[AVG] Bewaartermijn dataverwerkers voormalig werkgever?

Op 31-jan-2023 (dus bijna 1 jaar geleden) ben ik uit dienst gegaan bij mijn vorige werkgever (groot internationaal bedrijf).
Nu ben ik begin februari jarig en tot mijn verbazing zie ik een postnl pakket worden aangemeld door de vaste leverancier van verjaardagscadeaus van mijn vorige werkgever.

Dus blijkbaar bijna een jaar nadat ik uit dienst ben heeft een van de dataverwerkers van de vorige werkgever mijn persoonsgegevens nog (naam, adres, geboortedatum).

Ik kan niet goed terugvinden of dit terecht is dat zij mijn gegevens nog hebben.
Op zich heeft de werkgever een aantal jaren geleden netjes toestemming gevraagd voor delen van gegevens met een lijst van de leveranciers en het doel van het delen van de gegevens.

Bij de leverancier waar het om gaat staat er als doel verjaardagscadeaus. Dus aangezien ik al een jaar niet meer in dienst ben zou ik zeggen dat er totaal geen grondslag meer is om deze gegevens te delen.

Nu kan ik simpel een mailtje sturen naar de vorige werkgever met de het verzoek mijn gegevens niet meer te delen en te laten verwijderen, maar ze hebben me redelijk schofterig behandeld toen ik mijn baan had opgezegd en ze niet blij waren dat ik weg ging.

Dus ik zou ze graag wat extra werk geven als blijkt dat het delen tegen de regels zou zijn

Dus mijn vragen:
1) Gaat hier de voormalig werkgever in de fout doordat deze dataverwerker mijn persoonsgegevens nog heeft?
2) En zo ja, wat kan ik het beste doen om ze even te laten zweten?

@bw_van_manen Dank voor je uitgebreide antwoord.

Op zich hebben ze de privacy verklaring en toestemming redelijk geregeld.
Per leverancier is er ook aangegeven welke informatie en mbt welk doel deze gegevens gedeeld zijn.
Ook hoe ik de toestemming in moet trekken.

Mijn verwachting is dat op het moment dat ik uit dienst ben, deze toestemming impliciet ook ingetrokken wordt voor een aantal (alle?) leveranciers, omdat het doel van delen niet meer relevant is geworden.

Hier kan ik echter weinig informatie over vinden of je bij het verlaten van de werkgever expliciet de toestemming voor dataverwerking van leveranciers moet intrekken.

Maar ik ga ze wel een mail sturen om nadrukkelijk deze toestemming in te trekken.
En dan kijk ik volgend jaar wel weer of dat inderdaad gelukt is of dat ik opnieuw een kado krijg

kodak schreef op woensdag 31 januari 2024 @ 15:29:
[...]

Als je toestemming gaat intrekken die je eigenlijk al ingetrokken hebt dan geef je de indruk dat onnodig toestemming en intrekking verwachten/eisen redelijk is.

Daarom vraag ik me af waarom het precies onduidelijk is. Vooral op wat ik al schreef: wat maken de overeenkomsten wel duidelijk? Staat er in de aparte overeenkomst dat het buiten je werknemersrelatie valt? Is het een combinatie van toestemmingen waarbij een andere verwerking duidelijker bij je werk hoorde? Staat er in de vertrekovereenkomst een uitzondering voor aparte overeenkomsten? Gaan de cadeaus gewoonlijk alleen naar werknemers? Is er hoe dan ook een aanwijzing dat het buiten je werknemersrelatie valt, afgezien dat je kennelijk iets ontvangt na beëindiging?

Zoals al werd geschreven is apart toestemming vragen niet zomaar redelijk. Het apart intrekken dus ook niet. Dus als je dan toch niet wil dat een overeenkomst jou moeite kost kun je net zo goed eerst om verduidelijking vragen met uitleg waarom je verbaasd bent hier zelf nog achteraan te moeten.

Om even verder duidelijkheid te geven.
Ik heb hier meer dan 10 jaar gewerkt, dus in het orginele contract staat hier niets over.
Ik ben ook niet met een VSO weggegaan of zo, dus gewoon mailtje gestuurd met opzeggen en een bevestiging terug gekregen met informatie over inleveren spullen, afrekening uren, declaraties, etc. Verder geen voorwaarden etc.

Er is eind 2020 een mail naar alle werknemers in NL gestuurd met vraag om toestemming om gegevens (naam, thuis adres en eventueel geboortedatum) te delen met externe bedrijven met letterlijk in de titel van de email voor het sturen van cadeaus en kaarten.
Indien je daar niet op reageerde kreeg je nog een mail als herinnering met de opmerking dat je dan in de toekomst geen cadeaus of kaarten kreeg thuisgestuurd bij gelegenheden.

Deze mail is niet gecombineerd met andere toestemmingsvragen. Alleen deze toestemming tot delen van informatie voor de cadeaus en kaarten. En het is duidelijk dat dit cadeaus voor medewerkers zijn en niet voor relaties.

Alle bedrijven staan met naam in de mail genoemd, welke data er gedeeld wordt met elk bedrijf en met welke redenen, zoals het sturen van kerstcadeaus, marketing materiaal, verjaardagscadeaus, eten en drinken voor digitale vergaderingen vanuit thuis (corona tijd), etc.

De leverancier waar het om gaat wordt maar voor 1 doel genoemd in de mail en ook alleen daarvoor gebruikt in de tijd dat ik in dienst was: verjaardagscadeaus. De jaren dat ik dienst was kreeg ik 1 keer per jaar een pakketje van ze en dat was voor mijn verjaardag en dus de laatste jaren stond er in de PostNL app 1 a 2 weken voor mijn verjaardag een aankondiging dat ik een pakketje zou krijgen van deze leverancier. Dit wordt niet gedaan voor voormalig medewerkers. Vanwege dit patroon weet ik met redelijke zekerheid dat het voor mijn verjaardag is.

Daarnaast stond er in de email dit stukje nog over het intrekken van de toestemming:

Alle bovengenoemde bedrijven zullen uw achternaam, voornaam en woonadres ontvangen. Leverancier X zal ook uw geboortedatum ontvangen. Deze toestemming is beperkt tot de persoonsgegevens en beperkt tot het doel van de gegevensverwerking. U kunt deze toestemming op elk moment en in elke vorm intrekken (bijvoorbeeld door een e-mail te sturen naar hr@<WERKGEVER>). Geen enkele voorwaarde of beperking mag ertoe leiden dat uw toestemming langer voortduurt dan tot de datum en het moment van de intrekking. Vanaf het moment van intrekking mogen uw persoonsgegevens niet meer worden gedeeld met Leverancier of een andere derde partij, zonder uw uitdrukkelijke schriftelijke toestemming. U kunt uw persoonsgegevens op redelijk verzoek inzien en indien nodig corrigeren als u van mening bent dat deze onjuist of onvolledig zijn.

Dus opsommend:
Mag het redelijk zijn dat na het beindigen van een dienstverband het delen aan leveranciers van persoonsgegevens die alleen relevant zijn tijdens het dienstverband gestopt wordt zonder daar uitdrukkelijke de toestemming van het delen voor in te trekken?

Volgens mij is dat een redelijke verwachting en hadden ze deze data niet meer moeten delen of aan de leverancier moeten vragen deze data te verwijderen.

Beekforel schreef op donderdag 1 februari 2024 @ 14:28:
[...]

Je weet het dus nog niet helemaal zeker...?

Heb je nog toegang tot je email dat je dit nog zo goed kunt quoten? Of een exportje gemaakt toen je wegging?

Volgens mij is dit de beste reactie:

[...]

Bijna jarig, dus pas als ik het krijg weet ik het zeker

Geen toegang meer tot de email, maar heb wel een export gemaakt van alle mail die ik ontvangen en verstuurd heb met HR, wagenparkbeheer, leasemaatschappij, leidinggevende als het gaat om functioneringsgesprekken, etc. Dat ik altijd de afspraken kan raadplegen mocht daar later aanleiding voor zijn.

Aan de ene kant ben ik het met je eens met de reactie. Maar waar ik melde dat ik "redelijk schofterig" was behandeld, was dat een zware understatement zeg maar. Maar ik wil er op een publieke website niet te veel over vermelden. Vandaar toch een beetje die twijfel. Maar grote kans dat ik een simpel berichtje stuur.