Persoonsgegevens verkregen van derden

Indien er sprake is van direct contact met de betrokkenen zal het niet zo een probleem zijn om voorafgaand aan de gegevensverwerking een privacy statement met de vereiste informatie te verstrekken. Dit wordt echter anders indien de gegevens niet van de betrokkenen zelf worden verkregen, maar van derden. Denk hierbij bijvoorbeeld aan een arbodienst die van werkgevers persoonsgegevens van werknemers verkrijgt of een app die zonder tussenkomst van de gebruiker persoonsgegevens van Facebook gebruikers verkrijgt. Ook in die gevallen is de verantwoordelijke gehouden de betrokkenen te informeren.

Art. 14 van de AVG bepaalt dat wanneer persoonsgegevens niet van de betrokkene zelf zijn verkregen, alsnog de volgende informatie aan de betrokkene moet worden verstrekt:

• de identiteit van de verantwoordelijke;
• de contactgegevens van de functionaris voor gegevensbescherming (indien van toepassing);
• de doeleinden en de rechtsgrond voor de verwerking;
• de betrokken categorieën van persoonsgegevens;
• de ontvangers van de persoonsgegevens (indien van toepassing);
• in het geval van doorgifte aan een ontvanger buiten de EU, of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of welke passende of geschikte waarborgen er zijn;
• de bewaartermijn van de persoonsgegevens;
• de gerechtvaardigde belangen (indien er sprake is van een verwerking op basis van een gerechtvaardigd belang);
• dat de betrokkene het recht heeft de verantwoordelijke te verzoeken om inzage, rectificatie, verwijdering of beperking van de hem betreffende verwerking, alsmede het recht bezwaar te maken en het recht op gegevensoverdraagbaarheid;
• dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken (indien de verwerking is gebaseerd op toestemming);
• dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
• de bron waar de persoonsgegevens vandaan komen, en of zij afkomstig zijn van openbare bronnen;
• het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering.

Het bovenstaande moet uiterlijk binnen één maand na het verkrijgen van de persoonsgegevens aan de betrokkenen worden verstrekt, dan wel uiterlijk op het moment van het eerste contact met de betrokkene indien de persoonsgegevens worden gebruikt voor communicatie met de betrokkene. Worden de persoonsgegevens doorgegeven aan andere ontvangers, dan moet de informatie uiterlijk worden verstrekt op het moment van deze doorgifte.

In de praktijk kan het voor verantwoordelijken moeilijk zijn om aan deze informatieplicht te voldoen als zij geen direct contact met de betrokkenen hebben. De enige escapes die de AVG in dat geval lijkt te bieden is indien de betrokkene reeds over de informatie beschikt, als het informeren onmogelijk is of onevenredig veel inspanning zou vergen, als de verkrijging of verstrekking is voorgeschreven door EU of nationaal recht (en voorziet in passende maatregelen ter bescherming van het gerechtvaardigd belang van de betrokkene), of als de gegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van EU of nationaal recht.

In het geval de verantwoordelijke niet zelf contact heeft met de betrokkenen, zou het voor een verantwoordelijke uitkomst kunnen bieden indien in dat geval een beroep kan worden gedaan op de uitzondering dat het informeren onmogelijk is of onevenredig veel inspanning zou vergen. Het is vooralsnog echter onduidelijk wanneer van deze uitzondering sprake is. Echter, zelfs indien van deze uitzondering sprake zou zijn laat dit onverlet dat de verantwoordelijke ook aan de andere verplichtingen jegens de betrokkenen moet voldoen. Zo moeten de betrokkenen hun rechten onder de AVG (zoals inzage, rectificatie, verwijdering, gegevensoverdraagbaarheid) bij de verantwoordelijke kunnen uitoefenen.

Indien een organisatie betrokkenen niet zelf over de verwerking van hun gegevens kan informeren, is het aan te raden duidelijke afspraken te maken met de derde van wie de gegevens worden verkregen. Deze derde dient de betrokkene dan namens de verantwoordelijke te informeren over alle hierboven genoemde punten.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.