GDPR voor marketing: Wat zet je in een Privacyverklaring?
In mijn vorige blogs heb je kunnen lezen dat een rechtsgrond nodig is om persoonsgegevens te mogen verwerken. Zoals ik uitlegde is toestemming een veelgebruikte (en vaak ook vereiste) rechtsgrond om e-mail marketing te versturen of cookies te gebruiken. Maar met enkel toestemming ben je er nog niet. Naast het rechtsgrondvereiste zijn er namelijk meer vereisten waaraan moet worden voldaan om de activiteiten in overeenstemming met de privacywetgeving uit te voeren.
Zo dien je aan de informatieplicht te voldoen. Dit houdt in dat je de personen van wie je gegevens wilt verzamelen op de juiste manier informeert over die verzameling en het gebruik van hun gegevens. Dit wordt doorgaans gedaan door middel van een Privacyverklaring. Wat daar allemaal in hoort te staan? En waar moet je verder op moet letten?
Punten in de Privacyverklaring
De volgende zaken behoor je volgens de GDPR in de Privacyverklaring te benoemen:
- De identiteit en contactgegevens van de verantwoordelijke;
- De contactgegevens van de functionaris voor gegevensbescherming;
- De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond;
- Indien gebaseerd op gerechtvaardigd belang, de gerechtvaardigde belangen van de verantwoordelijke;
- In voorkomend geval, informatie over het doorgeven van gegevens naar een land buiten de EU/EEA;
- De periode gedurende welke de persoonsgegevens worden opgeslagen of de criteria ter bepaling van die termijn;
- De rechten van de betrokkenen;
- Indien de verwerking is gebaseerd op toestemming, dat het recht bestaat toestemming te allen tijde in te trekken;
- Het recht om een klacht in te dienen bij de toezichthoudende autoriteit;
- Of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is, inclusief de gevolgen van het niet verstrekken van de gegevens;
- Het bestaan van geautomatiseerde besluitvorming, informatie over de onderliggende logica, en de verwachte gevolgen voor de betrokkene.
Een hele waslijst aan informatie dus. Een aantal punten licht ik hieruit.
Aantal punten uitgelicht
Gegevens naar een land buiten de EU/EEA
Zoals wordt benoemd moet informatie worden gegeven omtrent eventuele doorgifte van gegevens naar een land buiten de EU/EEA. Deze doorgifte hoeft niet altijd bewust te gebeuren. Zo kun je gebruik maken van Google Analytics of AWS als Cloud provider, waardoor gegevens vaak automatisch buiten de EU gaan zonder dat je hier bewust een keuze in hebt gemaakt. Naar de betrokkene toe moet u ook in geval van soortgelijke onbewuste doorgifte transparant zijn. Ga daarom altijd na naar welke landen persoonsgegevens worden doorgegeven door serviceproviders waar u gebruik van maakt.
Rechten verzamelde persoonsgegevens
Daarnaast kunnen betrokkenen een aantal rechten uitoefenen met betrekking tot verzamelde persoonsgegevens. Zo heeft men het recht op inzage, het recht op rectificatie of wissing, het recht op overdraagbaarheid, het recht op beperking van de verwerking, en het recht tegen de verwerking bezwaar te maken. Deze rechten moeten expliciet worden benoemd in de verklaring. Het recht tegen de verwerking bezwaar te maken is zeker van belang in het geval van profilering. Indien een individu bezwaar maakt tegen profilering kan dat betekenen dat de bewuste gegevens moeten worden verwijderd uit het systeem. Richt daarom uw systeem zo in dat dit technisch gezien mogelijk is uit te voeren. Indien gegevens niet direct bij de individuen wordt verzameld, maar uit een andere bron komen, zoals een data broker of openbare bron, dan moeten er nog twee additionele zaken worden opgenomen in de verklaring. Zo moet de categorieën van verzamelde gegevens worden benoemd én de bron of bronnen waar de gegevens vandaan komen.
Eenvoudige taal
Naast bovengenoemde punten vereist de GDPR ook dat de Privacyverklaring in duidelijke, begrijpelijke, transparante en eenvoudige taal wordt geschreven en gemakkelijke toegankelijk is. Zorg dus dat het document eenvoudig toegankelijk is op de website. Bedenk ook wat voor publiek het document leest, en stem het taalgebruik daarop af.
Over de auteur: Sonja Pijnenburg
Sonja Pijnenburg is Interim Privacy Counsel bij DPA Privacy. Ze heeft in september 2016 haar master Law&Technology afgerond aan Tilburg University. Daarna heeft ze in Argentinië vrijwilligerswerk gedaan en aansluitend een reis gemaakt. Ze heeft voor haar huidige baan gekozen omdat ze al tijdens haar master interesse kreeg in het privacyrecht, vooral de toepassing van relevante wetgeving in de praktijk. Als Privacy Counsel met CIPP/e certificering geeft ze advies aan een breed segment bedrijven en organisaties. Naast reizen, kookt ze graag, is ze fanatiek sporter en is ze regelmatig bezoeker van concerten.