De Europese verordening gegevensbescherming (DSGVO) wordt in mei van kracht. Hier volgen de belangrijkste wijzigingen die onlinehandelaren in hun wetteksten moeten aanbrengen om waarschuwingsbrieven of sancties te vermijden.
Dit jaar zal geen enkele onlinehandelaar de Algemene verordening gegevensbescherming (DSGVO) kunnen omzeilen. Vanaf 25 mei 2018 zullen aan elke onlinehandelaar nieuwe eisen worden gesteld inzake de behandeling van klantengegevens, wijzigingen in de gegevensbeschermingsverklaring en diverse andere hindernissen. Op die datum eindigt de omzettingsperiode na twee jaar en is de GDPR rechtstreeks van toepassing in de hele EU. Onlinehandelaren moeten nu hun bedrijfsvoering en hun wetteksten aanpassen om te voorkomen dat zij een waarschuwing krijgen of hoge boetes riskeren.
Gevaar op waarschuwingen wegens gebrekkige tenuitvoerlegging
Veel onlinehandelaren zijn bang voor de hoge boetes die kunnen worden opgelegd in geval van een inbreuk op de gegevensbescherming. De GDPR voorziet in boetes tot 20 miljoen euro of tot vier procent van de jaaromzet, afhankelijk van de vraag of er sprake is van een loutere inbreuk op de gegevens of van een schending van de gegevensbescherming.
Onlinehandelaren mogen er niet op vertrouwen dat de toezichthoudende autoriteiten voor gegevensbescherming het niet zullen merken als zij de verplichte vereisten van de GDPR door een gebrek aan capaciteit niet op tijd ten uitvoer leggen. Het zijn immers niet alleen de boetes van de toezichthoudende autoriteiten die dreigen. Consumentenbeschermings- en mededingingsverenigingen kunnen bedrijven ook waarschuwen en aanklagen wegens inbreuken op de wetgeving inzake gegevensbescherming. Waarschuwingsbrieven van concurrenten zijn evenmin uitgesloten, aangezien gegevensbeschermingsvoorschriften in het kader van het mededingingsrecht als marktgedragsregels worden beschouwd. De gevaren zijn daarom natuurlijk het grootst waar onlinehandelaren publiekelijk aan iedereen adverteren – op het internet.
DSGVO-conforme verklaring inzake gegevensbescherming
De belangrijkste aanpassing moet in de verklaring inzake gegevensbescherming worden aangebracht. Elke onlinewinkel verzamelt, bewaart en verwerkt persoonsgegevens en is daarom verplicht een verklaring inzake gegevensbescherming in de winkel aan te brengen. Deze verplichting blijft ongewijzigd na 25 mei 2018. De verplichte informatie die in de gegevensbeschermingsverklaring moet worden opgenomen, is echter aanzienlijk uitgebreider geworden.
Voorheen was alleen informatie vereist over het soort, de reikwijdte en het doel van het verzamelen en gebruiken van persoonsgegevens. In de toekomst moet niet alleen het doel van de verwerking worden vermeld, maar ook de duidelijke rechtsgrondslag voor de verwerking van de gegevens.
Er moet ook informatie worden verstrekt over wie de ontvanger van de gegevens is, of de gegevens aan derden worden doorgegeven en hoe lang ze worden bewaard. Een precieze lijst van de uitgebreide verplichte informatie is opgenomen in artikel 13 van de GDPR.
Niet in de laatste plaats moeten handelaren betrokkenen in de privacyverklaring informeren over het bestaan van hun recht op toegang, rectificatie, uitwissing, beperking en bezwaar, alsmede over hun recht op gegevensoverdraagbaarheid en het recht om een klacht in te dienen bij een toezichthoudende autoriteit. Deze “rechten van de betrokkene” zijn door de GDPR aanzienlijk uitgebreid en moeten op een begrijpelijke manier aan de gebruikers worden gepresenteerd, zodat zij tegenover de winkelier kunnen worden ingeroepen.
Vorm van de gegevensbeschermingsverklaring
De vorm waarin de gegevensbeschermingsverklaring moet worden geschreven, is nu bij wet vastgesteld. In de toekomst moet het worden geschreven “in een nauwkeurige, transparante, begrijpelijke en gemakkelijk toegankelijke vorm in eenvoudige en duidelijke taal”.
Eenvoudig toegankelijk betekent dat de informatie die het privacybeleid moet bevatten niet mag worden “verstopt” in andere teksten, bijvoorbeeld in de AVG. Aangezien de informatie door de betrokkenen moet worden begrepen, moet de taal worden afgestemd op hun taalvaardigheid, zoals kinderen als websitebezoekers. Technische termen moeten daarom zoveel mogelijk worden vermeden.
Informatie voordat gegevens worden verzameld
Het is belangrijk dat de gebruiker van wie persoonsgegevens worden opgeslagen, wordt geïnformeerd over de verwerking van zijn gegevens voordat deze worden verzameld. Indien de gebruiker bijvoorbeeld bij het bezoeken van een website een contactformulier moet invullen, betekent dit dat hij of zij de mogelijkheid moet hebben om de informatie in het privacybeleid te lezen alvorens het bericht naar de onlinehandelaar te sturen.
Conclusie
Onlinehandelaren moeten zich voorbereiden om de veranderingen voor de deadline door te voeren, anders krijgen ze te maken met waarschuwingen en hoge boetes. Aangezien de wijzigingen in de gegevensbeschermingsverklaring zeer ingrijpend zijn, moeten handelaren, indien hiervoor in het bedrijf geen personeel beschikbaar is, tot de deadline deskundige ondersteuning zoeken en hulp krijgen bij de uitvoering van de nieuwe clausules.
Over de auteur Markus Kluge
Markus Kluge is opgeleid als natuurkundige, werkt sinds 2001 in de sector geautomatiseerd juridisch advies en is dus zowel een exoot als een veteraan in de sector. Sinds 2013 is hij managing director bij Protected Shops, een van de toonaangevende aanbieders op het gebied van juridische teksten voor de online handel. Meer dan 9.000 onlineshops maken reeds gebruik van de wetteksten van Protected Shops en zijn dus waarschuwingsvrij in e-commerce.