Franchisenemers verwerken vaak persoonsgegevens van klanten. Deze persoonsgegevens zijn ook voor de franchisegever interessant. Een franchisegever zal persoonsgegevens bijvoorbeeld willen gebruiken voor marketing campagnes of het aanbieden van een loyalty programma. Ik krijg in mijn praktijk franchisegevers die vragen: wat mag ik doen met de persoonsgegevens die de franchisenemer verzamelt? Bepalend voor wat de franchisegever mag doen, zijn de afspraken met de franchisenemers.
De Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) bevatten regels ten aanzien van de verwerking van persoonsgegevens. De meeste verplichtingen rusten op de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke bepaalt de doeleinden van de gegevensverwerking. Derden die namens en in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerken zijn de verwerkers.
De rolverdeling kan bij iedere franchiseformule anders zijn. In de meeste gevallen zijn de franchisegever en de franchisenemer allebei verwerkingsverantwoordelijke. Om te bepalen welke afspraken u moet maken, moet u toetsen of sprake is van zelfstandige of gezamenlijke verwerkingsverantwoordelijkheid.
Zelfstandige verwerkingsverantwoordelijken kunnen los van elkaar bepalen hoe en waarom zij persoonsgegevens verwerken. Denk aan een franchisenemer die zelf bepaalt welke systemen hij gebruikt en hoe hij daarin persoonsgegevens verwerkt. Een franchisegever kan een overkoepelend loyalty programma aanbieden en hiervoor zelfstandig verwerkingsverantwoordelijke zijn.
Gezamenlijke verwerkingsverantwoordelijken stellen samen het doel en de middelen van de gegevensverwerking vast. Het is niet noodzakelijk dat franchisegever en franchisenemer hierin een gelijk aandeel hebben. Gezamenlijkheid wordt door het Hof van Justitie van de Europese Unie (HVJEU, zie C 25/17 en C 210/16) ook aangenomen als een partij de verwerkingen van de andere partij organiseert, coördineert, aanmoedigt of door middel van instellingen mogelijk maakt.
Het is ook mogelijk dat de franchisenemer of de franchisegever (deels) als verwerker is aan te merken. Denk aan de franchisenemer die namens franchisegever persoonsgegevens verwerkt voor het loyaltyprogramma. Of denk aan een franchisegever die een systeem aanbiedt en beheert waarin de franchisenemers persoonsgegevens verwerken.
Tot slot komt het in de praktijk voor dat partijen verschillende rollen hebben. Er zijn dan verschillende verwerkingen die van elkaar te onderscheiden zijn.
Welke rol partijen hebben is essentieel voor het maken van de juiste afspraken over de verwerking van persoonsgegevens. Gezamenlijke verwerkingsverantwoordelijken zijn op grond van de AVG verplicht om afspraken te maken ten aanzien van (in elk geval) het informeren van betrokkenen en het afhandelen van verzoeken van betrokkenen. Wanneer partijen ieder als zelfstandig verwerkingsverantwoordelijke zijn aan te merken, verplicht de AVG geen regeling. In de praktijk zal dit wel nodig zijn om de verplichtingen uit de AVG te kunnen nakomen. Wanneer er (deels) sprake is van een verwerkersrelatie, is een verwerkersovereenkomst verplicht.
Franchisegevers moeten de volgende onderwerpen ten aanzien van het verwerken van persoonsgegevens in ieder geval vastleggen:
De rolverdeling van partijen. Is sprake van zelfstandige of gezamenlijke verwerkingsverantwoordelijkheid of is er een (gedeeltelijke) verwerkersrelatie?
Uitwisseling van persoonsgegevens. Leg vast welke persoonsgegevens worden uitgewisseld, waarom, wanneer en in welk format. Spreek af dat de franchisenemer ervoor in staat de persoonsgegevens juist zijn en rechtmatig zijn verkregen.
Informatie richting betrokkenen. De verwerkingsverantwoordelijke moet de klanten (de betrokkenen) informeren over de gegevensverwerking. Maak afspraken over wie de informatie opstelt en wie de informatie verstrekt aan de betrokkenen en op welke wijze dit gebeurt.
Toestemming. Voor sommige gegevensverwerkingen moet u toestemming vragen. Vaak heeft de franchisenemer direct contact met de betrokkene. Spreek dan af dat de franchisenemer namens de franchisegever toestemming vraagt. Leg vast op welke wijze de franchisenemer toestemming vraagt, vastlegt en daarin inzage geeft. Zo kunt u achteraf aantonen dat toestemming rechtmatig was.
Datalekken. Een datalek bij een franchisenemer kan (reputatie) schade toebrengen aan de franchisegever en aan de andere franchisenemers. Zorg ervoor dat u afspraken maakt over hoe en wanneer de franchisenemer de franchisegever informeert over een (vermoeden van) een datalek en welke informatie hij moet verstrekken.
Verzoeken van betrokkenen. Spreek af waar een betrokkene terecht kan wanneer hij zijn rechten uitoefent. Denk daarbij onder andere aan het recht op inzage, het recht op rectificatie of het recht op gegevenswissing. Dit kan centraal worden geregeld bij de franchisegever, maar ook op het niveau van de franchisenemer.
Aansprakelijkheid en vrijwaringen. Wat gebeurt er als het misgaat? Een datalek bij één franchisenemer kan leiden tot boetes en reputatieschade aan de franchiseformule. Dit kan ook andere franchisenemers schaden, die hiervoor de franchisegever aanspreken. Spreek met franchisenemers af dat zij zich adequaat verzekeren tegen schade uit beveiligingsincidenten. Zorg ervoor dat u franchisenemers aansprakelijk kunt stellen voor de schade die u lijdt. Spreek af dat franchisenemers u vrijwaren voor aanspraken van derden ten aanzien van de gegevensverwerking.
Meer artikelen van SOLV Advocaten