De nieuwe privacyverklaring
Wij krijgen veel vragen over de nieuwe privacyverklaring, zodat we in dit artikel dieper ingaan op de informatie die verstrekt moet worden wanneer persoonsgegevens verzameld worden.
Ter herinnering, persoonsgegevens: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”
Als persoonsgegevens verzameld worden, dan moet de betrokkene in kwestie bepaalde informatie verstrekt worden. Dit wordt thans de zogenaamde privacyverklaring genoemd.
Basisinformatie op te nemen in de privacyverklaring
Art. 13 en 14 van de GDPR bevatten een waslijst van informatie die in de privacyverklaring moet opgenomen worden.
M.n. wanneer de informatie van de betrokkene zelf wordt verkregen:
a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, indien van toepassing, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
b) de contactgegevens van de functionaris voor gegevensbescherming, wanneer deze aangesteld is;
c) de verwerkingsdoeleinden alsook de rechtsgrond voor de verwerking;
d) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde wanneer de verwerking daarop gebaseerd is en ervoor noodzakelijk is;
e) in bijzondere gevallen dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie;
De voorgaande punten zijn de basisinformatie.
a) en b) zullen geen probleem opleveren.
c) vereist al meer kennis van de GDPR. De exacte verwerkingsdoeleinden moeten gekend zijn, én op basis daarvan moet de rechtsgrond bepaald worden. Om de juiste informatie weer te geven, zal dus een analyse moeten gedaan worden.
Ook bij punt d) moet eerst nagekeken worden of de verwerking wel rechtmatig is (art. 6). Blijkt dat de laatste categorie f) daarvan moet toegepast worden, dan zal punt d) gedefinieerd moeten worden in de privacyverklaring.
Vaak is punt e) niet van toepassing, omdat degene die de gegevens verzamelt deze in de meeste gevallen niet doorgeeft aan een derde land of internationale organisatie.
Aanvullende informatie privacyverklaring
Daarnaast moet informatie verstrekt worden om “een behoorlijke en transparante verwerking te waarborgen”:
a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
b) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
c) wanneer de verwerking op de toestemming van de betrokkene is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
d) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
e) of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
f) het bestaan van geautomatiseerde besluitvorming, en wanneer deze automatisering voor de betrokkene aan rechtsgevolg is verbonden of in aanmerkelijke mate treft: nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
Punt a) vraagt hier ook een zekere analyse. Meestal is er momenteel geen termijn bepaald waarbinnen de informatie bewaard wordt. Dat moet dus eerst opgehelderd worden vooraleer de nodige informatie kan gegeven worden.
Punten b), c) en d) leveren meestal geen probleem op.
De categorieën e) en f) zijn vaak niet van toepassing en het volstaat dit gewoon te melden. Wanneer er wel een verplichting of noodzakelijke voorwaarde verbonden is aan de verstrekking, moet dit ook verduidelijkt worden. Hetzelfde geldt bij het bestaan van geautomatiseerde besluitvorming.
Voorbeelden privacyverklaring
Op het internet zijn al veel voorbeelden van privacyverklaringen te vinden. Pas wel op want deze kunnen dus niet 1 op 1 overgezet worden en in sommige gevallen is een diepere analyse nodig en een goede kennis van de GDPR.
Via deze link kan U zelf een custom privacyverklaring genereren, wat in de meeste toepassingsgevallen een probleemloze oplossing biedt:
https://veiliginternetten.nl/privacyverklaring/
Contacteer ons als U daarmee problemen ondervindt of een gepersonaliseerde verklaring wenst op te laten stellen.
