Stap 3. Informeren klant
Welke eisen gelden er voor het informeren van betrokkenen?
De AVG kent het beginsel van transparantie. Kern hiervan is dat Betrokkenen moeten kunnen achterhalen dat hun persoonsgegevens worden verwerkt, met welk doel dit gebeurt en welke rechten zij hebben. Als adviseur ben je daarom verplicht de Betrokkene bepaalde informatie te verstrekken
Er zijn twee situaties waarin je als Financieel Adviseur een actieve informatieplicht hebt.
- Je krijgt de persoonsgegevens van de Betrokkene zelf;
- Je krijgt de persoonsgegevens van een derde partij
Situatie 1: Je krijgt de persoonsgegevens van de Betrokkene zelf
Privacy statement
Je kunt alle vereiste informatie in één keer via één document bieden, bijv. met een Privacy-verklaring of Privacy-statement. Dat is efficiënt, en bovendien duidelijk voor de Betrokkene, omdat het versnippering van informatie voorkomt.
Voorwaarden
Voor de verplicht te verstrekken informatie gelden de volgende voorwaarden:
- De informatie wordt weergegeven op een manier die beknopt en begrijpelijk is, in een toegankelijke vorm en in eenvoudig en heldere taal.
- Je mag geen kosten in rekening brengen voor het verstrekken van de informatie.
- Bij voorkeur wordt gebruik gemaakt van gestandaardiseerde iconen en gelaagdheid in de informatievoorziening.
Verplichte informatie
Welke gegevens moet je verplicht verstrekken? Dit zijn de volgende gegevens:
- identiteit en contactgegevens van jezelf als verwerkingsverantwoordelijke c.q. de vertegenwoordiger van de verwerkingsverantwoordelijke;
- indien van toepassing, de contactgegevens van de functionaris voor de gegevensbescherming;
- de doeleinden van de gegevensverwerking;
- de rechtsgrond van de verwerking
- de gerechtvaardigde belangen van de verwerkingsverantwoordelijke als persoonsgegevens hiervoor worden gebruikt;
- de ontvangers of categorieën ontvangers (o.a. ook verwerkers).
- indien van toepassing of het voornemen bestaat persoonsgegevens door te geven aan een derde land of internationale organisatie;
- de bewaartermijn van persoonsgegevens of als dit niet mogelijk is, criteria voor bepaling ervan;
- rechten van de Betrokkene op inzage, rectificatie, wissing van persoonsgegevens of beperking van de verwerking alsook het recht om bezwaar te maken tegen de verwerking en het recht om te verzoeken de gegevens over te dragen in een digitaal formaat.
- het recht om een gegeven toestemming voor gegevensverwerking te allen tijde te mogen intrekken, zonder dat daarmee de reeds uitgevoerde verwerkingen onrechtmatig zouden worden;
- het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens;
- of de gegevensverwerking gebaseerd is op een wettelijke of een contractuele grondslag, c.q. noodzakelijk is om een overeenkomst aan te gaan;
- indien van toepassing: het gebruik van de persoonsgegevens gebruikt voor geautomatiseerde besluitvorming. Ook moet dan de onderliggende logica en het soort besluitvorming daarbij kenbaar worden gemaakt;
- indien van toepassing: de verwerking van de persoonsgegevens voor andere doelen, waarbij geldt dat deze doelen verenigbaar moeten zijn met het oorspronkelijke doel waarmee de gegevens zijn verkregen.
Al deze informatie behoeft niet te worden verstrekt als een Betrokkene al over deze informatie beschikt. In dat geval ligt de bewijslast wel bij jou als verwerkingsverantwoordelijke.
Tijdstip
Deze informatie moet je verstrekken op het moment dat je de persoonsgegevens krijgt.
Situatie 2: Je krijgt de persoonsgegevens van een derde partij
Als de persoonsgegevens niet via de Betrokkene zelf zijn verkregen moet je, in aanvulling op al het bovenstaande, informatie geven:
- over de bron waar de gegevens vandaan komen.
- de categorieën van de te verwerken persoonsgegevens worden meegedeeld.
Tijdstip
Deze informatie moet uiterlijk binnen 1 maand worden verstrekt nadat je de persoonsgegevens krijgt. Als de gegevens worden gebruikt voor het communiceren met de Betrokkene/Klant ben je verplicht uiterlijk op het moment van het eerste contact de informatie te verstrekken.