verwerken van persoonsgegevens in samenhang met de AVG
De AVG heeft betrekking op de bescherming van persoonsgegevens en de privacy van individuen binnen de Europese Unie (EU). Deze verordening geldt vanzelfsprekend ook voor (vrijwel) alle ondernemingen en organisaties in de productie- en industriesector.
In de context van de productie en industrie zijn er verschillende aspecten van de AVG waarmee rekening moet worden gehouden:
Verzamelen en verwerking van persoonsgegevens:
Ondernemingen in de productie en industriesector mogen persoonsgegevens verzamelen en verwerken, bijvoorbeeld van werknemers, klanten, leveranciers en andere belanghebbenden. De verantwoordelijken van deze ondernemingen moeten ervoor zorgen dat ze wettelijke grondslagen hebben om persoonsgegevens te verzamelen en dat de verwerking in overeenstemming (compliant) is met de AVG.
De privacywetgeving is ook van toepassing in een B2B-context. De gedachte dat de AVG alleen zou gelden in B2C-situaties in brede zin (dus bij verwerking van consumentengegevens, personeelsgegevens, patiëntengegevens, etc.) is dus niet juist!
Beveiliging van persoonsgegevens:
Verantwoordelijken van deze ondernemingen moeten passende technische en organisatorische maatregelen nemen om de persoonsgegevens die ze verwerken te beveiligen tegen ongeoorloofde toegang, datalekken en andere beveiligingsincidenten.
Privacyrechten van betrokkenen:
Individuen (de betrokkenen) hebben onder de AVG verschillende rechten met betrekking tot hun persoonsgegevens, zoals het recht op inzage, correctie, verwijdering en gegevensoverdraagbaarheid. Ondernemingen moeten procedures hebben om aan deze verzoeken te voldoen.
Functionaris voor gegevensbescherming (FG):
In sommige gevallen moeten ondernemingen een Functionaris voor Gegevensbescherming aanstellen, vooral als ze op grote schaal persoonsgegevens of bijzondere persoonsgegevens verwerken. De FG geeft advies over en houdt toezicht op de naleving van de AVG, maar het is de verwerkingsverantwoordelijke of de verwerker die verantwoordelijk is voor de naleving van verplichtingen op grond van de AVG.
Data Protection Impact Assessments (DPIA):
Bij bepaalde gegevensverwerkingen moeten verantwoordelijken van ondernemingen een DPIA uitvoeren om de privacyrisico’s te beoordelen en te minimaliseren.
De DPIA moet uitgevoerd zijn, voordat met het verwerken begonnen wordt.
Melding van datalekken:
Ondernemingen zijn verplicht om datalekken binnen 72 uur te melden aan de toezichthoudende autoriteit en in sommige gevallen ook aan de betrokkenen.
Internationale gegevensoverdracht:
Als gegevens buiten de EU worden overgedragen, moeten ondernemingen ervoor zorgen dat er passende waarborgen zijn om de bescherming van persoonsgegevens te waarborgen.
Toestemming:
Als een onderneming toestemming gebruikt als de wettelijke basis voor gegevensverwerking, moet deze toestemming vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn.
Samengevat
Ondernemingen in de productie en industrie mogen persoonsgegevens verzamelen en verwerken. De verantwoordelijken van deze ondernemingen moeten ervoor zorgen dat ze wettelijke grondslagen hebben om persoonsgegevens te verzamelen en dat de verwerking in overeenstemming (compliant) is met de AVG.
Het is van cruciaal belang dat ondernemingen in de productie- en industriesector voldoen aan de eisen van de AVG om de privacy van persoonsgegevens te waarborgen en wettelijke sancties te voorkomen. Het niet naleven van de AVG kan leiden tot aanzienlijke boetes.
Het is raadzaam om advies in te winnen en gegevensbeschermingsmaatregelen te implementeren om aan de vereisten van de AVG te voldoen. Hierbij kan de steun van een FG of auditor gegevensbescherming bijzonder waardevol zijn.
De positie van de functionaris voor gegevensbescherming
De FG geeft advies over en houdt toezicht op de naleving van de AVG, maar het is de verwerkingsverantwoordelijke of de verwerker die verantwoordelijk is voor de naleving van verplichtingen op grond van de AVG.