Eén van de basisbeginselen van de Algemene Verordening Gegevensbescherming (AVG of GDPR) is de transparantie. Wat wordt daar precies mee bedoeld en hoe integreert u ze in uw toepassing van de AGV?


De transparantie houdt in dat de organisatie (de verwerkingsverantwoordelijke die bepaalt waarom en hoe de persoonsgegevens worden verwerkt) de betrokkene informeert over de verwerking van de persoonsgegevens van het betrokken individu. Het doel van de transparantie is dat het individu weet wat er met zijn persoonsgegevens zal gebeuren en hoe die worden verwerkt.

Het is belangrijk voor de organisatie om het idee achter het basisbeginsel van de transparantie te begrijpen. Een individu dat duidelijk en behoorlijk geïnformeerd is, zal meer vertrouwen hebben in de verwerking van zijn persoonsgegevens en dus ook in de organisatie. Bijgevolg zal de betrokkene ook makkelijker zijn persoonsgegevens aan deze organisatie toevertrouwen.

Wanneer ?

Van zodra een organisatie persoonsgegevens verzamelt, hetzij rechtstreeks bij de betrokkene zelf (in het kader van de uitvoering van een overeenkomst; inschrijving voor een bedrijfsevent of seminarie; inschrijving voor een nieuwsbrief of marketingmails, …), hetzij onrechtstreeks (bij derde begunstigde bij een verzekering; van commerciële partners; …) zal deze organisatie de betrokkene hiervan moeten informeren.

De organisatie moet de informatie verstrekken uiterlijk op het ogenblik dat de gegevens bij de betrokkene zijn verzameld.

Hoe ?

De GDPR schrijft geen formele vereisten voor over de verstrekking van de informatie aan de betrokkene. Er bestaat wel een verantwoordingsplicht. Dit betekent dat de verwerkingsverantwoordelijke (de organisatie die bepaalt waarom de gegevens worden verwerkt en hoe zij dit zal doen) moet kunnen aantonen dat hij zijn verplichtingen, waaronder de informatieplicht, heeft nageleefd. Deze informatie zal dus best op papier of elektronisch worden meegedeeld zodat de organisatie kan aantonen dat zij het nodige heeft gedaan. Bovendien moet deze informatie gemakkelijk toegankelijk zijn.

De AVG vereist dat de communicatie in verband met de verwerking beknopt, transparant en begrijpelijk moet zijn. Dus zal duidelijke en eenvoudige taal moeten worden gebruikt. De AVG vereist tevens dat de organisatie bijzondere aandacht moet besteden aan de gebruikte taal wanneer ze gegevens van kinderen zal verwerken.

De organisatie zal geval per geval moeten beoordelen hoe zij de informatieplicht zal aanpakken om het doel van de transparantie het best te bereiken. In arbeidsrechtelijke context zal de organisatie misschien via een bijlage bij het arbeidsreglement werken (vb. camerabewaking). Een webshop zal de betrokkene informeren via een online policy. De aanbieder van een mobile app kan werken met pop-ups met beperkte informatie gecombineerd met een link naar een uitgebreide policy, etc.

Inhoud ?

Vergeleken met de Privacywet, vereist de AVG dat de organisatie de betrokkene over meer aspecten van de verwerking informeert :

  • De identiteit en contactgegevens van de verwerkingsverantwoordelijke (dus de organisatie die bepaalt waarom en hoe de gegevens worden verwerkt).
  • indien er een data protection officer (DPO) werd aangesteld, zijn contactgegevens. Meer informatie over de verplichting tot het aanstellen van een DPO vindt u hier.
  • De verwerkingsdoeleinden. Voorbeelden van verwerkingsdoeleinden zijn personeelsbeheer; klantenbeheer; direct marketing; 
  • De wettelijke grondslag voor het verwerken van de persoonsgegevens. De verwerkingsverantwoordelijke dient zich te baseren op (minstens) één van de wettelijke grondslagen om persoonsgegevens op een rechtmatige manier te verwerken.

Bv. In het kader van personeelsbeheer is de wettelijke grondslag de uitvoering van de arbeidsovereenkomst en de wettelijke verplichting. Voor het versturen van direct marketing e-mails naar prospecten, is dit de toestemming.

De verschillende wettelijke grondslagen zijn de volgende:

  • de toestemming van de betrokkene.
  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • de verwerkingsverantwoordelijke heeft een wettelijke verplichting om de persoonsgegevens te verwerken.
  • gerechtvaardigd belang van de verwerkingsverantwoordelijke. Wanneer de verwerkingsverantwoordelijke zich beroept op het gerechtvaardigd belang voor het verwerken van persoonsgegevens, zal deze dit belang moeten toelichten en aantonen waarom het belang zwaarder doorweegt dan de individuele belangen van de betrokkene (vb. doorgifte van persoonsgegevens van werknemers naar de moedervennootschap om alles te centraliseren in één softwaresysteem).
  • vitale belangen van het individu.
  • een taak van algemeen belang / taak in het kader van de uitoefening van het openbaar gezag.

Let wel: voor bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens) bestaat een bijzonder regime met specifieke wettelijke grondslagen.

  • De rechten van de betrokkene (incl. het recht om toestemming in te trekken).
  • Recht om klacht in te dienen bij de Gegevensbeschermingsautoriteit (vroeger : Privacycommissie). 
  • (categorieën van) ontvangers van de persoonsgegevens (vb. sociaal secretariaat, overheidsdiensten, …).
  • Doorgifte van de persoonsgegevens naar derde landen (buiten de EU) of internationale organisaties en de waarborgen (vb. PrivacyShield, Binding corporate rules, Standard Contractual Clauses, …) waarop men zich beroept voor de doorgifte.
  • Bewaartermijn van de persoonsgegevens of de criteria op basis van welke de bewaartermijn wordt bepaald.
  • Het bestaan van geautomatiseerde individuele besluitvorming en/of profiling en de mogelijke gevolgen voor de betrokkene. Een voorbeeld is credit scoring waarbij een bank op basis van de gegevens waarover zij beschikt (vermogen, betaalhistoriek, …) bepaalt of u een krediet krijgt en in het positieve geval eventueel ook de omvang van het krediet.
  • Indien de persoonsgegevens niet rechtstreeks bij de betrokkene werden verkregen, zal de organisatie die de gegevens van een derde heeft ontvangen, de betrokkene moeten informeren over welke categorieën data het gaat (vb. identiteits- en contactgegevens, beroep en betrekking, opleiding, …) en van wie zij deze data heeft ontvangen (de bron).

In dit laatste geval dient de organisatie de informatie te verstrekken binnen de maand na de verkrijging van de persoonsgegevens. Indien de gegevens worden gebruikt om met de betrokkene te communiceren, zal de informatie moeten worden verstrekt bij het eerste contact.

Wanneer de organisatie beoogt om de persoonsgegevens voor een ander doeleinde te verwerken of aan een derde over te maken, zal de organisatie de betrokkene hierover vooraf moeten informeren indien dit nog niet is gebeurd.

In een beperkt aantal gevallen vervalt de informatieplicht, namelijk wanneer de betrokkene reeds over de informatie beschikt, wanneer de communicatie onmogelijk is (men beschikt niet over de contactgegevens) of onevenredig veel inspanning vergt.

Deze bijdrage toont aan dat de informatieplicht zwaar kan doorwegen en dat vrijwel geen informatienota's, policies, bijlagen bij het arbeidsreglement, … alle vereiste informatie zullen bevatten en dus zullen moeten worden nagekeken.

Laat ons vooral onthouden dat een goed geïnformeerde betrokkene, meer vertrouwen zal hebben in uw onderneming en makkelijker zijn of haar data zal verstrekken voor de beoogde verwerkingen.

Actiepunten 

  • Kijk de informatienota's, policies, etc. na of alle verplichte vermeldingen zijn opgenomen.
  • Het register kan een leidraad zijn voor het opstellen van de informatienota.
  • Het GDPR Compass bevat een uitgebreide rubriek over de transparantieverplichting bij rechtstreekse en onrechtstreekse verkrijging van data en geeft op basis van uw antwoorden aan hoe u uw informatienota dient aan te vullen. Het GDPR Compass is beschikbaar op www.gdprcompass.be.
  • Gebruik eenvoudige en begrijpelijke taal.
  • Zorg dat de informatie gemakkelijk toegankelijk is.
  • Bepaal de geschikte vorm van het informatiedocument.
  • Agoria biedt verschillende templates aan (vb. HR policy, camerabewaking, etc.).

Lees ook de andere artikels in deze blogreeks: