Inleiding

De Databeschermingsrichtlijn biedt algemene regelgeving voor de verwerking van persoonsgegevens binnen de EU. De regelgeving in de richtlijn is opgenomen in lokale wetgeving binnen de EU en EEA, en worden door elke lidstaat gehandhaafd.

De klanten van Questback worden, als zijnde de entiteit die het doel en het gebruik van enquêtes, panels en communities definieert, volgens de richtlijn beschouwd als "voor de verwerking verantwoordelijke”, waardoor zij verantwoordelijk zijn voor het verwerken van gegevens conform de richtlijn.

Het doel van dit advies is om een overzicht te geven van de algemene verplichtingen van de voor de verwerking verantwoordelijke onder de richtlijn. Het advies mag niet worden opgevat als een uitputtende lijst van verplichtingen van de voor de verwerking verantwoordelijke en het behandelt geen elementen van de specifieke lokale wetgeving.

Definities

De hierin gebruikte termen zijn gedefinieerd zoals in de richtlijn:

Betrokkene: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met name aan de hand van een identificatienummer of één of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit kan worden geïdentificeerd. In de praktijk zijn dit de respondenten, panelleden en leden van de community.

Persoonsgegevens: iedere informatie betreffende een betrokkene

verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigerlei andere wijze van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het wissen of vernietigen van gegevens. Verwerking mag alleen plaatsvinden in overeenstemming met het Doel.

Voor de verwerking verantwoordelijke: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die, respectievelijk dat alleen of tezamen met anderen, het doel van en de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt. Voor enquêtes die worden opgezet door een klant, of namens een klant, is een klant volgens de richtlijn een "Voor de verwerking verantwoordelijke".

Verwerker: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt. Aangezien de software en opslaggebieden van Questback gebruikt kunnen worden voor het verwerken van persoonsgegevens, is Questback een verwerker voor haar klant, indien de klant de software van Questback gebruikt om persoonsgegevens te verwerken.

Toestemming van betrokkenen

Onder de richtlijn is de verwerking van persoonsgegevens alleen legitiem als aan ten minste één van de vermelde voorwaarden is voldaan. Voor het doel van enquêtes is de relevante voorwaarde in de meeste gevallen de toestemming van de betrokkene. De voorwaarden van de toestemming staan hieronder vermeld.

Wanneer dergelijke toestemming is ontvangen, mogen persoonsgegevens worden verwerkt volgens de regelgeving in de richtlijn. Dit overzicht voorziet niet in een lijst van deze regelgeving.

De voor de verwerking verantwoordelijke moet eerst toestemming krijgen van de betrokkene voordat persoonsgegevens worden verwerkt. Details van de voorwaarden voor toestemming staan hieronder beschreven:

De toestemming moet zijn:

  • Vrijwillig: toestemming moet vrij worden gegeven. Het mag niet worden gegeven onder druk of onrechtmatige overreding. Bovendien heeft de betrokkene de mogelijkheid om zijn toestemming op elk moment te herroepen.
  • Specifiek: de toestemming moet specifiek worden gegeven door de betrokkene. Dit betekent dat de betrokkene actief en positief moet toestemmen dat gegevens worden verwerkt.
  • Geïnformeerd: de toestemming moet zijn ontvangen nadat de betrokkene de hieronder beschreven informatie te zien heeft gekregen.
  • Ondubbelzinnig: de geboden toestemming moet duidelijk betrekking hebben op de verstrekking en gegevens die in de informatie zijn beschreven, zodat er geen twijfel bestaat over wat er onder de toestemming valt.

De informatie moet:

  • Uiterlijk zijn verstrekt na verzameling van gegevens: voor gegevens die zijn verzameld door middel van een enquête betekent dit dat informatie moet worden verstrekt aan het begin van de enquête, voordat gegevens worden verstrekt.
  • Als de persoonsgegevens een e-mailadres of telefoonnummer zijn die al zijn verzameld voor de start van een enquête, moet de informatie zijn verstrekt op het moment van de verzameling, maar mag opnieuw niet later worden verstrekt dan het begin van de enquête.
  • Vermelden welke informatie wordt verwerkt: voor het doel van enquêtes, communities en panels, zullen de verzamelde gegevens in de meeste gevallen de gegevens zijn die door de betrokkene zelf zijn verstrekt. Indien er aanvullende gegevens worden verzameld, moeten de aard van zulke gegevens en de verzamelbron opgenomen worden.
  • De identiteit van de voor de verwerking verantwoordelijke en zijn vertegenwoordiger: de identiteit bevat de officiële naam en het adres. Bovendien moet de betrokkene zich bewust zijn van gegevensverwerkers, hieronder Questback.
  • Het doel voor de gegevensverwerking vermelden: één van de basiselementen van verwerking in de richtlijn is dat de voor de verwerking verantwoordelijke geen persoonsgegevens mag gebruiker voor doelen anders dan de doelen die specifiek onder de toestemming vallen. Daarom is het belangrijk dat het doel een voldoende uitgebreide beschrijving is van de reden voor het verwerken van de gegevens. Het doel moet gespecificeerd, expliciet en legitiem zijn.
  • Het is belangrijk om op te merken dat onder de richtlijn het gebruik van gegevens buiten het geïnformeerde doel niet wordt aanvaard. Als de gegevens op basis van een nieuw doel worden verwerkt, of een doel dat verschilt van het gespecificeerde doel, is een nieuwe toestemming nodig. Als de voor de verwerking verantwoordelijke persoonsgegevens wil bewaren na afronding van de enquête, moet dit daarom zijn opgenomen in het beschreven doel.
  • Vermelden of gegevens worden blootgesteld aan derde partijen, en de identiteiten van derde partijen: onder deze sectie is informatie over het gebruik van de gegevensverwerker relevant.
  • Informatie vermelden dat de verstrekking van gegevens vrijwillig is: verstrekking van alle gegevens is vrijwillig, en de informatie moet dit duidelijk maken aan betrokennen.
  • Andere relevante informatie vermelden waarmee de betrokkene zijn rechten kan uitoefenen: de betrokkene heeft het recht om informatie te verkrijgen over de over hem opgeslagen gegevens en in sommige gevallen ook toegang voor het corrigeren en verwijderen van persoonsgegevens. Om te waarborgen dat deze rechten kunnen worden uitgeoefend, moet de voor de verwerking verantwoordelijke informatie verstrekken over de mogelijkheden. De voor de verwerking verantwoordelijke moet deze informatie verstrekken met betrekking tot de specifieke omstandigheden in elke enquête/panel/community.
  • Het wordt aanbevolen om in de informatie te vermelden dat gegevens worden verwijderd wanneer aan het doel is voldaan, en dat de voor de gegevens verantwoordelijke indien nodig eventuele onjuiste informatie zal corrigeren.
  • Informatie vermelden over de overdracht van gegevens: de betrokkene moet op de hoogte worden gesteld dat de gegevens worden overgedragen. Questback bewaart geen gegevens buiten de EU/EEA-regio, tenzij dit met de klant is overeengekomen.