Aan welke voorwaarden moet een privacyverklaring voldoen?
Degene die persoonsgegevens verwerkt, moet de persoon om wie het gaat (“de betrokkene”) hierover informeren. Gebeurt dit niet (op tijd) dan staat daar een boete op. Hoe moet dat informeren? De privacyverklaring is hiervoor vaak de handigste oplossing. Hierna wordt besproken waarom dit zo is en aan welke voorwaarden een privacyverklaring moet voldoen.
Privacyverklaring: het informeren van betrokkenen over de verwerking van hun persoonsgegevens
De verwerking van persoonsgegevens moet (o.a. op grond van de AVG) transparant zijn voor de betrokkenen. Dit betekent dat de betrokkene moet worden geïnformeerd indien diens persoonsgegevens worden verwerkt. Dat is vaak niet zo eenvoudig als dat klinkt. Hoe moet het bijvoorbeeld wanneer persoonsgegevens door een derde worden verstrekt en de contactgegevens van de betrokkene ontbreken? Nog ingewikkelder wordt het doordat de betrokkene vrij snel moet worden geïnformeerd nadat de verwerking is begonnen. Verder is het meestal ook niet haalbaar om iedere betrokkene van wie persoonsgegevens worden verwerkt, hierover te informeren. Dat zou heel veel werk met zich meebrengen. Een privacyverklaring op de website kan in dit soort gevallen uitkomst bieden. Deze moet dan echter wel voldoen aan de voorwaarden die aan een privacyverklaring worden gesteld in de AVG.
Voor wie is een privacyverklaring nuttig? Wie moet informeren?
(Rechts)personen die persoonsgegevens verwerken, kunnen dit onder de AVG in drie hoedanigheden doen: 1.) als verwerkingsverantwoordelijke; 2.) als verwerker en 3.) als gezamenlijk verwerkingsverantwoordelijke. Deze zijn niet allemaal informatieplichtig. Hierna wordt besproken welke partijen, in welke hoedanigheid profijt kunnen hebben van een privacyverklaring.
Degene die de betrokkene moet informeren over de verwerking, is verwerkingsverantwoordelijke. Dat is degene die (alleen of samen met anderen) bepaalt wat het doel is waarvoor de persoonsgegevens worden verwerkt en op welke manier dat wordt gedaan. Om aan deze informatieplicht te voldoen, kan de verweringsverantwoordelijke een privacyverklaring inzetten.
Ook komt het voor dat twee of meerdere partijen gezamenlijk verwerkingsverantwoordelijken zijn. Denk bijvoorbeeld aan het volgende. De twee partijen organiseren samen een hardloopwedstrijd. Zij bedenken en bepalen alles samen, waaronder welke persoonsgegevens nodig zijn, waarvoor deze worden verwerkt en hoe dat wordt gedaan. In dat geval zijn deze twee organisatoren waarschijnlijk gezamenlijk verwerkingsverantwoordelijken. De informatie moet namens de gezamenlijke verwerkingsverantwoordelijken worden verstrekt. Zij moeten afspraken maken over de manier waarop dit gebeurt. Voor verstrekken van de informatie kunnen zij een privacyverklaring inzetten.
Soms besteedt een verwerkingsverantwoordelijke de feitelijke uitvoering uit van (een deel van) de werkzaamheden waarbij de verwerking plaatsvindt. Denk bijvoorbeeld aan het volgende. De hiervoor genoemde organisatoren van de hardloopwedstrijd laten de inschrijvingen noteren door een extern secretariaat. Dit moet gebeuren in een bestandje dat daarvoor door de organisatoren is verstrekt.
Een partij die slechts uitvoerende handelingen verricht, is in beginsel een verwerker. In het voorbeeld is het extern secretariaat een verwerker bij het registreren van de aanmeldingen in het bestand dat de organisatoren hebben gegeven. De verwerker hoeft de betrokkenen niet te informeren over de verwerking van persoonsgegevens die zij als verwerker uitvoert. Deze heeft hiervoor dus geen privacyverklaring nodig.
Let echter op. Of een partij (gezamenlijk) verwerkingsverantwoordelijke of verwerker is, moet per situatie worden beoordeeld. Het hiervoor genoemde secretariaat zal in de daar genoemde situatie verwerker zijn. Het extern secretariaat heeft daarnaast ook eigen relaties. Denk bijvoorbeeld aan de organisator(en) (haar opdrachtgever), leveranciers en eventuele personeelsleden. Ten aanzien van hen zal zij persoonsgegevens verwerken. Daarbij is zij verwerkingsverantwoordelijke. Hier rust een informatieplicht op het secretariaat. Daarvoor kan zij een privacyverklaring inzetten.
Aan welke voorwaarden moet een privacyverklaring voldoen?
In de AVG is bepaald aan welke voorwaarden een privacyverklaring moet voldoen. Bepaalde onderwerpen moeten verplicht worden opgenomen. Ook moet de informatie beknopt en transparant zijn. Dit betekent dat deze in een begrijpelijke en gemakkelijk toegankelijke vorm worden verstrekt. Verder moet duidelijke en eenvoudige taal worden gebruikt. Deze laatste voorwaarden gelden in het bijzonder wanneer de informatie specifiek voor kinderen bestemd is.
Deze voorwaarden worden hierna toegelicht.
I. De onderwerpen van een privacyverklaring
In een privacyverklaring moet een flink aantal onderwerpen aan de orde komen. Dit betreft onder andere:
- (De identiteit van) de verwerkingsverantwoordelijke: o.a. diens contactgegevens en die van de eventuele functionaris voor gegevensbescherming (FG);
- Om welke persoonsgegevens het gaat;
- De verwerking: o.a. wat is het doel, gaan de persoonsgegevens ook naar landen buiten het AVG-gebied en/of derde partijen?
- De reden van de verwerking (in de AVG staan zes redenen en alleen in die gevallen is verwerking toegestaan)
- De bewaartermijn van de persoonsgegevens.
- De rechten van een betrokkene ten opzichte van de verwerkingsverantwoordelijke: bijvoorbeeld de rechten op correctie, wissing, inzage en het intrekken van toestemming (voor de verwerking).
- De reden waarom de persoonsgegevens moeten worden verstrekt en wat de mogelijke gevolgen zijn wanneer dit wordt geweigerd.
- Of er geautomatiseerde besluitvorming plaatsvindt (zoals profilering); zo ja, informatie hierover.
II. Beknopt
De tweede voorwaarde waaraan de privacyverklaring moet voldoen, is dat deze beknopt moet zijn. Gelet op het doel van de privacyverklaring (het informeren van de betrokkenen) is het op zich een begrijpelijke eis. Door het grote aantal punten dat in de privacyverklaring moet worden besproken, is dit echter vaak een uitdaging.
III. Begrijpelijke en eenvoudige taal
Om geïnformeerd te kunnen worden, moet de doelgroep de inhoud van de privacyverklaring kunnen begrijpen. Daarom moet begrijpelijke en eenvoudige taal worden gebruikt.
Dit betekent onder meer dat deze moet zijn opgesteld in de taal van de doelgroep. Richt een Nederlands bedrijf zich op klanten in Frankrijk, dan moeten de privacyverklaring (ook) in het Frans zijn opgesteld.
Ook het verdere taalgebruik (waaronder bijvoorbeeld woordkeuze en de ingewikkeldheid van zinnen) moet worden aangepast op de doelgroep. De inhoud van de privacyverklaring moet voor hen begrijpelijk zijn. Een bedrijf dat diensten aanbiedt aan kinderen, moet bijvoorbeeld eenvoudigere taal gebruiken dan een bedrijf dat zich op volwassenen richt.
TikTok ging volgens de Autoriteit Persoonsgegevens op het punt van begrijpelijke en duidelijke taal de mist in. Bij het installeren en gebruik van de app werd (alleen) Engelstalige informatie verstrekt. Ook aan Nederlandse gebruikers, grotendeels (jonge) kinderen. Volgens de Autoriteit Persoonsgegevens was deze informatie daarom onvoldoende begrijpelijk, wat leidde tot een schending van de privacy van deze jonge kinderen. Hiervoor werd een boete opgelegd van € 750.000,–.
IV. Eenvoudig toegankelijk
Tot slot moet de privacyverklaring toegankelijk zijn. Hij moet deze ook goed vindbaar zijn op de website. Een weggemoffelde privacyverklaring voldoet dus niet aan de voorwaarden.
Waarom is het belangrijk (via een privacyverklaring) aan de informatieplicht te voldoen?
Privacy wordt zo belangrijk gevonden, dat op het niet naleven van de privacyregelgeving veelal sancties staan. Dat geldt ook voor de informatieplicht. Een mogelijke sanctie is een boete, zoals ook aan TikTok opgelegd. Deze kan hoog oplopen. Verder riskeert een partij die niet aan de informatieplicht voldoet claims van gedupeerden.
Vragen over een privacyverklaring? Neem vrijblijvend contact met ons op
Heeft u vragen over de voorwaarden waaraan een privacyverklaring moet voldoen of wil u weten of uw privacyverklaring aan de eisen voldoet? Wij helpen u graag. Dat geldt ook indien u wil weten wat u (verder) moet doen om aan de eisen van de privacywet- en -regelgeving te voldoen. Neem dan vrijblijvend contact op met Cathelijne Elassaiss-Schaap via elassaiss@elassaiss.nl of via 0344 – 227 030.