De Algemene Verordening Gegevensbescherming (AVG) legt belangrijke informatieverplichtingen op aan ondernemingen. Naar aanleiding van de invoering van deze wetgeving zijn wellicht velen onder u overgegaan tot de opmaak van een (aangepaste) privacy policy. Uw privacy policy moet alle wettelijk verplichte vermeldingen bevatten en moet concreet omschrijven hoe uw onderneming omgaat met persoonsgegevens. Deze informatie moet u vervolgens tijdig meedelen aan de betrokken persoon wiens gegevens u verwerkt (klanten, leveranciers, personeel, etc.). In huidig blogbericht ga ik dieper in op het tijdstip waarop u uw privacy policy moet communiceren.

Onderscheid

De wetgeving maakt een onderscheid tussen:

• persoonsgegevens die worden verzameld bij de betrokkene zelf

• persoonsgegevens die u verkrijgt via een andere persoon of bron (bijvoorbeeld gegevensverzameling via een openbare databank, via een datamakelaar of tussenpersoon)

Gegevens verzameld bij de betrokkene zelf

Dit betreft zowel gegevens die actief worden verstrekt door de betrokkene als gegevens die worden verzameld door middel van waarneming zoals camerabeelden. De wetgeving bepaalt dat u de betrokken persoon moet informeren omtrent uw privacybeleid uiterlijk bij het verkrijgen van zijn persoonsgegevens.

Bijvoorbeeld:

• Als u gegevens zou verzamelen via een online contactformulier, kunt u op de betreffende webpagina een duidelijke link voorzien naar uw privacy policy.
• Gebeurt de gegevensverzameling in een winkel of bureel tijdens een kennismakingsgesprek of contractsluiting, dan moet u op dat moment de nodige informatie geven.
• Ook bij apps moet de betrokkene – voor het downloaden begint – kennis krijgen van de privacy policy.

Gegevens verkregen via een andere persoon of (openbare) bron

In dat geval moet u uw privacy policy meedelen aan de betrokken persoon binnen een redelijke termijn (afhankelijk van de concrete omstandigheden). Deze termijn mag in geen geval langer zijn dan één maand na het verkrijgen van de persoonsgegevens.

U kiest er best voor om de informatie te verstrekken van zodra dit mogelijk is. In geval van discussie moet u zich immers kunnen verantwoorden waarom u de informatie hebt medegedeeld op het tijdstip dat u gekozen heeft. Als u de informatie net vóór het verstrijken van de termijn van één maand zou meedelen, kan u nog steeds aansprakelijk gehouden worden wegens miskenning van het principe van de redelijke termijn.

In onderstaande situaties geldt bovendien een bijzondere regel:

• Als u de persoonsgegevens gebruikt om in contact te treden met de betrokken persoon, dan moet u uw privacy policy ter kennis brengen bij het eerste contact.
• Als u van plan bent om de persoonsgegevens over te maken aan een derde, dan moet u uw privacy policy meedelen ten laatste op het moment dat u de gegevens voor het eerst overmaakt.

Deze bijzondere termijnen doen geen enkele afbreuk aan de bovenstaande principes (redelijke termijn en maximumtermijn van één maand). De ‘deadline’ die eerst komt, moet worden gerespecteerd.

Wijzigingen

Als u belangrijke wijzigingen aanbrengt aan uw privacy policy, moet u deze eveneens ter kennis brengen aan de betrokken personen. Een mededeling in de privacy policy dat een betrokkene regelmatig de privacyverklaring moet raadplegen om na te gaan of er wijzigingen zijn, is niet voldoende.

Een wijziging van de verwerkingsdoeleinden of een wijziging van de manier waarop de betrokkene zijn rechten t.a.v. u kan uitoefenen, is daar een mooi voorbeeld van. Een wijziging in lay-out, spelling of grammatica daarentegen vereist geen bijkomende communicatie.

Wijzigingen dienen bovendien ruim op voorhand te worden gecommuniceerd (voordat de wijzigingen van toepassing worden). Op die manier hebben de betrokkenen de mogelijkheid om bijkomende informatie te vragen of om één van hun rechten t.a.v. u uit te oefenen (bv. het intrekken van de toestemming).

Uitzonderingen

Op de bovenstaande principes gelden ook uitzonderingen (= situaties waarin u niet gehouden bent om de betrokkene persoonlijk op de hoogte te brengen van uw privacy policy). Ook hier wordt een onderscheid gemaakt tussen de situatie waarin u de gegevens hebt verkregen van de betrokkene zelf en de situatie waarin u de gegevens kon bekomen via een andere persoon of bron.

De gegevens worden verzameld bij de betrokkene zelf

U bent niet gehouden om uw privacy policy te communiceren als de betrokkene de informatie reeds heeft ontvangen. Indien u echter tussen het tijdstip waarop de betrokkene de informatie ontving en het tijdstip waarop u overgaat tot de gegevensverwerking wijzigingen hebt aangebracht aan uw privacy policy of indien de reeds medegedeelde informatie onvolledig is in het licht van de (nieuwe) voorgenomen gegevensverwerking (bv. ander verwerkingsdoeleinde), dan zult u toch aanvullende informatie moeten geven.

De gegevens worden verkregen via een andere persoon of andere bron

Benevens de bovenstaande uitzondering gelden ook nog volgende – bijkomende – uitzonderingen:

• De verstrekking van de informatie is onmogelijk, zou onredelijk veel inspanning vergen of zou de verwezenlijking van de doeleinden van de verwerking onmogelijk dreigen te maken of ernstig in het gedrang kunnen brengen. Dit neemt echter niet weg dat u uw privacy policy openbaar (bv. op uw website) kenbaar moet maken.
• De gegevensverwerking is uitdrukkelijk voorgeschreven door Europese of nationale wetgeving en de wetgever heeft voorzien in passende beschermingsmaatregelen.
• De gegevensverwerking moet – uit hoofde van Europese of nationale wetgeving – vertrouwelijk blijven uit hoofde van een beroepsgeheim.

Alle uitzonderingen moeten restrictief geïnterpreteerd worden. Als u ze inroept, zult u moeten kunnen bewijzen dat de uitzondering van toepassing is.

Wenst u bijkomende informatie? Heeft u nog geen privacy policy? Neem contact met mij op voor bijkomende toelichting en advies.