Wat zijn mijn GDPR-verantwoordelijkheden bij enquêtes?

Geen reacties

Naar aanleiding van de GDPR, krijgen we steeds vaker de vraag van onze gebruikers wat ze moeten doen om compliant te zijn. Als je werkt met persoonsgegevens van betrokkenen in de EU of je hebt activiteiten of bent gevestigd in de EU, dan zijn er wel een aantal zaken waar je rekening mee moet houden. In dit blogartikel proberen we je alvast op weg te helpen.

“Zijn je enquêtes anoniem of maak je gebruik van persoonsgegevens?”

  • Als je je enquêtes anoniem verspreidt en geen persoonsgegevens verwerkt, dan hoef je geen rekening te houden met de GDPR. Maar wees voorzichtig, de GDPR interpreteert het begrip ‘persoonsgegevens’ zeer breed! (zie artikel 4.1).
  • Gebruik je contacten of vraag je in je enquêtes naar een e-mailadres, naam of andere persoonsgegevens, lees dan verder want de GDPR legt je een aantal verantwoordelijkheden m.b.t. verwerking van persoonsgegevens op.

Zorg dat je toestemming hebt

Volgens Artikel 6 van de GDPR heb je een wettelijke basis nodig om persoonsgegevens te mogen verwerken. De meest voorkomende is toestemming van de betrokkene, in dit geval de bevraagde (zie artikel 7). Als verwerkingsverantwoordelijke moet je kunnen aantonen aan welke ‘wettelijke basis’ je voldoet. Houd er ook rekening mee dat respondenten hun gegeven toestemming te allen tijde mogen intrekken.

Informeer je respondenten

Als verwerkingsverantwoordelijke moet je bij het verzamelen van persoonsgegevens de nodige informatie verschaffen aan de betrokkenen. Check daarom zeker de GDPR-artikels vermeld in huidig blogartikel om te weten welke info je verplicht bent te verstrekken, en welke info onder het ‘recht van inzage’ valt.

  • Artikel 13 geeft aan welke informatie je moet verstrekken bij het verzamelen van persoonsgegevens van je betrokkenen om een eerlijke en transparante dataverwerking te waarborgen, waaronder: welke gegevens verzameld worden, wie de gegevens verwerkt, hoelang ze bewaard blijven, met welk doel, enz.
  • Daarnaast moeten je respondenten inzage kunnen hebben in hun persoonsgegevens en alle gerelateerde informatie (zie artikel 13 en artikel 15).

Recht op rectificatie en wissing van gegevens

Naast het informatierecht gaat de GDPR nog een stapje verder in artikels 16 en 17. Respondenten hebben naast het “recht van inzage” namelijk ook “recht op rectificatie” en “recht op gegevenswissing (recht op vergetelheid)”. Ze moeten hun persoonsgegevens m.a.w. kunnen aanpassen of aanvullen en moeten in staat zijn deze te verwijderen. Geef dus steeds de te volgen procedures mee en bij wie ze terecht kunnen met vragen. Je kan hiervoor bijvoorbeeld een extra paragraaf toevoegen in de e-mailuitnodiging of de dankpagina.

Houd een register bij van verwerkingsactiviteiten

Conform artikel 30 dien je als verwerkingsverantwoordelijke een register bij te houden van alle verwerkingsactiviteiten. Hierin moeten bepaalde zaken vermeld staan, zoals: de verwerkingsdoeleinden, een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk), enz. Lees dus zeker de officiële richtlijnen en houdt alle nodige informatie bij.

Data Processing Agreement

Wanneer je persoonsgegevens deelt met een verwerker, zoals CheckMarket, dan ben je verplicht een Data Processing Agreement (gegevensverwerkingsovereenkomst) met die verwerker aan te gaan. CheckMarket biedt een GDPR-compliant gegevensverwerkingsovereenkomst (DPA) aan met best practice beschermingsbepalingen waarin duidelijk alle privacyverplichtingen zijn opgenomen. Alle op CheckMarket van toepassing zijnde vereisten van de GDPR zijn hierin uiteraard ook gedekt en wat nog belangrijker is, je kunt er zeker van zijn dat we dezelfde voorwaarden inzake gegevensbescherming ook opleggen aan onze subverwerkers, conform de vereisten in artikel 28.4 van de GDPR.

Volgend artikel legt uit hoe de CheckMarket accountbeheerder onze Gegevensbeschermingsovereenkomst (DPA) gemakkelijk kan nalezen en goedkeuren:

Data Protection Officer

Sommige organisaties moeten volgens artikel 37 van de GDPR een Data Protection Officer (DPO) aanstellen. Dit is vereist, wanneer:

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
  3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

Heeft jouw organisatie een functionaris voor gegevensbescherming (DPO)? Dan kan jullie CheckMarket accountbeheerder de gegevens van jullie DPO registreren in onze tool.

CheckMarket’s verantwoordelijkheden

Als dataverwerker is de veiligheid van persoonsgegevens garanderen onze grootste prioriteit. Hiervoor hanteren we strenge technische en organisatorische veiligheidsmaatregelen. Zo hebben we o.a. de nodige processen opgezet om datalekken vast te stellen en op te lossen, en maken we gebruik van HTTPS-encryptie.

Meer info over onze veiligheidsmaatregelen vind je in ons privacybeleid en onze gegevensverwerkingsovereenkomst (DPA).

 


Opgelet: Houd er rekening mee dat niets op deze webpagina bedoeld is als of gebruikt kan worden ter vervanging van juridisch advies. Wij raden uitdrukkelijk aan om zeker ook te rade te gaan bij een jurist voor onafhankelijk advies specifiek afgestemd op jouw situatie.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *