De hoofdregel is dat je een goede reden moet hebben om persoonsgegevens te verwerken voor je bedrijf. Of als je daarvoor toestemming hebt gekregen van degene waarvan jij persoonsgegevens gebruikt. Je mag nooit meer persoonsgegevens verzamelen en gebruiken dan echt nodig is. Je moet die doelen waarvoor je de persoonsgegevens gebruikt ook vooraf goed beschrijven en de persoon waarvan je persoonsgegevens gebruikt hierover informeren. Wat ik al zoal veel in de praktijk voorbij heb zien komen is bijv. dat een webshop verplicht stelt dat je bij een bestelling je geboortedatum invult. Dit mag niet wanneer een klant niet verder kan met zijn/haar bestelling zonder deze in te moeten vullen. Er is namelijk geen noodzaak om die gegevens te hebben als webshop. Ook al is je belang als webshop bij gerichte reclame op verjaardagen nog zo groot, je kunt dan nog steeds niet afdwingen dat je klant me zijn/haarverjaardagsdatum vertelt in het kader van een bestelling. Wil je deze wel hebben? Dan moet je toestemming vragen.
Als bedrijf mag je de persoonsgegevens namelijk ook alleen gebruiken als je een van de hierna genoemde juridische basis hebt hiervoor:
- Wanneer degene waarvan jij persoonsgegevens gebruikt daarmee hebben instemt (lees: toestemming heeft gegeven);
- Wanneer er een contractuele verplichting bestaat (aldus een contract tussen jouw bedrijf en een klant);
- Om aan een wettelijke verplichting te voldoen (vastgesteld in EU- of nationale wetgeving).
- Wanneer het gebruik van de persoonsgegevens voor je bedrijf noodzakelijk is voor de vervulling van een taak van algemeen belang(vastgelegd in EU- of nationale wetgeving);
- Om de vitale belangen van een persoon te beschermen;
- Voor de gerechtvaardigde belangen van je bedrijf. Je moet de afweging maken of het gerechtvaardigd belang van je bedrijf voor het gebruiken van de gegevens zwaarder weegt dan de persoon waarvan je persoonsgegevens gebruikt;
Tip: Ga na welke persoonsgegevens jij als bedrijf gebruikt en voor welke doelen. Is het echt noodzakelijk dat je ze gebruikt? Gebruik je ze tevens op grond van een juridische basis (zoals hierboven genoemd)? Ten slotte moet je degene waarvan jij persoonsgegevens gebruikt natuurlijk ook informeren hierover. Dit doe je middels je privacyverklaring maar let op dat je dit wel doet voordat je de persoonsgegevens daadwerkelijk gaat gebruiken. Wil je meer weten of wil je dat ik eens met je meekijk in jouw bedrijf? Stuur me dan gerust eens een bericht via gwenny@ge-mek.nl