Privacyverklaring

Als persoonsgegevens van een betrokkene (bijv. een werknemer, klant of lid) worden verkregen, moet de verwerkingsverantwoordelijke transparant zijn over wat er met die persoonsgegevens gebeurt.

 

Art. 12 lid 1 AVG bepaalt hierover: “De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is (…)”

 

Wat moet er nu minimaal staan in een standaard privacyverklaring (ook wel privacy statement of privacy disclaimer genoemd)? Verkort weergegeven het volgende:

 

1.     naam en contactgegevens van de verwerkingsverantwoordelijke

 

2.     indien aan de orde: contactgegevens van de Functionaris voor de gegevensbescherming

 

3.     de verwerkingsdoeleinden en grondslagen van de verwerking, incl. omschrijving van het gerechtvaardigd eigen belang indien een verwerking op die grondslag is gebaseerd

 

4.     de (categorieën van) ontvangers van de verwerkte persoonsgegevens

 

5.     indien aan de orde: vermelding van doorgifte aan derde-landen (= buiten toepassingsgebied AVG, wat versimpeld weergegeven betekent landen buiten de Europese Economische Ruimte)

 

6.     de bewaarperiode, of de criteria aan de hand waarvan de bewaarperiode wordt bepaald

 

7.     vermelding van de volgende rechten van de betrokkene:

a.         inzage

b.         rectificatie of verwijdering

c.         beperking

d.         bezwaar tegen de verwerking

e.         gegevensoverdraagbaarheid

 

8.     dat een eventueel door de betrokkenen gegeven toestemming voor verwerking op elk moment ingetrokken kan worden

 

9.     dat de betrokkene de mogelijkheid heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens

 

10.   of verstrekking van bepaalde persoonsgegevens een wettelijke of contractuele plicht is (of noodzakelijk om een overeenkomst te kunnen sluiten) en wat de gevolgen zijn bij niet-verstrekken

 

11.   Indien aan de orde: de vermelding van geautomatiseerde besluitvorming en/of profiling op basis van de verwerkte persoonsgegevens, inclusief de mogelijkheid hiertegen bezwaar te maken

 

Onze privacyrechtadvocaten