IFE Business

TRANSPARENTIE: een sleutelbegrip in de GDPR

| 0 Commentaires

Peter Van Dyck

Advocaat-vennoot bij Allen & Overy LLP

Inleiding

Binnen minder dan 100 dagen – op 25 mei 2018 – treedt de Algemene Verordening Gegevensbescherming 2016/679 (de AVG of de GDPR) in werking. Nu die datum met rasse schreden nadert, zijn ondernemingen druk bezig met het voorbereiden van de implementatie van de GDPR.

Bij deze implementatie is het belangrijk dat ondernemingen stilstaan bij de vraag welke bepalingen van de GDPR ze met prioriteit implementeren. De woorden van George Orwell in Animal Farm (“all animals are equal but some animals are more equal than others”) zijn immers ook op de GDPR van toepassing – hoewel alle bepalingen van de GDPR uiteraard belangrijk zijn, zijn sommige bepalingen meer cruciaal dan andere.

Ons inziens is transparantie één van de bepalingen die ondernemingen bij voorrang moeten implementeren. Transparantie – d.i. het informeren van de betrokkenen over hoe en waarom een onderneming hun gegevens verwerkt – is immers een sleutelbegrip in de GDPR.

Welke informatie moet een onderneming verstrekken?

De GDPR bevat gedetailleerde bepalingen over welke informatie een onderneming moet verstrekken aan de betrokkenen. Deze informatie staat opgesomd in artikels 13 en 14 van de GDPR. Deze informatie omvat onder meer informatie over de onderneming zelf (zoals contactgegevens), over de doeleinden van de verwerking, over de ontvangers van de gegevens, over de retentieperiode van de gegevens en over de rechten van de betrokkenen.

De GDPR voorziet niet in specifieke formele vereisten, maar bepaalt wel dat de informatie op een “goed zichtbare, begrijpelijke en duidelijk leesbare wijze” moet worden meegedeeld. Concreet betekent dit bvb dat de informatie niet kan “verstopt” worden in de algemene voorwaarden van een onderneming – denk maar aan de lange licentie bij het opstarten van een app die niemand (met uitzondering van enkele juridisch aangelegde app gebruikers met veel vrije tijd) leest.

 

De “gelaagde” aanpak

Het bovenstaande plaatst ondernemingen op het eerste zicht voor een paradox: ze moeten aan de betrokkenen (zeer) uitgebreide informatie meedelen, maar moeten dit wel op een eenvoudige en begrijpelijke wijze doen. Dit vereist dus een meer innovatieve en praktische insteek dan de klassieke lange privacy statements of juridische voorwaarden.

Een goede aanpak – die goedgekeurd werd door de Artikel 29 Werkgroep, een Europees adviesorgaan – is om te werken met een “gelaagde” privacy statement.

In zulke aanpak neemt de onderneming op een zeer zichtbare wijze (bvb bij het inloggen op een bepaald systeem) een korte en eenvoudig opgestelde privacy statement op, waarin de belangrijkste kerninformatie opgenomen is. Deze korte privacy statement verwijst dan naar een uitgebreidere privacy statement, die alle vereiste informatie omvat (en die bvb gepubliceerd wordt op een centrale website van de onderneming).

Conclusie

De GDPR bestaat uit vele en diverse bouwstenen, die in principe allemaal geplaatst moeten zijn op 25 mei 2018.

Gelet op het cruciaal belang van transparantie, raden we ondernemingen evenwel aan om prioritair aandacht te geven aan transparantie – het verzekeren van voldoende transparantie vormt een goede fundering om de overige bouwstenen van de GDPR op te plaatsen.

 

GDPR>regelgeving, processen en technologieën: welke toekomst en wat te doen vóór 25/5/2018?

Laisser un commentaire

Champs Requis *.