Informatieverplichting en privacyverklaring
Informatieverplichting
Volgens de AVG heeft iedere onderneming die persoonsgegevens verwerkt een informatieverplichting. Dit is onder meer opgenomen in het eerste beginsel van de AVG. Hierin staat letterlijk: ‘persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is’. Verder is deze verplichting ook terug te vinden het recht op informatie van de betrokkene.
Dit houdt in dat het voor de betrokkene duidelijk moet zijn dat zijn persoonsgegevens verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt worden, waarom en door wie. Deze informatie moet vervolgens de ook nog in duidelijke eenvoudige taal zijn opgesteld, en afgestemd zijn op de doelgroep. Juridische taal is dus ongewenst.
Privacyverklaring
U kunt voldoen aan deze informatieverplichting in een privacyverklaring. Deze moet op een makkelijk te vinden plek op uw website geplaatst worden. Let er wel op dat deze informatie verstrekt moet worden op het moment dat u de persoonsgegevens van een persoon krijgt. Een privacyverklaring achteraf sturen, volstaat dus niet. Deze moet direct beschikbaar zijn voor de betrokkene.
In de privacyverklaring moet in ieder geval de onderstaande informatie opgenomen worden:
• Uw naam en contactgegevens
• Indien u een Functionaris Gegevensbescherming (FG) heeft aangesteld: de naam en contactgegevens van de FG
• Waarom u persoonsgegevens verzamelt en waarom dat mag (doelomschrijving, rechtsgrond en onderbouwing)
• Of u de persoonsgegevens met anderen deelt, en zo ja met wie
• Of de betrokkene verplicht is om de gevraagde persoonsgegevens te verstrekken of niet, en wat de gevolgen als de betrokkene deze gegevens niet verstrekt (noodzaak)
• De rechten van de betrokkene
• De bewaartermijn van de gegevens
• Als de persoonsgegevens buiten de EU verwerkt gaan worden, welke passende waarborgen er zijn getroffen om de privacy in dat land te waarborgen
• Of u aan geautomatiseerde besluitvorming (bijvoorbeeld profiling) doet
Een format voor een privacyverklaring maakt onderdeel uit van het doehetzelf-pakket.