Vragen over privacyrecht
Vragen over privacyrecht
Een van de taken van de Autoriteit Persoonsgegevens (AP) is het houden van toezicht. De AP bevordert en bewaakt de bescherming van persoonsgegevens. Vaak worden aan onze privacyrechtadvocaten dezelfde of vergelijkbare vragen gesteld. De meest gestelde vragen met betrekking tot privacyregels zet ik daarom voor u in dit artikel op een rij.
Ben ik verplicht een register van verwerkingsactiviteiten bij te houden en moet ik dit dan (structureel) bijhouden?
De reden dat u dit register bijhoudt is om aan de privacyregels, in dit geval meer specifiek de verantwoordingsplicht (accountability) te voldoen. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat de verwerkingen aan de regels van de AVG voldoen. Als de Autoriteit Persoonsgegevens een controle uitvoert, zal als eerste naar het register van verwerkingsactiviteiten worden gevraagd.
U kunt het beste in één keer alle (soorten) verwerkingen van persoonsgegevens in kaart brengen en daarna bijvoorbeeld maandelijks of jaarlijks updaten. Dit is afhankelijk van de inrichting van uw bedrijf. Verwacht u bijvoorbeeld de dossieropbouw te wijzigen of personeel aan te nemen terwijl u dat op dit moment nog niet heeft, dan is het raadzaam om dit direct in het register bij te werken. Essentiële veranderingen binnen uw bedrijf, waarbij persoonsgegevens worden verwerkt, kunt u dus het beste meteen doorvoeren in het register van verwerkingsactiviteiten. Zorg dat het up-to-date is, maar houdt het wel werkbaar in de praktijk. Zijn er geen wijzigingen? Dan is één keer per jaar updaten voldoende.
Wat wordt er bedoeld met wettelijke grondslag voor verwerking van persoonsgegevens?
Op grond van de AVG is het verplicht om voor de verwerking van persoonsgegevens een grondslag te hebben. Er zijn in totaal zes grondslagen (toestemming, uitvoering overeenkomst, wettelijke verplichting, bescherming vitale belangen, uitoefening van een taak van algemeen belang of openbaar gezag, of behartiging van een gerechtvaardigd belang). Bij de meeste bedrijven is een overeenkomst een veelvoorkomende grondslag voor verwerking.
Twijfelt u over de grondslag van een verwerking? Mail ons dan: [email protected] of volg dit stappenplan van de Autoriteit Persoonsgegevens.
Ben ik verplicht om een DPIA uit te voeren?
DPIA staat voor Data protection impact assessment. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie u gegevens verwerkt. Dit moet u als verwerkingsverantwoordelijke zelf bepalen. U mag in dat geval niet beginnen met het verwerken van gegevens voordat er een DPIA is uitgevoerd.
Een DPIA moet in ieder geval worden uitgevoerd als een organisatie:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
- op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Wat moet ik doen en waar moet ik rekening mee houden als ik persoonsgegevens doorgeef aan het buitenland?
De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt. Binnen de EU is het niveau van gegevensbescherming gelijk, omdat de regels van de AVG in de hele EU gelden. De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens. Als er geen sprake is van een derde land met een passend beschermingsniveau, is doorgifte slechts toegestaan op grond van een van de wettelijke bepalingen uit de AVG.
Wilt u persoonsgegevens doorgeven naar derde landen en twijfelt u of dit is toegestaan? Neem dan direct contact met ons op: [email protected]
Wanneer ben ik verantwoordelijke of verwerker van persoonsgegevens?
De organisatie die daadwerkelijk het doel en de middelen van de verwerking bepaalt, is volgens de AVG de verwerkingsverantwoordelijke. Kijk daarbij altijd naar de feitelijke situatie. Als u namens een opdrachtgever een opdracht uitvoert waarbij persoonsgegevens worden verwerkt, dan is de opdrachtgever de verwerkingsverantwoordelijke en u de verwerker. Als iemand bijvoorbeeld bij uw bedrijf solliciteert (iemand die u dus zelf in dienst wil nemen), dan bent u verwerkingsverantwoordelijke. Per situatie is dit door de Autoriteit Persoonsgegevens uitgelegd in deze voorbeeldlijst.
Mag ik foto’s van werknemers gebruiken voor het smoelenboek?
Het is toegestaan om pasfoto’s te gebruiken voor het smoelenboek, mits daar op een juiste wijze toestemming voor is verkregen. Er kan in dit geval gebruik worden gemaakt van toestemming als grondslag, maar gelet op de (gezags)verhouding werkgever-werknemer is het raadzaam om deze grondslag in de arbeidsrelatie zoveel mogelijk te vermijden. Het is namelijk niet altijd mogelijk om ‘in vrijheid’ deze toestemming wel of niet te geven, gezien de gezagsverhouding. Het niet geven van toestemming mag in ieder geval geen nadelige gevolgen hebben voor deze werknemer.
De informatieverstrekking over het gebruik van de foto en het verzoek om toestemming kan in een (bijlage van een) arbeidsovereenkomst of handboek worden opgenomen, zodat de overeenkomst de grondslag vormt voor de verwerking. Van belang is hierbij dat er altijd de mogelijkheid voor de werknemer bestaat om geen toestemming te geven of de toestemming in te trekken. Daarnaast moet het een opt-in mogelijkheid zijn en mag het vakje om toestemming te geven niet reeds zijn aangevinkt.
Mogen er tijdens een voetbalwedstrijd opnames worden gemaakt, zodat de beelden later kunnen worden teruggekeken en geanalyseerd?
Het is niet verboden om dergelijke opnames te maken, maar er zijn wel randvoorwaarden. De grondslag voor het opnemen van het beeldmateriaal is (de overeenkomst van) het lidmaatschap van de club. De eventuele minderjarigheid van de leden maakt hierbij geen verschil. Wat echter niet mag, is het verspreiden van het beeldmateriaal, bijvoorbeeld via social media. Dit mag in ieder geval niet zonder toestemming (van het lid of de ouders).
Wat verder belangrijk is om u af te vragen:
- Wordt het beeldmateriaal opgeslagen? Zo ja, waar en hoe lang? Wordt het tijdig weer gewist?
- Is er nagedacht over het in beeld brengen van publiek en de tegenpartij tijdens de wedstrijd?
- Worden er wel of geen kopieën gemaakt van het beeldmateriaal?
- Aan wie worden de beelden verspreid? Het beeldmateriaal mag in principe intern gebruikt worden, maar ‘intern’ is niet de hele voetbalclub.
Kortom, maak in zo’n geval duidelijk afspraken!
Hoe verwerkt u gegevens zonder privacy te schenden?
De Autoriteit Persoonsgegevens ziet toe op de naleving van de privacyregels en kan aanzienlijke boetes opleggen. De AVG heeft grote impact op de bedrijfsvoering. TEN Advocaten kan helpen om uw onderneming AVG-proof te maken. Onze advocaten kunnen u daarbij helpen en voorzien van diverse protocollen. Meer informatie over onze mogelijkheden? Neem gerust contact met ons op.