Privacyverklaring, noodzaak of niet?

| NL Law

| Leestijd: 4 minuten
Privacyverklaring

Een privacyverklaring is noodzakelijk om te voldoen aan de verplichtingen die voortvloeien uit de AVG. Het is echter vaak onduidelijk wie verwerkingsverantwoordelijke is en op welke (andere) wijze aan de plicht voldaan kan worden. De AP schroomt intussen niet om hoge boetes op te leggen.

Voor wie is de privacyverklaring verplicht?

De verwerkingsverantwoordelijke dient een privacyverklaring te verstrekken aan de personen waarvan gegevens worden verwerkt. De verwerkingsverantwoordelijke is degene die bepaalt op welke wijze en voor welk doel persoonsgegevens worden verwerkt. Deze bepaalt dus het doel en de middelen. Dat kan een bedrijf zijn, maar ook bijvoorbeeld een persoon of een vereniging.

Let wel – de verwerker is niet altijd de verwerkingsverantwoordelijke. Indien de verwerking is uitbesteed aan bijvoorbeeld een boekhouder, blijft de organisatie waarmee de persoon de gegevens heeft gedeeld de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke dient de privacyverklaring te verstrekken zodra sprake is van gegevensverwerking in de zin van de AVG.

De AVG is echter niet van toepassing op alle gegevens die in verband kunnen worden gebracht met personen.

Toepassing AVG

De Algemene Verordening Gegevens bescherming (AVG) ziet op bescherming van het recht van natuurlijke personen ten aanzien van hun persoonsgegevens en het vrij verkeer (binnen de EU) van deze gegevens. De AVG ziet dus enkel op persoonsgegevens. Niet op alle mogelijke privacy van burgers en niet op alle mogelijke gegevens die een organisatie verzamelt. 

Persoonsgegevens in de zin van de AVG

De AVG is enkel van toepassing op geautomatiseerde verwerkingen van persoonsgegevens. Voorts is de AVG enkel van toepassing op gegevens die in een bestand worden opgenomen of daartoe bestemd zijn. Losse notities met persoonsgegevens vallen derhalve niet onder de bescherming van de AVG. Geordende en gestructureerde notities wel, ook als deze handgeschreven zijn. Een geprint of handgeschreven dossier valt onder de bescherming van de AVG. Een telefoonnotitie die niet bestemd is om te bewaren, valt niet onder de bescherming van de AVG.

Overige persoonsgegevens

Persoonsgegevens die worden verwerkt voor louter persoonlijke of huishoudelijke activiteiten vallen eveneens niet onder de bescherming van de AVG. Persoonlijke aantekeningen van medewerkers worden gezien als persoonlijke activiteit en worden derhalve ook niet gedefinieerd als persoonsgegevens in de zin van de AVG. Ook als die notities betrekking hebben op een dossier. Zolang de notities niet bestemd zijn om in het dossier bewaard te worden, is het maken van de notitie een persoonlijke activiteit.

Indien een organisatie verwerkingsverantwoordelijke is en persoonsgegevens verwerkt in bestanden, dan is een privacyverklaring verplicht. Deze dient echter aan harde eisen te voldoen.

Verplichting privacyverklaring

Een privacyverklaring dient conform artikel 12 van de AVG een verklaring te zijn:

‘in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’

Een privacyverklaring mag niet lang en ingewikkeld zijn. Voorts mag de verklaring ook niet in een vorm worden verstrekt die moeilijk toegankelijk is, zoals een bestandsvorm die niet door iedere gebruiker geopend zou kunnen worden. Ook een papieren privacyverklaring in een heel klein of onleesbaar lettertype is niet toegestaan.

Niet enkel de duidelijkheid en de vorm is van belang, maar ook het tijdstip van verstrekken van de verklaring.

Tijdstip verstrekken privacyverklaring

De privacyverklaring dient verstrekt te worden zodra de gegevens van de persoon worden ontvangen. Online dient de privacyverklaring dan ook bij het contact- of bestelformulier beschikbaar te zijn. Indien personen per e-mail contact opnemen, dan dient in een reactie direct de privacyverklaring beschikbaar te zijn.

Een privacyverklaring dient dus helder, eenvoudig beschikbaar en snel verstrekt te zijn. De inhoud van de privacyverklaring is uiteraard ook van groot belang om aan de plicht te voldoen.

Inhoud van de privacyverklaring

In artikel 13 van de AVG is geregeld wat precies in de privacyverklaring opgenomen dient te worden. Daarbij dient de eenvoud en beknoptheid van de tekst niet uit het oog verloren te worden, ondanks de lange lijst met eisen. Hieronder volgt een beknopte weergave van de eisen. Deze is echter onvolledig, omdat de eisen van de privacyverklaring sterk afhangen van onder meer de aard van de onderneming en het doel van de verwerking van de gegevens.

  • Naam en contactgegevens van de verwerkingsverantwoordelijke
  • Doel van de verwerking
  • De overige ontvangers van de persoonsgegevens (denk hierbij aan de boekhouder)
  • Of de gegevens buiten de EU terecht zullen komen
  • De bewaartermijn
  • De rechten die de persoon waarvan de gegevens worden verwerkt heeft ten aanzien van inzage
  • Het klachtrecht met omschrijven van de wijze waarop een klacht kan worden ingediend
  • De aard van de verplichting van het verstrekken van de gegevens (wettelijk, contractueel)
  • Of de gegevens worden gebruikt in het kader van geautomatiseerde besluitvorming (bijvoorbeeld software die bepaalde gegevens categoriseert)

Privacyverklaring maatwerk

Een privacyverklaring is voor elke verwerkingsverantwoordelijke maatwerk. Om ook te voldoen aan de eis van beknoptheid is het eveneens maatwerk ten aanzien van verschillende vormen van verwerking. Indien u verschillende diensten aanbiedt, kan het noodzakelijk zijn om verschillende privacyverklaringen te verstrekken. Verder hangt het af van de doelgroep of de privacyverklaring voldoende duidelijk, beknopt en beschikbaar is. De specialisten van LexQuire adviseren u graag over uw plichten en over de wijze waarop u daaraan kunt voldoen.

Beoordeel bericht
0 / 5

Your page rank:

Article Contact Form (Short Form)

Kunnen wij helpen?

Privacy *