser met succes Google aanklaagde wegens weigering om te voldoen aan het verzoek om gênante gegevens over de eiser te verwijderen die op de Google-zoekmachine verschijnen. Deze uitspraak van het Europese Hof van Justitie is vervolgens gecodificeerd in de EU General Data Protection Regulation (GDPR) 2018.

Hoewel de reikwijdte van de rechten van betrokkenen onder de NDPR niet zo uitgebreid is als voorzien in de EU-wetgeving4, is het recht op gegevenswissing uitdrukkelijk voorzien in de verordening. Paragraaf 2.1 (1c) van de NDPR bepaalt dat “persoonlijk gegevens mogen alleen worden bewaard voor de periode waarin ze redelijkerwijs nodig zijn”. Het dubbelzinnige karakter van deze bepaling is verder verduidelijkt in paragraaf 8 van het Uitvoeringskader NDPR 2020. De Implementatiekader bepaalt dat bij gebreke van een uitdrukkelijke overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke, gegevens niet langer dan 3 jaar mogen worden bewaard vanaf de laatste datum van interactie met het digitale platform door de betrokkene, of binnen 6 jaar in het geval van een online contractuele transactie. In alle andere gevallen waarin de gegevens worden verwerkt zonder de toestemming van de betrokkene, worden de gegevens op verzoek onmiddellijk gewist, tenzij een wet een dergelijke verwijdering verbiedt, of het bewaren van de gegevens noodzakelijk is voor een rechtszaak of onderzoek waarbij de gegevens betrokken zijn onderwerp.

Naast paragraaf 2.1 (1c) van de NDPR, paragraaf 3.1 (9) somt de gemeenschappelijke gronden voor het eisen van het wissen van persoonsgegevens op in de verordening en dat zijn ze;   

  • Waar wissen wordt opgelegd door de wet of door een overeenkomst die is aangegaan tussen de verwerkingsverantwoordelijke en de betrokkene. Dit is het geval wanneer een verwerkingsverantwoordelijke wettelijk verplicht is om persoonlijke informatie die van een persoon wordt bewaard na een bepaalde periode te verwijderen, of wanneer het privacybeleid van het online platform dat de gebruiksduur door burgers regelt, voorziet in verwijdering van persoonlijke gegevens na een tijdsperiode.
  • Waar de informatie onjuist is - dit recht is een ondergeschikte aan het recht van de betrokkene om nauwkeurige informatie over hem te laten bewaren door een gegevensverwerkende entiteit. Een betrokkene heeft dus het recht om de verwijdering van dergelijke foutieve gegevens te eisen
  • Wanneer de informatie is bewaard zonder de toestemming van de betrokkene, of de eerder gegeven toestemming is ingetrokken.
  • Wanneer de betrokkene bezwaar maakt tegen de verdere verwerking van de gegevens en er geen doorslaggevende legitieme redenen zijn om de gegevens te bewaren.
  • Wanneer de verwerking niet langer nodig is in verband met het doel waarvoor ze zijn verkregen.

Een belangrijk punt om op te merken is dat de toepassing van bepalingen van lid 3.1, lid 9 anders paragraaf 2.1 (1c) is niet afhankelijk van het bestaan ​​van een contractuele relatie tussen de betrokkene en de verwerkingsverantwoordelijke die de gegevens verwerkt. Dit heeft tot gevolg dat de rechten van de betrokkenen behouden blijven om verwijdering te eisen van organisaties en digitale platforms, met betrekking tot persoonlijke informatie die door een dergelijke entiteit wordt gehost, ongeacht of deze zijn geplaatst door of zijn verkregen van derden. Dit geeft betrokkenen impliciet een grotere vorm van controle over het gebruik van hun persoonsgegevens in de digitale wereld. Ook hebben betrokkenen meer controle bij het bepalen welke informatie over hen toegankelijk is voor derden of het algemene publiek.

Een praktisch voorbeeld is het geval van een afperser op sociale media die compromitterende informatie over zijn slachtoffer op internet vrijgeeft. Afgezien van het recht om wetshandhavingsmaatregelen te nemen tegen de afperser, kan het slachtoffer met recht eisen dat het digitale platform waarop de informatie wordt gepubliceerd, deze verwijdert. Deze ruime interpretatie van het recht van de betrokkene op verwijdering is in overeenstemming met de wettelijke doelstellingen van privacybescherming en geeft praktisch gevolg aan de bepalingen van artikel 37 van de Grondwet van 1999. Ook deze benadering komt overeen met de opvatting van gegevens in de hedendaagse wereld als een persoonlijk bezit dat bescherming verdient. Dit artikel stelt zich op het standpunt dat deze doelgerichte interpretatie van de NDPR de voorkeur verdient wanneer de verordening moet worden toegepast, aangezien deze een afspiegeling is van het verhoogde beschermingsniveau in de EU waar persoonsgegevens worden beschermd als een fundamenteel mensenrecht op grond van Artikel 8 van het EU-Handvest van de grondrechten.

Beperkingen op het recht om gegevenswissing te eisen

Ondanks het belang dat wordt gehecht aan de privacyrechten van betrokkenen die de basis vormen van het recht op gegevenswissing, is het recht geen absoluut recht aangezien het genot ervan aan beperkingen onderhevig is. De meest relevante beperkingen op het recht van de betrokkene om verwijdering te eisen, zijn de rechten op vrijheid van meningsuiting en informatie van andere personen. Er zijn omstandigheden waarin de vrijheid van meningsuiting en informatierechten van het publiek de wens van de betrokkene om privacyrechten te beschermen, kunnen overtroeven. Dit zal grotendeels afhangen van de bijzonderheid van de zaak, rekening houdend met factoren zoals de aard van de informatie die beschermd moet worden, de status van de betrokkene in de samenleving en de relevantie van de informatie in de specifieke periode. Er is momenteel geen beslissing van de Nigeriaanse rechtbank over deze kwestie. Maar het Europese Hof van Justitie in Google Spanje tegen Agencia Española de Protección de Datos(Zaak C-131/12) erkende dat algemeen belang bij informatie over publieke figuren vaak de rechten van dergelijke personen om verwijdering te eisen, kan vervangen.

Naast het voorgaande kan het noodzakelijk zijn om de gegevens van de betrokkene te blijven publiceren of op te slaan om aan een wettelijke verplichting te voldoen. Een voorbeeld hiervan zal zijn ten aanzien van strafregisters van overtreders, zoals een register van zedendelinquenten of veroordelingen dat voor het publiek toegankelijk is. Een ander voorbeeld is informatie die op grond van de wet wordt bewaard ter vervulling van een publieke taak. In dit verband, de NDPR Uitvoeringskader 2020 sluit uitdrukkelijk de toepassing van de NDPR uit met betrekking tot persoonsgegevens die worden bewaard ten behoeve van nationale veiligheid, openbare veiligheid of volksgezondheid. De betrokkene zal dus niet kunnen eisen dat dergelijke informatie die door wettelijke organisaties wordt bijgehouden, wordt gewist, wat noodzakelijk wordt geacht voor de belangen van het publiek. Ook het recht op verwijdering kan gevolgen hebben voor andere rechten van derden, bijvoorbeeld wanneer de informatie betrekking heeft op andere personen. De vraag of het verzoek om verwijdering in een dergelijk geval gerechtvaardigd is, zal van geval tot geval worden beoordeeld, rekening houdend met de tegenstrijdige rechten van de partijen

Conclusie

Het recht om vergeten te worden is essentieel voor het grondwettelijk gewaarborgde recht op privacy en is nauw verbonden met de mogelijkheid om opnieuw te beginnen met een hernieuwde identiteit. Het genot ervan geeft betrokkenen meer controle over het gebruik van hun gegevens en is in sommige gevallen belangrijk voor het behoud van hun waardigheid als lid van de samenleving. Rechts balanceert evenzeer de belangen van digitale platforms die data zien als de "nieuwe ruwe olie van de digitale wereld"5, die kunnen worden uitgebuit, en vaak tegen de eigendomsbelangen die betrokkenen hebben bij hun informatie. De introductie van wetgeving inzake gegevensbescherming in dit opzicht plaatst Nigeria in de rangorde van ontwikkelde landen die zich bezighouden met de bescherming van de privacyrechten van zijn burgers. Door een verbeterde voorlichtingscampagne wordt gehoopt dat Nigeriaanse burgers zich meer bewust zullen worden van hun rechten als betrokkenen, en dus in een betere positie zullen verkeren om hun gegevens in de digitale wereld te beveiligen.

eindnoten

  1. O. Babalola, 'Nigeria's juridische en institutionele gegevensbescherming
    model: een overzicht' (2022) Vol 12, No 1, International Data Privacy Law, p47.
  2. De NDPR Uitvoeringskader 2020 werd vastgesteld als richtlijn voor de interpretatie van de NDPR.
  3. Zaak C-131/12 (2014)
  4. In het EU-kader voor gegevensbescherming is gegevensbescherming een grondrecht. Zien Artikel 8 van het EU-Handvest van de grondrechten
  5. 1M Kuneva, 'Keynote Speech' (rondetafelgesprek over online gegevensverzameling, targeting en profilering 31 maart 2009) http://europa.eu/rapid/press-release_SPEECH-09-156_en.htm
spot_img

Laatste intelligentie

spot_img