< Terug naar overzicht

Informatieplicht: het grootste principe van de GDPR

Als organisatie moet u vanaf 25 mei 2018 kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt (of u dit nu in uw datacenter of in de cloud buiten de EU beheert). Welke acties u juist onderneemt, moet u communiceren met uw medewerkers.

Of u de gegevens nu hebt verzameld bij de personen zelf (inschrijving voor een evenement, nieuwsbrief of getrouwheidsprogramma, afsluiten van een contract, …) of niet (aankoop van databanken met persoonlijke gegevens of opname van gegevens van derden in een contract, zoals de begunstigden van een verzekering, …), u moet hen daarvan op de hoogte brengen op een transparante, begrijpelijke manier in duidelijke en eenvoudige taal. U kunt die informatie schriftelijk, elektronisch of op een andere manier verstrekken. Het is evenwel aangeraden dat schriftelijk te doen, zo kunt u bewijzen dat de informatie wel degelijk werd doorgegeven.

Wanneer de gegevens worden verzameld bij de personen zelf, wordt die informatie gegeven door de verwerkingsverantwoordelijke (de persoon die de gegevens verzamelt en verwerkt) op het moment waarop de gegevens worden verkregen. Dat gebeurt via een vermelding, bijvoorbeeld op het inschrijvingsformulier voor een evenement of op een contract. Die vermelding moet verschillend zijn van de algemene voorwaarden.

De vermelding moet de volgende gegevens bevatten:

  • De naam en het adres van de verwerkingsverantwoordelijke.
  • De gegevens van de Data Protection Officer, als die er is, of van de persoon verantwoordelijk voor gegevensbescherming.
  • De doeleinden van de verwerking.
  • De ontvangers of categorieën ontvangers van de gegevens.
  • Het eventueel doorgeven van de verzamelde gegevens buiten de EU.
  • De bewaringstermijn van de gegevens (of de gekozen criteria om die termijn te bepalen).
  • De mogelijkheid van de betrokken persoon om zijn recht tot toegang, correctie, verwijdering en overdraagbaarheid van zijn gegevens uit te oefenen.
  • Het recht van de persoon om te allen tijde zijn toestemming voor de verwerking van zijn gegevens in te trekken.
  • De mogelijkheid van een beroep bij de Privacycommissie.
  • In voorkomend geval, het feit dat het verstrekken van die persoonsgegevens een voorwaarde is om het contract te kunnen sluiten.
  • Het gebruik van geautomatiseerde individuele besluitvorming, met inbegrip van profiling (profilering).
  • De eventuele intentie om de gegevens verder te verwerken voor andere doeleinden (bijvoorbeeld statistische verwerking, wetenschappelijk onderzoek, direct marketing, …).

Als de gegevens niet worden verzameld bij de persoon zelf, moet u de persoon alle bovenstaande informatie geven en hem bovendien informeren over de bron van de gegevens. In dat geval moet die informatie worden verstrekt binnen een redelijke termijn – in principe een maand – na het verkrijgen van de gegevens.

Als de gegevens worden gebruikt om met de persoon te communiceren, moet u hem vanaf het eerste contact informeren. Als dat niet het geval is (de gegevens dienen niet om te communiceren), als het informeren van de persoon niet mogelijk blijkt (bijvoorbeeld geen contactadres) of onevenredig veel moeite kost (bijvoorbeeld gegevens die enkel verzameld werden voor statistische doeleinden), dan vervalt de informatieplicht.

Bron: VBO (vbo.be)

 

Lees meer over

Geef als eerste een reactie

Om reacties te kunnen geven moet u inloggen
< Terug naar overzicht

U zoekt, u vindt !

HR Square | Magazine, E-zine, Netwerk, Website, Seminaries, ...

Word nu lid !
Geniet van de voordelen