De inhoud van de privacyovereenkomst - | De privacyverklaring als overeenkomst

Hoofdstuk 3 | De privacyverklaring als overeenkomst

3.3 De inhoud van de privacyovereenkomst

In paragraaf 2.3.2 zijn de elementen benoemd die volgens de Groep Gegevensbescherming Artikel 29 zouden moeten worden opgenomen in een privacyverklaring. Met betrekking tot deze elementen is in hoofdstuk 2 geconcludeerd dat niet duidelijk is of op grond van de artikelen 33 en 34 Wbp alle door de Groep genoemde elementen verplicht moeten worden opgenomen in een privacyverklaring. Ten aanzien van de elementen ‘identiteit van de verantwoordelijke’ en ‘het doel van de verwerking’ bestaat die onduidelijkheid niet. Deze dienen op grond van de artikelen 33 en 34 Wbp te worden vermeld. De verantwoordelijke en de betrokkene zouden ten aanzien van de inhoud van de privacyovereenkomst de lijst van de Groep Gegevensbescherming Artikel 29 als leidraad kunnen nemen, dan wel zich hieraan volledig conformeren. In de praktijk blijft vanwege de open normen van de artikelen 33 en 34 Wbp rechtsonzekerheid bestaan of de betreffende inhoud van de privacyovereenkomst voldoende is om ten aanzien van een specifiek geval te hebben voldaan aan de informatieplicht van de Wbp.

De Wbp kent zes grondslagen op basis waarvan de verantwoordelijke persoonsgegevens kan verwerken.³⁰⁴ De grondslagen staan genoemd in artikel 8 Wbp.

Artikel 8 Wbp

Persoonsgegevens mogen slechts worden verwerkt indien:

a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;

304

Berkvens pleit ervoor de (herziene) regelgeving van het databeschermingsrecht meer te gaan toepassen op ‘degene die persoonsgegevens verwerkt’. Dienaangaande geeft hij ter overweging om artikel 7 Privacyrichtlijn (zoals vervat in het huidige artikel 8 Wbp) uit te breiden met een onderdeel g: ‘Persoonsgegevens mogen slechts worden verwerkt indien: g. de verwerking noodzakelijk is in het kader van een met een derde afgesloten overeenkomst’. Berkvens 2011, p. 262.

b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;

c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;

d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;

e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of

f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Kijkend naar de inhoud van de privacyovereenkomst is allereerst artikel 8 sub a Wbp relevant. Dit artikel bepaalt dat persoonsgegevens slechts mogen worden verwerkt indien de betrokkene voor de verwerking zijn ‘ondubbelzinnige toestemming’ heeft verleend.³⁰⁵ In de privacyovereenkomst kunnen de verantwoordelijke en de betrokkene vastleggen ten aanzien van welke verwerkingen de betrokkene zijn ondubbelzinnige toestemming heeft gegeven. De betrokkene kan er tevens voor kiezen om aan de hand van de privacyovereenkomst zijn ondubbelzinnige toestemming te verstrekken.³⁰⁶ Voor de rechtsgeldigheid van de ondubbelzinnige toestemming is het wel noodzakelijk dat alle voor de verwerking relevante informatie op een transparante wijze wordt opgenomen in de privacyverklaring. “A second dimension of consent relates to information: transparency towards the data subject. Transparency is a condition of being in control and for rendering the consent valid. Transparency as such is not enough to legitimise the processing of personal data, but it is an essential condition in ensuring that consent is valid. To be valid, consent must be informed. This implies that all the necessary information must be given at the moment the consent is requested, and that this should address the substantive aspects

305

In paragraaf 2.2.2.1 is verduidelijkt wat onder ondubbelzinnige toestemming wordt verstaan.

306

Dit geldt evenzo voor de gevallen waarin de betrokkene zijn ‘uitdrukkelijke toestemming’ heeft gegeven of wil geven ten aanzien van de verwerking van bijzondere gegevens conform artikel 23 lid 1 sub a Wbp. Het verwerken van bijzondere persoonsgegevens zoals over godsdienst, gezondheid of politieke gezindheid is niet toegestaan op grond van artikel 16 Wbp, tenzij de betrokkene conform artikel 23 lid 1 sub a Wbp zijn uitdrukkelijke toestemming hiervoor heeft gegeven. “Bij de verplichting tot een uitdrukkelijke toestemming van de betrokkene, dient de betrokkene expliciet zijn wil omtrent de verwerking te hebben geuit aan de verantwoordelijke. Een stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende gegevensverwerking”. Hooghiemstra & Nouwt, p. 124, aant. 111.

of the processing that the consent is intended to legitimise. This would normally cover the elements of information listed in Article 10 of the Directive, but will also depend on when, and the circumstances in which, consent is requested”.³⁰⁷ Daarbij dient te worden aangetekend dat artikel 8 sub a Wbp spreekt van ‘toestemming’ en niet van ‘overeenkomst’. Cuijpers merkt hierover op dat in het Nederlandse privaatrecht enkel in theorie een onderscheid tussen toestemming en contract bestaat. “Alle rechtshandelingen worden in Nederland echter beheerst door dezelfde regels inzake totstandkoming, geldigheid en nietigheid, waardoor er praktisch geen verschillen bestaan”.³⁰⁸ In dit kader is tevens relevant de visie van de Groep Gegevensbescherming Artikel 29 die stelt dat ‘toestemming’ en het overeenkomstenrecht ten opzichte van elkaar aanvullend zijn. “Consent is also a notion used in other fields of law, particularly contract law. In this context, to ensure a contract is valid, other criteria than those mentioned in the Directive will be taken into account, such as age, undue influence, etc. There is no contradiction, but an overlap, between the scope of civil law and the scope of the Directive: the Directive does not address the general conditions of the validity of consent in a civil law context, but it does not exclude them”.³⁰⁹

De verantwoordelijke kan in een privacyovereenkomst verplichtingen op zich nemen die verder gaan dan de verplichtingen die voor hem voortvloeien uit de Wbp.³¹⁰ De verantwoordelijke kan bijvoorbeeld verduidelijken op basis van welke grondslag (of grondslagen), naast de grondslag van artikel sub a Wbp, hij persoonsgegevens verwerkt. Ook zou de verantwoordelijke kunnen verklaren dat hij nimmer persoonsgegevens aan derden zal verstrekken met het oog op werving voor commerciële doelen.³¹¹ De verantwoordelijke zou ook in de privacyovereenkomst kunnen verduidelijken of er, en zo ja welke, verschillen zijn met betrekking tot verwerkingen in de precontractuele of contractuele fase. Tevens zou hij de organisatorische en technische maatregelen kunnen benoemen die door hem zijn getroffen ter bescherming van de persoonsgegevens. Evenzo kan de verantwoordelijke zich ertoe verplichten om de betrokkene te informeren mocht er sprake zijn van een datalek binnen zijn organisatie. Voorts biedt de privacyovereenkomst de mogelijkheid om de procedure te beschrijven die de verantwoordelijke in acht neemt ter controle op de naleving van de verplichtingen die hij op grond van de Wbp en de

307

Groep Gegevensbescherming Artikel 29-2011, p. 9. In hoofdstuk 5 zal het belang van transparantie nader aan de orde komen.

308

Cuijpers 2004, p. 159. Vergelijk Purtova, p. 191 e.v.

309

Groep Gegevensbescherming Artikel 29-2011, p. 6.

310

Vergelijk Verkade die in het kader van een gedragscode zoals bedoeld in artikel 25 Wbp stelt: “Wat in deze statusdiagnose verder op te merken valt, is dat een 'verantwoordelijke' die in zijn

contractuele betrekking met een cliënt naar een gedragscode verwijst, daaraan contractueel gehouden kan worden, ook als zijn verplichtingen daarmee verder zouden gaan dan uit de Wbp zelf zou voortvloeien. Het omgekeerde stuit mijns inziens af op het gegeven dat de bepalingen van de Wbp naar hun aard in die zin dwingend zijn dat daarvan niet ten nadele van de 'betrokkene' (de geregistreerde persoon) kan worden afgeweken”. Verkade, punt 4.14. Zie in dit kader tevens Siemerink et al, p. 143.

311

privacyovereenkomst heeft. De verantwoordelijke en de betrokkene kunnen een boetebeding overeenkomen, zodat de betrokkene geen gerechtelijke procedure hoeft te starten indien de verantwoordelijke persoonsgegevens verwerkt in strijd met de Wbp of de privacyovereenkomst. Maar niet alleen de verantwoordelijke kan aan de hand van de privacyovereenkomst verplichtingen op zich nemen. Zo kan de betrokkene de verplichting op zich nemen om de juiste en volledige persoonsgegevens aan de verantwoordelijke te verstrekken.³¹² Tevens zou de betrokkene zich kunnen verplichten om eventuele wijzigingen ten aanzien van zijn persoonsgegevens door te geven aan de verantwoordelijke.

In document Recht doen aan privacyverklaringen: Een juridische analyse van privacyverklaringen op internet (pagina 87-90)