Een aantal maanden geleden ontving het platform TikTok een boete van de Autoriteit Persoonsgegevens. De privacywaakhond legde het bedrijf een boete op van maar liefst 750.000 euro. TikTok ontving deze boete omdat ze de privacy van jonge kinderen zou hebben geschonden. De AVG eist dat betrokkenen in begrijpelijke taal worden geïnformeerd over de verwerking van hun persoonsgegevens. Doordat TikTok haar privacyverklaring voor een bepaalde periode slechts in het Engels beschikbaar had gesteld, heeft het bedrijf in strijd gehandeld met artikel 12, lid 1 van de AVG. Een goede beheersing van de Engelse taal is voor jonge kinderen niet vanzelfsprekend. Voor deze jonge Nederlandse kinderen was het dan ook niet mogelijk om de gevolgen te overzien van de gegevensverwerking. Dat is, zo stelt de Autoriteit Persoonsgegevens terecht, een ernstige overtreding.
Boetes zoals hierboven beschreven kunnen door de toezichthoudende autoriteiten worden opgelegd bij overtredingen van de AVG en UAVG. Op basis van deze wetten dient het voor gebruikers van (bijvoorbeeld) een online platform duidelijk te zijn wat er met hun persoonlijke data gebeurt, ook wanneer ze uitdrukkelijk akkoord zijn gegaan met de verwerking hiervan.
Zoals ook uit het voorbeeld van TikTok blijkt kunnen er flinke boetes volgen voor bedrijven die niet aan de vereisten van de AVG en de uitvoeringswet voldoen, bijvoorbeeld wanneer de privacyverklaring niet voldoet aan bepaalde wettelijke vereisten. Wat moet er eigenlijk staan in een privacyverklaring? Wat zijn de gevolgen als jij je hier niet aan houdt? En wanneer dien je als ondernemer een privacyverklaring aan te bieden? In deze blog zal ik kort stilstaan bij deze vraagstukken en ingaan op de relevante privacywet- en regelgeving.
Wanneer moet een onderneming een privacyverklaring hebben?
First things first. Wanneer dient een onderneming nou eigenlijk een privacyverklaring te hebben? Vrijwel elk bedrijf verwerkt persoonsgegevens. Bedrijven zijn verplicht om betrokkenen duidelijke informatie te verstrekken over de verwerking van hun gegevens. Bedrijven geven deze informatie in de regel via een privacyverklaring (maar dit hoeft niet! Spaans&Spaans is nog steeds op zoek naar een bedrijf dat het aandurft om websitebezoekers met een toffe video te informeren over de verwerking van hun gegevens).
Persoonsgegevens zijn gegevens die, direct dan wel indirect, te herleiden zijn tot een bepaald individu. Hierbij kan bijvoorbeeld worden gedacht aan gegevens zoals iemands naam, adres, e-mail, telefoonnummer maar ook medische informatie. Dit begrip wordt dus vrij ruim uitgelegd. Hetzelfde geldt voor de uitleg van het begrip ‘verwerken’. De AVG legt dit begrip onder andere uit als het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, of wijzigen, opvragen, raadplegen, gebruiken van gegevens.
Er is dus al heel snel sprake van gegevensverwerking: denk bijvoorbeeld aan het bijhouden van een (online) klantenbestand of het opvragen van gegevens voor het gebruik van een app. Je ontkomt er dan ook niet aan om betrokkenen te informeren over de verwerking van hun gegevens.
Privacyverklaring maken
Een privacyverklaring dient in ieder geval te benoemen waarvoor de persoonsgegevens verwerkt worden. De AVG stelt daarnaast een aantal andere algemene vereisten aan privacyverklaringen. Een privacyverklaring moet niet te ingewikkeld zijn. Dit wordt geregeld in art. 12 en art. 13 van de AVG. In deze artikelen wordt benoemd dat een verklaring omtrent de verwerking van persoonsgegevens ‘beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk’ dient te zijn. Daarbij wordt benadrukt dat dit in het bijzonder van belang is wanneer de informatie aan een kind is gericht, zoals bij het bovenstaande voorbeeld van TikTok het geval was. Daarnaast wordt er vermeld dat de privacyverklaring schriftelijk of met andere middelen aangeboden dient te worden. Aan dit vereiste wordt ook voldaan indien de privacyverklaring online (via een elektronisch middel dus) wordt aangeboden.
Naast deze algemene vereisten, stelt de AVG ook een aantal specifieke vereisten aan privacyverklaringen:
- Duur van de opslag. Persoonsgegevens mogen niet voor altijd bewaard worden. De privacyverklaring moet dan ook vermelden wat de bewaartermijn van de gegevens is. Kan je niet precies aangegeven wanneer gegevens worden verwijderd? Dan zul je de criteria moeten benoemen op basis waarvan gegevens worden verwijderd.
- Identiteit. De privacyverklaring dient de identiteit te bevatten van degene die verantwoordelijk is voor het verwerken van de gegevens. Denk hierbij bijvoorbeeld aan de contactgegevens van je bedrijf.
- Klachtrecht. In de privacyverklaring moet vermeld worden dat er een recht bestaat voor degene wiens persoonsgegevens verwerkt worden om een klacht in te dienen bij een toezichthoudende autoriteit.
- Rechtsgronden. Wanneer je gegevens verwerkt dien je hiervoor een wettelijke grond te hebben. In de privacyverklaring benoem je wat de rechtsgrond van de verwerking is.
- De rechten van betrokkenen. De privacyverklaring dient te vermelden dat betrokkenen het recht hebben op inzage, rectificatie, verwijdering, beperking, bezwaar, gegevensoverdraagbaarheid en het te allen tijde intrekken van de gegeven toestemming. Daarbij dient duidelijk vermeld te worden hoe deze rechten kunnen worden ingeroepen, bijvoorbeeld door contact op te nemen met een specifiek contactpersoon.
- Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als dit niet gebeurt.
Deze lijst is niet uitputtend. Zo zijn er ook omstandigheden waarin een privacyverklaring meer informatie dient te bevatten. Hiervan is sprake in de volgende gevallen:
- Bron van persoonsgegevens. In het geval dat je de persoonsgegevens niet zelf hebt verkregen, dien je aan te geven waar de persoonsgegevens vandaan komen (bijvoorbeeld een derde partij of een openbare bron).
- (Categorieën van) ontvangers van persoonsgegevens. Worden de gegevens gedeeld met andere partijen? Dan zul je moeten aangeven om welke (categorieën van) ontvangers het gaat.
- Contactgegevens Functionaris Gegevensbescherming. Een Functionaris Gegevensbescherming is iemand die binnen de organisatie is aangesteld om toezicht te houden op de naleving van de AVG. Heb je een FG, dan moet je ook zijn contactgegevens vermelden in de privacyverklaring.
- Gerechtvaardigd belang. Dit vereiste gaat op indien je als rechtsgrond voor de gegevensverwerking hebt aangevoerd dat er sprake is van een gerechtvaardigd belang voor de verwerking. Als dit het geval is dien je in de privacyverklaring te vermelden wat dit belang in jouw geval inhoudt.
- Opslag in een ander land. Indien je persoonsgegevens verwerkt en deze (bijvoorbeeld middels een server) worden opgeslagen buiten de EU moet je de juridische grond voor doorgifte benoemen.
- Profilering/Geautomatiseerde besluitvorming. Is er sprake van geautomatiseerde besluitvorming bij de verwerking van de persoonsgegevens? Wees hier duidelijk over en leg uit hoe je besluiten neemt.
Mogelijke consequenties
Zoals ook wel uit de zaak van TikTok blijkt kunnen boetes in sommige gevallen behoorlijk oplopen wanneer er sprake is van een schending van de AVG. De Autoriteit Persoonsgegevens kan boetes opleggen van maximaal € 20.000.000 of 4% van de wereldwijde jaaromzet wanneer er sprake is van schending van de AVG. Daarnaast is het ook mogelijk voor personen die menen dat hun gegevens onrechtmatig verwerkt zijn om een schadevergoeding te vorderen. Het is, kortom, voor ondernemers dan ook altijd aan te raden om een jurist te raadplegen wanneer er persoonsgegevens worden verwerkt: (een boete) voorkomen is in dit geval echt beter dan genezen.
Auteur: Casper Heijnen
