Franchiseorganisaties verzamelen veel gegevens van hun klanten. Vaak gebeurt dit zelfs ongemerkt. Indien klanten producten bestellen via een webshop, zich inschrijven voor een nieuwsbrief of aanbiedingen, een klantenkaart aanvragen of een reservering maken, wordt hen steevast om gegevens zoals naam, geslacht, leeftijd en (e-mail)adres gevraagd. Al deze gegevens worden dikwijls uitgewisseld tussen franchisegever en franchisenemer en worden gebruikt voor allerlei doeleinden. Zo kan een klantenbestand worden gecreëerd, kan het assortiment af worden gestemd op de wensen van de consumenten en kunnen gepersonaliseerde aanbiedingen worden gedaan.
Het is van belang dat al deze gegevens op de juiste manier worden verzameld en verwerkt. Zowel franchisegever als franchisenemer dienen zich te houden aan de wet- en regelgeving op het gebied van gegevensbescherming. De belangrijkste voorschriften vindt men terug in de Algemene Verordening Gegevensbescherming (hierna: “AVG”).
De AVG zorgt niet alleen voor versterking en uitbreiding van de rechten van wie gegevens worden verwerkt maar ook voor meer verantwoordelijkheden voor organisaties. Indien een organisatie zich niet aan de voorschriften houdt, kan dat verstrekkende gevolgen hebben. De toezichthouder heeft op grond van de AVG de mogelijkheid om boetes tot wel twintig miljoen euro op te leggen.
Hieronder worden enkele belangrijke aandachtspunten met betrekking tot de verwerking van persoonsgegevens in het licht van de AVG toegelicht.
Het doel van de AVG is om natuurlijke personen te beschermen. Zodra persoonsgegevens van natuurlijke personen worden verzameld, opgeslagen of gebruikt, is de AVG van toepassing. Onder persoonsgegevens wordt alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon begrepen. Deze definitie wordt breed geïnterpreteerd en omvat onder meer de naam, het identificatienummer, woonadres, e-mailadres, IP-adres, telefoonnummer en de geboortedatum.
Gezien de ruime definitie van zowel het begrip verwerken en het begrip persoonsgegevens, is er snel sprake van verwerking van persoonsgegevens in de zin van de AVG. Ook voor de meeste franchisegevers en franchisenemers geldt dat zij persoonsgegevens verwerken. Of zij nu modewinkels, hotels, restaurants, fitnesscentra of supermarkten exploiteren. Iedere franchisegever en franchisenemer zal in ieder geval een database met gegevens van hun klanten hebben.
Franchisegever en franchisenemer kunnen verwerkingsverantwoordelijke, verwerker of medeverantwoordelijk zijn. Dit onderscheid is van belang, omdat de verwerkingsverantwoordelijke op grond van de AVG verantwoordelijk is voor de naleving van de AVG.
De verwerkingsverantwoordelijke is de partij die alleen of samen met anderen het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker is de partij die de persoonsgegevens namens de verwerkingsverantwoordelijke verwerkt. Dit onderscheid lijkt op papier eenvoudig, maar in de praktijk is het niet altijd gemakkelijk vast te stellen wie welke rol inneemt. In werkelijkheid werken franchisegever en franchisenemer immers vaak intensief samen en verwerken zij beiden persoonsgegevens.
Franchisegever en franchisenemer doen er verstandig aan afspraken te maken en vast te leggen over de verwerking van persoonsgegevens. Indien de franchisegever als verwerkingsverantwoordelijke geldt en de franchisenemer als verwerker, dan moeten zij een verwerkersovereenkomst sluiten. Indien zowel franchisegever als franchisenemer samen als verwerkingsverantwoordelijken worden gezien en dus medeverantwoordelijken zijn, moeten zij afspraken maken over hun verantwoordelijkheden voor de naleving van de AVG.
De verwerking van persoonsgegevens is aan een aantal voorschriften gebonden. Hierna worden enkele voorschriften in het kort opgesomd. Ten eerste schrijft de AVG voor dat persoonsgegevens alleen mogen worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is. Persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden op basis van toestemming of indien de verwerking noodzakelijk is. Daarnaast dient de verwerking beperkt te blijven tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. De verwerkingsverantwoordelijke dient er ook voor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Bovendien mogen de persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk is. Ten slotte moeten de personen van wie persoonsgegevens worden verwerkt steeds volledig worden geïnformeerd over de verwerking.
De AVG vereist dat de verwerkingsverantwoordelijke kan aantonen dat de AVG wordt nageleefd. De verwerkingsverantwoordelijke moet met documenten kunnen aantonen dat hij de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Zo zal de verwerkingsverantwoordelijke onder meer een beveiligingsbeleid moeten hebben, een verwerkingsregister moeten aanleggen en een datalekkenprotocol moeten hebben opgesteld. In sommige gevallen is het uitvoeren van een Data Protection Impact assessment (DPIA) verplicht. Daarnaast geldt voor sommige organisaties dat zij een Data Protection Officer (DPO) dienen aan te stellen.
De AVG bevat vele verplichtingen die kunnen gelden voor zowel franchisegever als franchisenemer. Hierboven is slechts een deel kort aangestipt. Franchisegever en franchisenemer doen er verstandig aan de verwerking van persoonsgegevens goed in kaart te brengen en ervoor te zorgen dat zij in lijn met de AVG handelen. Het is daarbij aan te raden de hulp van een privacy deskundige in te schakelen.