Privacybeleid voor een webshop opstellen doe je met Mr. Franklin
Sinds de komst van privacywetgeving zijn er redelijk wat juridische details waarmee een onderneming rekening moet houden bij het uitbaten van een webshop. Onder meer ben je als ondernemer verplicht om een privacybeleid voor jouw webshop op te stellen. De GDPR-experts van Mr. Franklin leggen uit wat een privacybeleid moet inhouden en hoe je een GDPR compliant webshop uitbouwt.
General Data Protection Regulation (Algemene Verordening Gegevensbescherming)
Sinds 2018 is de General Data Protection Regulation oftewel GDPR van kracht binnen de Europese Unie. Het gaat om de Europese wetgeving die de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokken personen hoog in het vaandel draagt. Deze regelgeving is van toepassing op alle ondernemingen, organisaties en overheden waar persoonsgegevens verwerkt worden.
Persoonsgegevens verwerken: wat houdt dat in?
Persoonsgegevens zijn gegevens waarmee een natuurlijke, levende persoon geïdentificeerd kan worden. Denk bijvoorbeeld aan een telefoonnummer, naam, geboortedatum, IP-adres of een combinatie van dergelijke identificerende factoren. De verwerking van die persoonsgegevens wordt door de Algemene Verordening Gegevensbescherming (GDPR) gereguleerd.
Daarnaast wordt de term ‘verwerken’ ook zeer ruim ingevuld door de wetgever. Zo maakt onder meer het louter bijhouden, wijzigen of structureren van persoonsgegevens deel uit van het concept “verwerken”.
De GDPR geldt ook voor websites en webshops die persoonlijke gegevens verwerken. Tegenwoordig verzamelt iedere webshop persoonsgegevens. Een klantenkaart waarbij de klanten gegevens moeten invullen, een contactformulier of andere manieren waarop bijvoorbeeld IP-adressen van de gebruikers verzameld worden - dit alles zorgt ervoor dat de GDPR-normen van toepassing zijn.
Is het opstellen van privacybeleid wettelijk verplicht?
Ja, het opstellen van een privacybeleid is verplicht voor elke webshop. Webshops kunnen namelijk niet functioneren zonder persoonsgegevens te verwerken: zo moeten er onder meer adresgegevens van de klant bijgehouden worden om de bestelling te kunnen verzenden. Iedere webshop valt daardoor onder de toepassing van de GDPR-wetgeving.
Transparantieverplichting
Een van de gevolgen van de toepassing van de GDPR is dat een webshop aan een transparantieverplichting onderworpen is. Dit houdt in dat je als ondernemer aan de bezoekers van jouw webshop op een transparante en begrijpelijke manier moet uitleggen hoe, waarom en welke persoonlijke gegevens je verzamelt. Dat doe je door een privacybeleid op te stellen en online te publiceren.
Sancties door autoriteit persoonsgegevens
Iedere lidstaat van de EU beschikt over een autoriteit persoonsgegevens. In België is dit de Gegevensbeschermingsautoriteit, oftewel de GBA. De GBA is de toezichthouder op de naleving van GDPR-normeisen binnen België en kan verschillende sancties opleggen aan ondernemingen die niet GDPR-proof opereren.
Zo kan het niet opstellen of niet publiceren van een juridisch correct privacybeleid in een redelijk hoge boete resulteren. Laat je privacybeleid dus op zijn minst nakijken door de gespecialiseerde juristen. Voorkomen is beter dan genezen, toch?
Op zoek naar een voorbeeld van privacybeleid voor je webshop? Check dan zeker de tips van Mr. Franklin!
Op grond van de wettelijke plicht om op een transparante manier informatie te verstrekken, moeten bepaalde gegevens meegedeeld worden aan de bezoekers van jouw webshop. Mr. Franklin heeft alvast een checklist opgesteld met de vermeldingen die zeker in het privacybeleid van een webshop moeten worden opgenomen.
Contactgegevens
GDPR vereist onder meer dat de contactgegevens van de entiteit die de persoonsgegevens verzamelt in het privacybeleid staan. Bovendien moeten ook de contactgegevens van de Data Protection Officer van de onderneming die achter de website zit beschikbaar worden gesteld.
Heeft het bedrijf in kwestie meerdere afdelingen? Dan vermeld je best ook welke office verantwoordelijk is voor de verwerking van persoonsgegevens.
2. Rechtsgrond
Daarnaast moet privacyverklaring verplicht de rechtsgrond vermelden waarop de verwerking van persoonlijke gegevens gebaseerd is. Let op: de rechtsgrond moet worden gekozen uit de limitatieve lijst die je in de GDPR-wetgeving kan vinden. Dit wil zeggen dat je als bedrijf dus niet zomaar een rechtsgrond mag verzinnen waarop je de verwerking van persoonsgegevens zal baseren.
3. Doel van de verwerking
Ook het doel van de verzameling en verwerking van de persoonlijke gegevens van de websitebezoekers moet in het privacybeleid worden vermeld.
4. Bewaartermijn van personal data
Daarnaast moet de onderneming de bewaartermijn kenbaar maken. De bewaartermijn van persoonsgegevens is de termijn na verloop van dewelke persoonlijke data gewist worden.
Sommige bedrijven werken met variabele bewaartermijnen. In dat geval moeten de criteria die gebruikt worden om deze termijn te bepalen ook in het privacybeleid worden opgenomen.
5. Bescherming van de verzamelde data
Het privacybeleid van een webshop moet ook vermelden op welke manier(en) de webshop in kwestie de verzamelde persoonsgegevens beschermt. Onder GDPR geldt namelijk de verplichting voor de gegevensverwerkende onderneming om de integriteit van de verzamelde gegevens te waarborgen.
Daarmee bedoelt de wetgever dat de verzamelde data niet zomaar gewijzigd mag worden. Om ongewenste wijzigingen te voorkomen, mogen de persoonsgegevens niet zomaar openbaar worden gemaakt of naar andere entiteiten getransfereerd worden zonder enige verantwoording.
Het bedrijf dat de persoonsgegevens initieel verzamelde, moet ervoor zorgen dat er zich geen datalek voordoet. Hierbij kan het nuttig zijn om de maatregelen die de onderneming neemt of zal nemen om een datalek te vermijden in het privacybeleid van de webshop toe te lichten.
6. Territoriale omvang van de verwerking
General Data Protection Regulation is een Europeesrechtelijk wetgevingsinitiatief. Dit betekent dat er buiten de EU andere privacyregels gelden. Hieruit vloeit een andere wettelijke verplichting voort. De bezoekers van jouw webshop moeten namelijk geïnformeerd worden over de eventuele verwerkingen van hun persoonsgegevens buiten het grondgebied van de Europese Unie. Dit kan bijvoorbeeld gebeuren in het kader van de samenwerking met ondernemingen uit derde landen. In dit geval moet het privacybeleid duidelijk toelichten welke bescherming de persoonsgegevens in kwestie in deze niet-EU-landen genieten.
7. Eventuele geautomatiseerde verwerkingen
Wanneer de webshop gebruikmaakt van geautomatiseerde besluitvorming, dan vermeld je dat best ook in de privacy statement.
Van geautomatiseerde individuele besluitvorming is er sprake als er over de gegevens van een natuurlijke persoon een beslissing wordt genomen door middel van het gebruik van technologische middelen. Een voorbeeld van geautomatiseerde individuele besluitvorming is profilering.
8. Rechten van de personen wiens gegevens verwerkt worden
De GDPR-wetgeving kent een aantal rechten toe aan de natuurlijke personen wiens gegevens verwerkt worden. Onder meer beschikken de betrokkenen over het recht op inzage van de verzamelde persoonsgegevens en het recht om vergeten te worden.
Het recht om vergeten te worden houdt in dat de betrokken personen het recht hebben om bepaalde verouderde of onjuiste en privacygevoelige gegevens te laten verwijderen door de verwerkende organisaties. Dat wil zeggen dat je in dergelijk geval als onderneming verplicht bent om op vraag van de betrokken persoon al zijn of haar gegevens uit de databanken van jouw bedrijf te wissen.
Het is ook aan jou als gegevensverwerkend bedrijf om de bezoekers van jouw webshop over de bovengenoemde rechten in te lichten. De meest voor de hand liggende manier om dit te doen is via de vermelding in het privacybeleid.
Laat je het opstellen van een privacybeleid voor jouw webshop liever over aan experts? Doe een beroep op Mr. Franklin!
Een privacyverklaring opstellen is dus echt geen makkelijke zaak. Daarnaast is het ook erg tijdrovend omwille van de talrijke juridisch-technische details. Bovendien is de kans dat je als ondernemer zonder juridische achtergrond een niet onbelangrijk detail mist, redelijk groot.
Tevens blijft het enorm belangrijk om een goede privacy policy voor jouw webshop te hanteren. Indien jouw online platform niet volgens de vereisten van de privacywetgeving functioneert, riskeer je een boete die kan oplopen tot 4% van de wereldwijde omzet van jouw onderneming.
Mr. Franklin is een advocatenkantoor met een bijzondere expertise in IP, cybersecurity en het GDPR-proof maken van ondernemingen. Reeds meer dan 250 ondernemingen zijn tevreden over onze service.
We zorgen niet alleen voor transparantie in jouw dossier maar ook voor transparantie in onze kosten. Mr. Franklin biedt all-in-one pakketten tegen vaste prijzen om een GDPR- en veiligheidsbeleid op te stellen binnen jouw firma, waarbij ook de webshop GDPR-proof wordt gemaakt. Daarnaast voeren we graag een DPIA-test uit om de pijnpunten van de privacybescherming aan te duiden. Uiteraard stellen we na het onderzoek passende maatregelen voor.
Neem gerust contact met ons op: we stellen met veel plezier een gepersonaliseerde privacy policy voor jouw bedrijf op.
Contacteer ons
Olivier Sustronck
+32 486 27 53 05