Mag ik persoonsgegevens delen met derden?
Inleiding
De Algemene Verordening Gegevensbescherming (AVG) omvat de regels waaraan u als ondernemer moet voldoen. Denk aan de manier hoe u met persoonsgegevens om moet gaan, welke maatregelen u moet nemen op het gebied van bescherming alsmede regels omtrent het inrichten van de bedrijfsmatige processen.
De AVG is zodoende behoorlijk complex van aard om te implementeren en er moeten doorgaans de nodige stappen worden genomen om volledig te voldoen. Omtrent het delen van gegevens (met derden) is de AVG duidelijk en in dit artikel leggen wij u deze regels uit.
Wanneer mag ik met de toestemming van betrokkene gegevens delen?
Mits een betrokkene expliciet toestemming aan u geeft om zijn/haar gegevens te delen (verwerken) gelden de hiernavolgende strikte voorwaarden om de gegevens te mogen delen, te weten (1) De ontvanger van de gedeelde gegevens valt onder het bereik van de Europese Privacy wetgeving; en (2) er is met deze derde (ontvanger van de gedeelde gegevens) een verwerkersovereenkomst gesloten en de bescherming van de gegevens van betrokkene is gewaarborgd; en (3) De derde (ontvanger van de gedeelde gegevens) voldoet volledig aan de AVG; en (4) De door de betrokkene verkregen toestemming moet aantoonbaar zijn voor het type gegevens en er is een wettelijke grondslag om deze gegevens te mogen verkrijgen.
Wanneer mag ik met de toestemming van betrokkene toch niet delen?
Voor het verwerken van bijv. strafrechtelijke gegevens is altijd een vergunning van het ministerie van Justitie verplicht én deze gegevens mag u niet delen (uitwisselen) met onbevoegde. Dit betekent dat als de derde waar u gegevens mee wenst te delen dergelijke vergunning niet heeft (dit is erg aannemelijk) u de gegevens dus vrijwel altijd niet mag delen.
Eenzelfde geldt voor (zeer bijzondere) medische gegevens welke u alleen mag verwerken onder zeer strikte voorwaarden en waarbij het delen vrijwel altijd niet mag, tenzij dit nodig is voor de uitvoering van bijv. een medisch beroep.
Zijn er mogelijk beperkingen vanuit een EU-lidstaat?
Een EU-lidstaat kan beperkingen opleggen inzake de gegevens die u niet mag vragen (verkrijgen) en in dergelijk geval mag en kunt u de gegevens logischerwijs naar nationaal recht in de lidstaat ook niet delen. Het is gelet op laatste volzin belangrijk u goed te verdiepen in de lokale regels per land indien u zakendoet met het buitenland en/of gegevens verkrijgt van betrokkene uit andere landen.
Een goed voorbeeld is een verbod op het verkrijgen van de informatie omtrent het type apparaat van een betrokkene naar het Duits privacyrecht.
De organisatie met wie ik gegevens wil delen voldoet niet aan de AVG, wat nu?
Indien u gegevens mag delen conform de AVG én u heeft hiervoor de expliciete toestemming van de betrokkene is het uw plicht uitsluitend gegevens te delen met partijen waarmee u de gegevens mag delen conform een verwerkingsovereenkomst. Gegevens delen met een partij die (deels of geheel) niet voldoet aan de AVG mag nooit, zelfs niet indien er een verwerkingsovereenkomst is gesloten.
Wat is de (verplichte) verwerkersovereenkomst?
Dit is een overeenkomst waarin u de rechten en plichten tussen verwerkingsverantwoordelijke en verwerker vastlegt met hierin o.a. wat de verwerker wel en niet mag en moet doen met de aangeleverde (persoons)gegevens.
Deze overeenkomst is zodoende een sluitstuk voor de uitwisseling van persoonsgegevens. Het is van belang dat de verwerkersovereenkomst klopt, want het is immers uw verantwoordelijkheid als verantwoordelijke.
Wanneer mag of moet ik delen krachtens een wettelijk voorschrift?
Indien de gegevens moeten worden gedeeld bijv. voor het verhalen van rechtsvordering spreken we van een uitzondering met een eigen wettelijke grondslag. In dergelijk geval hoeft u in de meeste gevallen geen verwerkersovereenkomst te sluiten.
Hulp van een expert
Nu direct hulp
Altijd juridische hulp, waar u ook bent.
Download app
Aangeboden door: https://www.rechtsbijstandvoorondernemers.nl
Dit artikel wordt regelmatig geactualiseerd, maar toch is het mogelijk dat de inhoud onvolledig en/of onjuist is.
Is dit antwoord nuttig?
Ja
Nee