De vereisten voor het opstellen van een privacyverklaring

Iedere Europese organisatie die persoonsgegevens verwerkt is verplicht een privacyverklaring te hebben op grond van de Algemene Wet Gegevensbescherming (AVG).


Bij bijna elk bedrijf is sprake van een verwerking van persoonsgegevens in de zin van deze wet. Ook gegevens die indirect naar personen te herleiden zijn zijn namelijk persoonsgegevens en bijna alle handelingen die een organisatie daarmee uit kan voeren worden als verwerking beschouwd.


In deze blog zal ik uitleggen waar een privacyverklaring aan dien te voldoen.


Vereisten


De AVG verplicht bedrijven een aantal gegevens in de privacyverklaring op te nemen. Dat zijn in ieder geval:

- de naam en contactgegevens van het bedrijf dat verantwoordelijk is voor de verwerking van persoonsgegevens;

- welke persoonsgegevens worden verwerkt;

- met wie de persoonsgegevens worden gedeeld en of gegevens worden verstrekt aan een ontvanger buiten de Europese Economische Ruimte (EER);

- hoe lang de gegevens worden bewaard;

- welke wettelijke grondslag er is om persoonsgegevens te verwerken;

- wat de rechten zijn van degenen van wie persoonsgegevens verwerkt worden en hoe diegene een klacht in kan dienen.


Opstellen privacyverklaring


Het is voor de meeste bedrijven lastig een privacyverklaring op te stellen die voldoet aan deze vereisten. Zonder een goed begrip van de wet en de geldende uitleg daarvan is namelijk goed invulling te geven aan deze vereisten.


Zo kan er slechts uit een aantal wettelijke grondslagen voor de verwerking worden gekozen, die ook weer aan bepaalde voorwaarden moeten voldoen.


Indien gegevens worden verstrekt aan een ontvanger buiten de Europese Economische Ruimte (EER), moet vermeld worden aan welk land dat is en of dat land adequaat is verklaard of dat er voldoende passende waarborgen zijn genomen. Dat kan bijvoorbeeld het geval zijn als de server waarop de gegevens zijn opgeslagen in Amerika staat.


Tot voor kort was het voor Amerika zo dat naar de Privacy Shield verwezen kon worden als het bedrijf waarmee de gegevens gedeeld werden zich daarbij had aangesloten. Dit Privacy Shield is recent echter ongeldig verklaard door het Europese Hof van Justitie. Daarom moeten er aanvullende maatregelen getroffen worden, anders mogen er geen gegevens aan bedrijven in Amerika worden doorgegeven.


Als er sprake is van bijzondere omstandigheden, zoals profilering van personen of geautomiseerde besluitvorming of profilering, moet er aan extra vereisten voldaan worden.


Tot slot is het zo dat de informatie die hierover wordt opgenomen in de privacyverklaring beknopt, transparant en begrijpelijk moet zijn.


Het is daarom altijd aan te raden om de privacyverklaring door een gespecialiseerd jurist op te laten stellen.


Wil je advies over jouw privacyverklaring of er een op laten stellen? Aarzel dan niet om contact op te nemen.


Zie ook: Geen recht op transitievergoeding bij herplaatsing in een functie met een lager salaris

En: Het ontslaan van werknemers in verband met het coronavirus

©2020 by LS Legal