Blogserie Europese privacyverordening, aflevering 2: Transparantie, informatievoorzieningen en toestemming

expertise:

IT & Privacy

nieuwsbrief:

Wilt u meer weten over dit onderwerp, schrijf u in voor onze nieuwsbrief

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

19 juli 2016

De Europese privacyverordening komt eraan. In onze eerste blog over dit thema hebben we de meest in het oog springende wijzigingen voor u op een rijtje gezet. In deze aflevering bespreken we de informatieverplichtingen, de verwerking op grond van toestemming en het recht om vergeten te worden.

Informatievoorzieningen

Eén van de pijlers van de Algemene Verordening Gegevensbescherming (‘AVG’ ) is de informatieverplichting die rust op de verwerkingsverantwoordelijke om de betrokkene te informeren over de verwerking van zijn persoonsgegevens. Deze informatie moet in een transparante, begrijpelijke en gemakkelijk toegankelijke vorm worden verstrekt. Ondernemingen kunnen dit doen door middel van een privacybeleid. Het taalgebruik dient daarbij afgestemd te worden op de doelgroep.

In de Wet bescherming persoonsgegevens (‘Wbp’), de huidige privacywetgeving, is deze plicht relatief beperkt. De AVG vereist het verstrekken van meer informatie. Deze informatieverplichting wordt in de verordening gestructureerd uiteengezet en moet onder meer bestaan uit:

  • Categorieën van verwerkte persoonsgegevens
  • Bewaartermijnen van persoonsgegevens
  • Ontvangers van persoonsgegevens
  • Delen van persoonsgegevens met internationale organisaties en/of derde landen
  • Doeleinden van de verwerking
  • Rechtsgronden voor de verwerking

Tenslotte moet de betrokkene worden geïnformeerd over zijn rechten, waaronder het correctie-, verwijder- en inzagerecht. De betrokkene moet deze rechten met de komst van de AVG ook elektronisch kunnen uitoefenen. Ondernemingen moeten de mogelijkheid hiertoe gaan faciliteren. Dit kan bijvoorbeeld door middel van een e-mailprocedure of een hiertoe ingericht digitaal antwoordformulier.

Zwaardere eisen aan toestemming

Evenals bij de Wbp kunnen onder de AVG persoonsgegevens worden verwerkt als de betrokkene daarvoor toestemming geeft. Deze toestemming moet ondubbelzinnig en uit vrije wil worden gegeven. Hierbij geldt dat impliciete toestemming, zoals reeds aangekruiste vakjes of passief handelen (wie zwijgt, stemt toe) niet is toegestaan. In de AVG worden aanvullende eisen gesteld. Indien de verwerking meerdere doeleinden heeft, moet, anders dan onder de Wbp, toestemming voor elk daarvan worden verleend.

De zwaardere eisen die gaan gelden bij het verkrijgen van toestemming komen ook tot uitdrukking in de bewijslast voor de verwerkingsverantwoordelijke. Ondernemingen zullen beter moeten aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Toestemming mag niet verscholen zitten tussen andere afspraken met een verwerkingsverantwoordelijke. Toestemming wordt geacht niet vrijelijk te zijn gegeven indien sprake is van een duidelijk verschil in machtspositie tussen de betrokkene en de verwerkingsverantwoordelijke. Toestemming aan een overheidsinstantie of werkgever kan zo in specifieke situaties niet vrijelijk zijn verleend.

Het recht om vergeten te worden

Het Hof van Justitie erkende in 2014 the right to be forgotten. In de AVG is dit recht gecodificeerd. Onder omstandigheden heeft een betrokkene het recht om hem betreffende persoonsgegevens te laten wissen. De verwerkingsverantwoordelijke zal hier gehoor aan moeten geven als:

  • Gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld.
  • Gegevens onrechtmatig zijn verwerkt.
  • Betrokkene diens toestemming voor de verwerking intrekt en er geen andere verwerkingsgrond aanwezig is voor de verwerking.

Het recht om vergeten te worden is géén absoluut recht. Het recht op vrijheid van meningsuiting en informatie kan bijvoorbeeld prevaleren. Ook indien de betreffende gegevens nodig zijn voor een rechtsvordering of ter archivering voor onderzoek, hoeven de gegevens niet te worden verwijderd.

Indien de verwerkingsverantwoordelijke gehoor geeft aan het verzoek persoonsgegevens te vernietigen, moet hij alle betrokken partijen hiervan verwittigen.

In de komende aflevering zal het thema: ‘gegevensminimalisering, beveiliging en inbreuken hierop’, nader uitgewerkt worden. Mocht u in de tussentijd nog vragen hebben over deze onderwerpen, dan kunt u terecht bij onze specialisten in de sectie IE-IT en Privacy: (s.vinken@banning.nl, j.berkvens@banning.nl en s.wiegerinck@banning.nl).