Persoonsgegevens dienen op een transparante manier verwerkt te worden. In het kader van dit transparantiebeginsel wordt de informatieverplichting van de onderneming aanzienlijk uitgebreid door de GDPR. Ook wordt er meer aandacht besteed aan de manier waarop deze informatie verstrekt moet worden. De zogenaamde ‘Artikel 29-werkgroep’, afgekort De WP29 - het onafhankelijke advies- en overlegorgaan van Europese privacy toezichthouders - heeft op 11 april 2018 haar finaal advies gepubliceerd waarin het begrip ‘transparantie’ besproken wordt.
Onder de GDPR wordt de informatieverplichting van ondernemingen in verband met de verwerking van persoonsgegevens van alle categorieën van personen wiens gegevens worden verwerkt, aanzienlijk uitgebreid. Bovenop de informatie die vandaag de dag reeds gegeven moet worden, zal de onderneming ook de rechtsgrond moeten aangeven, of de gegevens buiten Europa doorgestuurd worden, hoe lang de gegevens bewaard zullen worden, dat de betrokkene het recht heeft om een klacht in te dienen, dat hij zijn toestemming kan intrekken, of er (en wie) de ‘Data Protection Officer’ is, enzovoort. In het kader van het transparantiebeginsel moet deze uitgebreidere kennisgeving gebeuren in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal.
In een voorlopig advies van 29 november 2017 gaf de WP29 een eerste interpretatie aan de verplichtingen van de onderneming onder het transparantiebeginsel. In haar finale aanbeveling van 11 april 2018 geeft de WP29 haar definitief standpunt hieromtrent. Hieronder worden de belangrijkste punten van deze aanbeveling weergegeven.
Hoe moet de informatie gegeven worden?
De WP29 legt doorheen heel haar advies zo veel als mogelijk de nadruk op het feit dat de kennisgeving zo transparant mogelijk moet zijn, waarbij zij onder andere rekening houdt met de vorm, het taalgebruik en de toegankelijkheid:
- Vorm? De Werkgroep raadt een schriftelijke kennisgeving aan. De concrete vorm moet door de verwerkingsverantwoordelijke bepaald worden, waarbij alle concrete omstandigheden in rekening moeten worden gebracht.
- Taalgebruik? In dit kader stelt de Werkgroep dat de informatie gestructureerd moet worden gegeven in plaats van in één lange doorlopende tekst, het taalgebruik helder moet zijn en aangepast moet zijn aan het doelpubliek, en dat ingewikkelde zinsstructuren en vage bewoordingen vermeden moeten worden. In een aantal concrete voorbeelden worden door de WP29 enkele “do’s” en “don’ts” meegegeven.
- Toegankelijk? De betrokkene zou niet zelf op zoek hoeven te gaan naar de bewuste informatie. De WP29 raadt de verwerkingsverantwoordelijke aan om actieve stappen te nemen om de informatie te verstrekken of om de kennisgeving minstens actief onder de aandacht te brengen.
Verder raadt de Werkgroep een zogenaamde ‘gelaagde’ kennisgeving aan, zeker in een digitale context. Elke onderneming met een online aanwezigheid moet een privacyverklaring op haar website hebben staan. Een dergelijke gelaagde kennisgeving moet een betrokkene in staat stellen om onmiddellijk de voor hem relevante delen terug te vinden, of - indien de informatie elektronisch gegeven wordt - onmiddellijk hier naar door te klikken. Volgens de Werkgroep moet de eerste laag (zijnde het eerste wat onder de aandacht wordt gebracht) de details inzake de verwerkingsdoeleinden, de identiteit van de verwerkingsverantwoordelijke en de beschrijving van de rechten van de betrokkene bevatten, en desgevallend ook de informatie die de grootste impact op de betrokkene zou hebben. Door dergelijke gelaagde kennisgeving kunnen dan ook occasionele verwerkingsactiviteiten worden gedekt (bvb. de verwerking van contactgegevens van klanten of leveranciers). Gelijkaardige principes zouden volgens de WP29 van toepassing zijn indien de informatie mondeling wordt verstrekt.
Hoe gedetailleerd moet de kennisgeving zijn?
De WP29 interpreteert verder de uitgebreide informatieverplichting van de onderneming tegenover de betrokkenen wiens persoonsgegevens het verwerkt..
Meer bepaald moet volgens de Werkgroep de onder de GDPR te geven informatie als volgt geconcretiseerd worden:
|
Verplicht te geven informatie |
Advies WP29 |
|
Identiteit en contactgegevens van de onderneming en, indien van toepassing, van de vertegenwoordiger hiervan |
Deze informatie moet een gemakkelijke identificatie van de onderneming mogelijk maken, en idealiter er voor zorgen dat communicatie op verschillende manieren mogelijk is (bv. zowel een e-mailadres, als een telefoonnummer, etc.). |
|
Contactgegevens van de Data Protection Officer (indien van toepassing) |
De Werkgroep verwijst naar haar eerder advies omtrent de Data Protection Officer oftewel de functionaris voor gegevensbescherming. |
|
Verwerkingsdoeleinden en rechtsgrond |
Zowel de verwerkingsdoeleinden als de rechtsgrond dienen specifiek te worden omschreven. Mochten er bijzondere categorieën persoonsgegevens verwerkt worden, dan dienen ook deze gespecifieerd te worden. |
|
Gerechtvaardigde belangen van de onderneming of een derde indien de verwerking hierop gebaseerd is |
Het gerechtvaardigd belang dient gepreciseerd te worden. De GDPR stelt dat er enkel beroep kan worden gedaan op het gerechtvaardigd belang indien het recht op privacy en de grondrechten van de betrokkene niet zwaarder doorwegen. Er dient met andere woorden dus een belangenafweging te worden gemaakt tussen de privacy-rechten van de betrokkene en het gerechtvaardigd belang dat worden ingeroepen, een zgn. ‘balancing test’. Bij wijze van best practice stelt de WP29 dat de onderneming informatie over deze belangenafweging kan meedelen aan de betrokkene, minstens dat de betrokkene deze informatie op verzoek kan krijgen. Zo zou er geen twijfel kunnen zijn over het feit dat er een behoorlijke belangenafweging gemaakt werd, en zou dit essentieel kunnen zijn voor betrokkenen die een klacht wensen in te dienen bij de Gegevensbeschermingsautoriteit. De WP29 komt hier enigszins terug op haar eerder standpunt van november 2017, waar zij stelde dat de informatie over de belangenafweging verplicht moest worden meegegeven. |
|
Betrokken categorieën persoonsgegevens (indien van toepassing) |
Zoals ook blijkt uit de GDPR, bevestigt de WP29 dat deze informatie enkel gegeven dient te worden indien de persoonsgegevens niet van de betrokkene zelf verkregen worden. |
|
Ontvangers of categorieën van ontvangers van de persoonsgegevens (indien van toepassing) |
De Werkgroep benadrukt dat een ‘ontvanger’ niet noodzakelijk een derde partij dient te zijn. Verder stelt zij dat de ontvangers concreet omschreven moeten worden. De informatie moet ‘betekenisvol’ zijn voor de betrokkene, wat in de praktijk meestal zal betekenen dat de ontvangers bij naam genoemd worden zodat de betrokkene weet wie zijn persoonsgegevens in zijn bezit kan hebben. Indien er slechts informatie wordt gegeven over de categorieën van ontvangers, dienen deze categorieën zo specifiek mogelijk omschreven te worden. |
|
Voornemen van de onderneming om de gegevens door te geven aan een derde land, of er een adequaatheidsbesluit bestaat of passende of geschikte waarborgen en hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd (indien van toepassing) |
Ook de informatie over doorgifte naar derde landen moet volgens de WP29 ‘betekenisvol’ zijn voor de betrokkene, wat meestal zal betekenen dat de derde landen opgesomd worden. Ook hiermee nuanceert de Werkgroep haar standpunt van november 2017 enigszins, aangezien zij toen nog van mening van was dat de derde landen verplicht moesten worden opgesomd. Verder zou het relevant GDPR-artikel op basis waarvan doorgifte toegelaten is, gespecifieerd moeten worden. Hoe en waar deze informatie verkregen of geraadpleegd kan worden zou ook gepreciseerd moeten worden bijvoorbeeld door het voorzien van een link naar deze informatie. |
|
Periode van bewaring van de persoonsgegevens of criteria ter bepaling van deze termijn |
De informatie dient concreet genoeg te zijn zodat de betrokkene zelf kan inschatten hoe lang zijn persoonsgegevens bijgehouden zullen worden. Het is niet voldoende om louter te stellen dat deze gegevens niet langer bewaard zullen worden dan noodzakelijk. Hiermee gaat de WP29 in tegen een eerder standpunt van de Belgische Privacycommissie. |
|
Recht van de betrokkene om inzage van en rectificatie, wissing of beperking van de persoonsgegevens, het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid |
Er dient een samenvatting te worden opgenomen van de desbetreffende rechten, alsook van de manier waarop de betrokkene stappen kan ondernemen om deze rechten uit te oefenen. Het recht op bezwaar dient meer bepaald ter kennis worden gebracht ten laatste bij de eerste communicatie aan de betrokkene, en dient duidelijk en afzonderlijk meegedeeld te worden. |
|
Recht van de betrokkene om zijn toestemming in te trekken wanneer de verwerking hier op gebaseerd werd |
Er dient verduidelijkt te worden hoe de toestemming ingetrokken kan worden, waarbij er rekening gehouden moet worden met het feit dat het voor een betrokkene even gemakkelijk moet zijn om zijn toestemming te geven als in te trekken. |
|
Recht van de betrokkene om een klacht in te dienen bij een toezichthoudende autoriteit |
Er moet verduidelijkt worden dat de betrokkene, indien hij meent dat zijn privacy-rechten onder de GDPR geschonden werden, het recht heeft om een klacht in te dienen bij de toezichthoudende autoriteit (voor België de Gegevensbeschermingsautoriteit, zijnde de nieuwe naam van de Privacycommissie) in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de vermeende inbreuk gepleegd werd. |
|
Of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, of de betrokkene verplicht is deze gegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt |
Deze informatie moet enkel gegeven worden indien de persoonsgegevens van de betrokkene zelf verkregen worden. De Werkgroep verduidelijkt dat het bijvoorbeeld in een arbeidsrechtelijke context een contractuele verplichting kan zijn om bepaalde informatie aan de huidige of toekomstige werkgever mee te delen. Verder stelt zij dat online formulieren duidelijk dienen te vermelden welke velden er verplicht ingevuld moeten worden en welke niet, en wat de gevolgen zijn indien de verplichte velden niet ingevuld worden. |
|
Waar persoonsgegevens vandaan komen, en of zij afkomstig zijn van publieke bronnen |
Deze informatie moet enkel gegeven worden indien de persoonsgegevens niet van de persoon zelf verkregen worden. De specifieke vindplaats van de informatie moet gegeven worden, behalve indien dit onmogelijk zou zijn, of er dient minstens bepaalde informatie gegeven te worden. |
|
Bestaan van geautomatiseerde besluitvorming |
De Werkgroep verwijst naar haar eerder advies omtrent geautomatiseerde besluitvorming. |
De vraag rijst hoe gedetailleerd de kennisgeving aan de betrokkenen moet zijn. De WP29 stelt hierover dat er een spanningsveld bestaat tussen enerzijds de verplichting om uitvoerige informatie te verstrekken aan de betrokkenen en anderzijds de voorwaarde om dit te doen op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm. Bijgevolg preciseert de Werkgroep dat de verwerkingsverantwoordelijke zijn eigen analyse moet maken van de aard, de omstandigheden, werkingssfeer en context van de te verwerken persoonsgegevens. Op basis hiervan kan de onderneming dan beslissen hoe gedetailleerd de informatie gegeven moet worden, welke informatie prioriteit krijgt, alsook de manier waarop de informatie verstrekt wordt, uiteraard mits inachtneming van de wettelijke bepalingen van de GDPR en de aanbevelingen van de WP29. Het niveau van detail van de informatie is in een zekere mate dus gebaseerd op een risicoanalyse door de onderneming.
Overige aandachtspunten?
De WP29 heeft voor het overige nog aandacht voor onder andere volgende punten:
- Wijzigingen aan de kennisgeving: indien de informatie verstrekt aan de betrokkenen gewijzigd zou worden, stelt de WP29 dat ook deze wijzigingen actief door de onderneming gecommuniceerd moeten worden, zeker indien het substantiële of materiële wijzigingen betreft. Minstens zou deze informatie publiek beschikbaar moeten zijn. Ook de mogelijke impact van de wijziging op de betrokkenen zou verduidelijkt moeten worden. In geval van een fundamentele of relevante wijziging, dient dit volgens de Werkgroep ruim op voorhand meegedeeld te worden. De tijdspanne tussen de mededeling en het moment waarop de wijziging plaatsvind zou ook gerechtvaardigd moeten kunnen worden.
- Verwerking voor ander doeleinde: de Werkgroep stelt verder welke informatie er precies gegeven dient te worden wanneer de verwerkingsverantwoordelijke het voornemen heeft om persoonsgegevens verder te verwerken voor een ander doel dat dit waarvoor de gegevens oorspronkelijk verkregen werden, en binnen welke tijdspanne dit volgens haar dient te gebeuren.
- Uitzondering op verplichte kennisgeving: de WP29 gaat ten slotte verder in op de gevallen waarin er geen kennisgeving gedaan moet worden (meer bepaald wanneer de verwerkingsverantwoordelijke reeds over de informatie beschikt, of - indien de gegevens niet rechtstreeks van de betrokkene verkregen worden - wanneer het vertrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, wanneer het verkrijgen van de gegevens uitdrukkelijk wettelijk is voorgeschreven of de persoonsgegevens vertrouwelijk moeten blijven). Met een aantal voorbeelden en best practices geeft de WP29 aan wat zij onder deze uitzonderingen verstaat, waarbij zij lijkt te suggereren dat deze uitzonderingen redelijk restrictief geïnterpreteerd moeten worden.