Cookiebeleid
Privacybeleid
Dit document wordt gebruikt om een privacybeleid ('privacy policy') op te stellen dat een onderneming in staat moet stellen om in overeenstemming te handelen met de regels uit de 'algemene verordening inzake gegevensbescherming' ('AVG', beter bekend als de 'GDPR').
Een privacybeleid is een document dat bepaalt hoe de gegevens van de personen die gebruik maken van een website worden verzameld en verwerkt.
Dit document bevat de mogelijkheid om een onderdeel toe te voegen over 'cookies'. Cookies zijn kleine bestanden die bij een bezoek aan een website op de apparatuur van een gebruiker worden geplaatst. Ze dienen als identificatiekaart om de site aan te geven wanneer de Gebruiker terugkeert.
Doorgaans vormt het privacybeleid een aanvulling op de algemene voorwaarden (voor gebruik en/of verkoop) van een website of mobiele applicatie.
HOE DIT DOCUMENT TE GEBRUIKEN
1. Persoonsgegevens
Om de gebruiker te informeren over wat er met zijn gegevens gebeurt, moet dit privacybeleid verschillende informatie bevatten.
Eerst en vooral moet worden uitgelegd hoe de persoonsgegevens van gebruikers worden verzameld en verwerkt, voor welke doeleinden de verwerking en verzameling van de gegevens is bedoeld (d.w.z. waarom de gegevens worden verzameld en verwerkt).
Alle gegevens die een gebruiker kunnen identificeren, moeten als persoonsgegevens worden beschouwd. Deze omvatten onder meer de voor- en familienaam, leeftijd, adres, e-mailadres, locatie van de gebruiker, IP-adres, etc..
2. Verantwoordelijke van de persoonsgegevens en functionaris voor gegevensbescherming (DPO)
Het privacybeleid moet de gebruiker ook informeren over de identiteit van de persoon die verantwoordelijk is voor de verwerking van de gegevens. Dit is de persoon die verantwoordelijk is voor het bepalen van de doeleinden en middelen die worden gebruikt om deze gegevens te verwerken.
Indien een functionaris voor gegevensbescherming (beter gekend onder de benaming 'DPO' of 'Data Protection Officer') is aangesteld, moet zijn of haar identiteit rechtstreeks in dit document worden vermeld. De rol van de functionaris voor gegevensbescherming is te zorgen voor de correcte uitvoering van de wettelijke bepalingen betreffende de verzameling en verwerking van persoonsgegevens.
3. Toegankelijkheid, positieve verklaring en leeftijd
Het privacybeleid moet gemakkelijk toegankelijk zijn vanaf elke pagina van de site (bijvoorbeeld onderaan de pagina).
Als een onderneming persoonsgegevens verwerkt, dan moet het privacybeleid door elke gebruiker worden geaccepteerd. Deze aanvaarding moet de vorm aannemen van een positieve verklaring of handeling (en dus geen vooraf aangevinkt vakje) die bovendien voorafgaand, vrij, verhelderend, specifiek en eenduidig moet zijn. De site is verantwoordelijk voor het bewijs van deze aanvaarding.
Er mogen geen persoonsgegevens van minderjarigen jonger dan 16 jaar worden verzameld en verwerkt, tenzij de ouders van die minderjarigen daarvoor toestemming hebben gegeven.
4. Gevoelige gegevens
Indien de onderneming gevoelige gegevens verwerkt (dit zijn gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakbond blijkt, alsook de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens betreffende de gezondheid of gegevens betreffende het seksuele leven of de seksuele geaardheid), persoonsgegevens buiten de Europese Unie doorgeeft zonder dat er voldoende veiligheidswaarborgen zijn of indien de onderneming van plan is om de persoonsgegevens op een volledig 'geautomatiseerde manier' te verwerken, kan mogelijks een bijkomende uitdrukkelijke toestemming vereist zijn. Het volgt dezelfde regels als de toestemming voor persoonsgegevens, maar de toestemming moet bovendien afzonderlijk en nauwkeuriger zijn.
5. Uitzonderingen en beperkingen
In sommige gevallen is toestemming niet nodig, met name als de verwerking van persoonsgegevens noodzakelijk is voor het uitvoeren van een contractuele dienst, voor het voldoen aan een wettelijke plicht, voor het beschermen van levensbelangen van een natuurlijke persoon, voor het beschermen van het algemeen belang of de evenredige bescherming van rechtmatige belangen.
Het bedrijf dat een deel van de verwerking van de persoonsgegevens van zijn gebruikers uitbesteedt aan derden, ook al is het maar een deel van de verwerking ervan, moet dit meedelen in het privacybeleid. De onderneming blijft in ieder geval verantwoordelijk voor deze gegevens.
De verwerking van persoonsgegevens moet beperkt zijn in de tijd. Het bijhouden en de verwerking van persoonsgegevens mag niet verder duren dan nodig om de doeleinden waarvoor de gegevens zijn verzameld, te bereiken.
6. Rechten van de gebruikers
Ten slotte moet de onderneming haar gebruikers informeren over hun rechten met betrekking tot hun persoonlijke gegevens. Deze rechten zijn de volgende:
- het recht van toegang tot zijn gegevens;
- het recht om gegevens te verbeteren;
- het recht op wissen en vergetelheid;
- het recht op beperking van de verwerking;
- het recht op gegevensportabiliteit;
- het recht van verzet en geautomatiseerde individuele besluitvorming;
- het recht om een klacht in te dienen.
7. Cookies
In het geval dat de site gebruik maakt van "cookiebestanden" (zie hoger), moet in het privacybeleid worden aangegeven welke van deze cookies en hoe deze worden gebruikt.
Als de site cookies opslaat, moet het elke gebruiker een duidelijke, begrijpelijke en zichtbare waarschuwing sturen met betrekking tot het gebruik van cookies, via een banner of pop-up die zichtbaar is wanneer de gebruiker voor het eerst inlogt op de site, en moet het volledige informatie over het cookiebeleid opnemen in een speciaal gedeelte van de site, toegankelijk vanaf elke pagina en waarnaar op een zichtbare manier wordt verwezen.
De informatie moet ten minste de volgende elementen bevatten:
- de doeleinden van registratie of toegang voor elk type cookie of doelcategorie van deze cookies;
- de categorieën informatie die worden opgeslagen;
- de bewaartermijnen van de informatie;
- de procedures voor het wissen van de informatie;
- de middelen om zich tegen de verwerking te verzetten;
- alle mededelingen aan derden en de precieze informatie die aan hen wordt verstrekt.
De gebruiker moet de mogelijkheid hebben om vrij te kiezen tussen het aanvaarden van sommige of alle cookies of het weigeren van alle of sommige cookies en de mogelijkheid om de cookie-instellingen op een later tijdstip te wijzigen.
Deze keuze wordt gemaakt door een positieve actie van de gebruiker (bijvoorbeeld door een vakje aan te klikken of aan te vinken) of door enig ander actief gedrag waarvan een verwerkingsverantwoordelijke ongetwijfeld kan concluderen dat het een toestemming betekent. Om dit te doen, moet de waarschuwing voldoende zichtbaar en duidelijk zijn op de startpagina, zodanig dat deze niet kan worden gemist (bv. banner of pop-up), expliciet en duidelijk aangeven dat voortzetting van de navigatie op de site als toestemming kan worden beschouwd en zichtbaar blijft zolang de gebruiker niet doorgaat met navigeren.
Net als bij persoonsgegevens moet de opslag van cookies worden beperkt in de tijd tot de duur die nodig is om het doel waarvoor ze zijn opgeslagen te bereiken. Afhankelijk van het type cookie kan deze duur variëren van enkele minuten tot enkele maanden of jaren.
Gebruikers hebben het recht om hun toestemming in te trekken en de op hun harde schijf opgeslagen cookies te verwijderen.
Er bestaan enkele uitzonderingen op de toestemming voor anonieme cookies die worden gebruikt voor de enige overdracht van informatie, alsook voor cookies die worden gebruikt voor de productie van een dienst die specifiek door de gebruiker wordt aangevraagd. Integendeel, er is geen uitzondering mogelijk voor sociale netwerk tracking cookies en reclamecookies.