Vandaag de dag word je door de GDPR verplicht je klanten, leveranciers en alle andere websitebezoekers op de hoogte te stellen indien je persoonsgegevens verzamelt of verwerkt en met welk doel dit gebeurt. Om aan deze regels te voldoen wordt er meestal gebruik gemaakt van een privacybeleid.
Wanneer kan je het gebruiken?
Wanneer een website persoonsgegevens verzamelt en verwerkt van de gebruikers, dan is de website verplicht de gebruikers hierover in te lichten. Om de gebruikers hierover op een efficiënte manier in te lichten, wordt een privacybeleid opgesteld. Een webshop zal sowieso in een privacybeleid moeten voorzien, aangezien een webshop niet kan functioneren zonder het verwerken van persoonsgegevens.
Persoonsgegevens zijn alle gegevens die een gebruiker kunnen identificeren, zoals de naam en voornaam, leeftijd, postadres, e-mailadres, locatie van de gebruiker en IP-adres.
De website moet, naast de toestemming voor de verwerking van persoonsgegevens, afzonderlijke en nauwkeurige toestemming vragen als ze:
- gevoelige gegevens verwerkt (gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakbond blijkt, alsook de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens betreffende de gezondheid of gegevens betreffende het seksuele leven of de seksuele geaardheid);
- persoonsgegevens buiten de Europese Unie doorgeeft, zonder dat er voldoende waarborgen zijn;
- zuiver geautomatiseerde individuele beslissingen neemt ten aanzien van haar gebruikers.
Het privacybeleid wordt ook gebruikt om de gebruikers in te lichten over eventuele cookies. Een "cookie" is een klein bestandje dat door de site op de harde schijf van de gebruiker wordt opgeslagen en informatie bevat over het surfgedrag van de gebruiker.
Sommige beheerders van websites zijn verplicht of kiezen ervoor om een functionaris voor gegevensbescherming (DPO of Data Protection Officer) aan te stellen. Zijn rol is om te zorgen voor de correcte uitvoering van de wettelijke bepalingen betreffende de verzameling en verwerking van persoonsgegevens.
Let op: in uitzonderlijke gevallen is toestemming niet nodig, namelijk als de verwerking van persoonsgegevens noodzakelijk is voor:
- activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;
- het voldoen aan een wettelijke plicht;
- het beschermen van levensbelangen van een natuurlijke persoon;
- het beschermen van het algemeen belang of de evenredige bescherming van rechtmatige belangen.
Inhoud van het document
De volgende informatie moet volgens de privacywetgeving verplicht opgenomen worden in het privacybeleid, en staat dan ook in dit document:
- de identiteit en de contactinformatie van de beheerder;
- de categorieën persoonsgegevens die worden opgeslagen;
- de wijze waarop persoonsgegevens worden verzameld;
- het doel waarvoor persoonsgegevens worden verzameld;
- of de gegevens ook met derden gedeeld worden;
- alle mededelingen aan derden en de precieze informatie die aan hen wordt verstrekt;
- de beschermingsmaatregelen;
- ev. de identiteit van de DPO;
- de rechten van de gebruikers;
- de bewaartermijnen van de persoonsgegevens;
- de procedures voor het wissen van de persoonsgegevens;
- de middelen om zich tegen de verwerking te verzetten;
- of de gegevens ook buiten de EU gedeeld worden;
- of gebruik wordt gemaakt van automatische besluitvorming;
- ev. de soorten cookies die gebruikt worden en hun doel;
- ev. de bewaartermijnen van de cookies.
Hoe gebruik je het document?
Als een onderneming persoonsgegevens verzamelt en verwerkt, dan moet het privacybeleid door elke gebruiker worden geaccepteerd. Deze aanvaarding moet de vorm aannemen van een voorafgaande, specifieke, positieve verklaring of handeling (en dus geen vooraf aangevinkt vakje). De website is verantwoordelijk voor het bewijs hiervan. Daarnaast moet het privacybeleid opgenomen worden in een apart gedeelte van de site, toegankelijk vanaf elke pagina en waarnaar op een zichtbare manier wordt verwezen.
Er mogen geen persoonsgegevens van minderjarigen jonger dan 16 jaar worden verzameld, tenzij hun ouders daarvoor toestemming hebben gegeven.
Als de site cookies opslaat, moet het elke gebruiker een duidelijke, begrijpelijke en zichtbare waarschuwing sturen met betrekking tot het gebruik van cookies, via een pop-up die zichtbaar is wanneer de gebruiker voor het eerst inlogt op de site. De pop-up moet expliciet en duidelijk aangeven dat voortzetting van de navigatie op de site als toestemming kan worden beschouwd en moet zichtbaar blijven zolang de gebruiker niet doorgaat met navigeren. Daarnaast moet de volledige informatie over het cookiebeleid opgenomen worden in een apart gedeelte van de site, toegankelijk vanaf elke pagina en waarnaar op een zichtbare manier wordt verwezen. De gebruiker moet de mogelijkheid hebben om vrij te kiezen tussen het aanvaarden van sommige of alle cookies of het weigeren van sommige of alle cookies. De gebruiker moet ook de mogelijkheid hebben om deze cookie-instellingen op een later tijdstip te wijzigen.
Veelgestelde vragen
Hoe lang mogen persoonsgegevens maximaal bewaard worden?
De privacywetgeving vermeldt geen specifieke maximale termijn voor de bewaring van persoonsgegevens. Het is echter aangeraden om een bewaartermijn te nemen die in verhouding staat met het doel van de verzameling en verwerking van de persoonsgegevens: de bewaartermijn mag niet langer zijn dan de tijd die maximaal nodig is om het doel te bereiken.
Wanneer is het verplicht om een DPO aan te stellen?
Een DPO moet aangesteld worden als er een verhoogd risico is voor de bescherming van persoonsgegevens, dit is het geval bij:
- systematische, uitgebreide en geautomatiseerde beoordeling van persoonsgegevens die kan leiden tot ingrijpende besluiten over de gebruiker
- grootschalige verwerking van bijzondere of strafrechtelijke gegevens
- stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten
Voor wie geldt de GDPR?
De GDPR geldt voor alle bedrijven die, onafhankelijk van hun grootte, onder de volgende criteria vallen:
- Gevestigd zijn in de EU
- Gevestigd zijn buiten de EU, maar goederen en/of diensten leveren aan EU-burgers
- Persoonlijke gegevens verzamelen en/of het gedrag monitoren van EU-burgers
Verwante documenten
- Algemene voorwaarden (voor gebruik en verkoop) van een website of mobiele applicatie
- Algemene voorwaarden Webshop voor de verkoop van goederen of diensten aan consumenten (B2C)
- Cookiebeleid
- Verwerkersovereenkomst