Deel 7 van de blogreeks ‘verplichtingen webshops’ gaat over de privacyverklaring en het toesturen van nieuwsbrieven.
Privacyverklaring
Webshops verwerken al gauw persoonsgegevens, bijvoorbeeld van websitebezoekers of van klanten. Klanten vullen bijvoorbeeld hun adresgegevens in om producten thuis te kunnen laten bezorgen. Op grond van de Algemene Verordening Gegevensbescherming (AVG) moeten deze personen over deze verwerkingen worden geïnformeerd. Meestal gebeurt dit via een privacyverklaring.
Inhoud privacyverklaring
De privacyverklaring moet diverse gegevens bevatten, waaronder:
- De identiteit.
Hierbij dienen de bedrijfsnaam en de contactgegevens te worden vermeld. - Als een functionaris voor gegevensbescherming is aangesteld, zijn/haar contactgegevens.
- De doeleinden per verwerking.
- De betrokken categorieën van persoonsgegevens.
- De wettelijke grondslag waarop een verwerking is gebaseerd.
Hierbij kunt u onder andere denken aan toestemming, noodzakelijk voor de uitvoering van een overeenkomst of vanwege een bepaald gerechtvaardigd belang. - Met wie de persoonsgegevens worden gedeeld.
Bijvoorbeeld als gegevens met andere bedrijven worden gedeeld of gebruik wordt gemaakt van verwerkers. - Als persoonsgegevens buiten de EU worden verwerkt of aan een ontvanger in een niet-EU-land wordt doorgegeven, moet dit worden gemeld.
- De bewaartermijnen per verwerking.
- De rechten van de betrokkenen.
Hieronder vallen onder andere het recht op inzage, correctie of verwijdering van persoonsgegevens, het klachtenrecht, het recht op dataportabiliteit en het recht om een toestemming weer in te trekken. - Als wordt gewerkt met geautomatiseerde besluitvorming (waaronder profilering in het kader van marketing): informatie over de onderliggende logica, het belang van de verwerking en de verwachte gevolgen van die verwerking voor de betrokkenen.
Sancties
Als u niet aan het voorgaande voldoet, kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 20 miljoen euro of 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Naar verwachting zullen de meeste overtredingen echter worden afgedaan met lichtere sancties, zoals een waarschuwing of een last onder dwangsom.
Instemming vereist?
De personen waarvan persoonsgegevens worden verwerkt, hoeven slechts te worden geïnformeerd over de wijze waarop de gegevens worden verwerkt. Het is niet vereist dat zij ook met de privacyverklaring instemmen. Wel is aan te raden in het bestelproces een hokje te plaatsen, waarbij de klant kan aanvinken dat de privacyverklaring is gelezen. Als dit vervolgens wordt gelogd, kunt u altijd bewijzen dat de klant (op een bepaalde wijze) was geïnformeerd en op welk moment.
Nieuwsbrieven toesturen
Nieuwsbrieven mogen in principe alleen worden toegestuurd als de betrokkene daar toestemming voor heeft gegeven, tenzij het gaat om bestaande klanten. In dat laatste geval moet de klant wel zijn geïnformeerd dat hij na de aankoop van een product de nieuwsbrief zal ontvangen. Ook moet hij zich vóór de aanschaf van het product hiertegen kunnen verzetten en mag de nieuwsbrief alleen producten en/of diensten bevatten die soortgelijk zijn aan wat de klant heeft gekocht.
Zie voor meer informatie over het versturen van nieuwsbrieven de blog ‘Nieuwsbrieven versturen onder de AVG, wanneer mag dit nog wel?’.
Volgende week blog ik over de cookieverklaring. Heeft u een vraag over uw privacyverklaring of wilt u deze gecheckt hebben? Neem dan gerust contact op met een van onze advocaten ICT- en privacyrecht.