Mogen persoonsgegevens verstrekt worden aan of gedeeld worden met derden? Er kunnen veel redenen zijn waarom je dat zou willen. Bijvoorbeeld omdat een trainer vooraf wil weten wie er deelneemt of omdat sponseren van een evenement de bezoekers graag persoonlijk wil kunnen benaderen. Doorgifte mag, mits er aan een aantal voorwaarden is voldaan.
Grondslag
Allereerst is, net zoals voor het verzamelen van gegevens en andere verwerkingen, een grondslag uit de AVG nodig. Alleen op basis van een van die zes grondslagen, mogen persoonsgegevens worden doorgegeven.
Het delen en verstrekken van gegevens is namelijk ook een vorm van verwerken.
Doel
Net zoals bij alle andere verwerkingen van persoonsgegevens, moet bij de doorgifte van persoonsgegevens ook sprake zijn van een gerechtvaardigd doel.
Belangrijk is vooral dat de doorgifte verenigbaar is met het doel waarvoor de persoonsgegevens zijn verkregen. Of misschien was vooraf het doel ook wel om die persoonsgegevens door te geven aan een derde.
Elk doel mag je zelf formuleren, zolang het doel maar gerechtvaardigd is en gegevens niet voor een ander doeleinde worden verwerkt.
Informeren
De betrokkene, ofwel de persoon op wie de persoonsgegevens betrekking hebben, moet natuurlijk wel geïnformeerd worden over deze doorgifte. Informeren doen we meestal via een privacyverklaring of privacy statement.
De partij die de gegevens ontvangt, moet de betrokkene informeren. Onder meer waar de gegevens vandaan komen, ook als dat uit openbare bron komt. Verder moet daar gewoon alle overige informatie in staan die in een privacyverklaring thuishoort. Dit moet binnen een maand na ontvangst van de gegevens, of bij het eerste contact als dat eerder is, aan de betrokkene gemeld worden.
Ook de partij die de gegevens doorgeeft moet dit aan de betrokkene melden, in elk geval op het moment dat de gegevens worden doorgegeven. Dan moet dus ook duidelijk zijn aan wie gegevens worden doorgegeven.
Onderlinge afspraken
Elke partij die persoonsgegevens verwerkt, of ze de gegevens nu doorgeven aan een derde of juist van een derde ontvangen, moet dit op een rechtmatige manier doen. Er moet dus een grondslag zijn, een gerechtvaardigd doel en de betrokkene moet daarover geïnformeerd worden.
Als via de doorgevende partij al voldoende duidelijk is gecommuniceerd aan welke andere partij de gegevens verstrekt worden, hoeft de ontvangende partij dit niet meer te communiceren naar de betrokkene.
Het kan daarom verstandig zijn om onderling duidelijke afspraken te maken over wie welke informatie aan de betrokkene geeft en op welk moment dat gedaan wordt. Op die manier kunnen er geen misverstanden ontstaan over de verstrekte informatie. Ontbreekt de informatie, dan kan dat leiden tot (hoge) boetes en daar heeft niemand zin in.
Als je dus niet zelf actief wil communiceren waar je de gegevens verkregen hebt, omdat je dan meer moet doen dan alleen je algemene privacyverklaring verstrekken, is het dus verstandig hierover goede afspraken te maken en aansprakelijkheid te verleggen.