123

De AP gebruikt de term privacyverklaring in het kader van de informatieplicht (artikel 12-14 AVG). Persoonsgegevens mogen alleen van een persoon (de betrokkene), bijvoorbeeld een bezoeker van een website of een klant, worden verwerkt wanneer voor hem of haar, onder andere, transparant is wat er met diens persoonsgegevens gebeurt (transparantiebeginsel).

Dit betekent volgens artikel 12-14 AVG dat de verwerkingsverantwoordelijke verplicht is informatie te verschaffen aan betrokkenen over de gegevensverwerking. Hoewel voor deze informatieplicht geen vormvereiste is voorgeschreven, informeren verwerkingsverantwoordelijken de betrokkenen doorgaans via een privacyverklaring.

In de privacyverklaring moet in ieder geval het volgende staan:

  • de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
  • indien van toepassing; de contactgegevens van de FG;
  • de verwerkingsdoeleinden en de rechtsgronden;
  • de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6 lid 1, punt f AVG, is gebaseerd;
  • indien van toepassing; de ontvangers of categorieën van ontvangers van de persoonsgegevens (dit zijn personen of organisaties aan wie de verwerkingsverantwoordelijke persoonsgegevens verstrekt, bijvoorbeeld een salarisadministratiekantoor, belastingdienst, clouddienst, etc.);
  • indien van toepassing; dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie (zo ja, welke aanvullende maatregelen zijn getroffen);
  • de bewaartermijn van de persoonsgegevens, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
  • informatie omtrent de rechten van betrokkenen;
  • wanneer de verwerking op toestemming is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken;
  • dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
  • of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
  • het bestaan van geautomatiseerde besluitvorming, en indien dit bestaat; nuttige informatie over de onderliggende logica, het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
  • alle overige informatie welke benodigd is om een transparantie verwerking te waarborgen (dit dient verwerkingsverantwoordelijke zelf vast te stellen).

Even belangrijk als de feitelijke inhoud van de privacyverklaring is dat de informatie duidelijk is (geen vage termen) en te onderscheiden moet zijn van andere niet-privacygerelateerde informatie (zoals contractbepalingen of algemene gebruiksvoorwaarden), begrijpelijk moet zijn voor een gemiddeld persoon uit de doelgroep (denk hierbij aan verschil tussen kinderen en beroepsprofessionals) en makkelijk vindbaar moet zijn.

Hieraan kan bijvoorbeeld worden voldaan door een privacyverklaring prominent op de website te plaatsen en hiernaar te verwijzen, of bijvoorbeeld op de verpakking van een product of in het geval van applicaties/software in de app-store waar de app/software te downloaden is voordat het downloaden begint. Bij producten zonder scherm is het mogelijk naar de privacyverklaring te verwijzen op de verpakking van het product en/of de belangrijkste onderdelen te laten voorlezen.

Het niet voldoen aan deze informatieplicht wordt zwaar aangerekend: de verwerkingsverantwoordelijke kan door de AP worden gesanctioneerd met een boete van maximaal 20 miljoen of 4% van de wereldwijde jaaromzet, in het geval deze hoger is.