Geert verzamelt zowel rechtstreeks bij zijn respondenten (via het invulformulier) als onrechtstreeks (via Fatima en sociale media) persoonsgegevens.
Rechtstreekse gegevensverzameling
In geval van rechtstreekse gegevensverzameling moet Geert bepaalde informatie toevoegen aan de privacyverklaring die hij aan zijn respondenten bezorgt vooraleer zij het formulier invullen. Deze informatie komt dus bovenop de informatie die moet worden meegedeeld volgens artikel 13 AVG. Meer bepaald moeten de betrokkenen geïnformeerd worden over de volgende twee aspecten:
- het feit of hun gegevens al dan niet worden geanonimiseerd;
- de eventuele redenen volgens dewelke de uitoefening van de rechten van de betrokkenen de verwezenlijking van de onderzoeksdoeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, m.a.w. waarom de rechten die betrokkenen onder de AVG genieten de doeleinden van het onderzoek negatief kunnen beïnvloeden (zoals het onderzoek onmogelijk maken, of ernstig belemmeren).
Onrechtstreekse gegevensverzameling
In geval van onrechtstreekse gegevensverzameling moet Geert in principe een overeenkomst sluiten met de oorspronkelijke verwerkingsverantwoordelijke(n). Indien de gegevens echter publiek werden gemaakt, dient Geert enkel een kennisgeving te richten aan die oorspronkelijke verwerkings-verantwoordelijke(n). In dit geval moet Geert dus een overeenkomst sluiten met de organisatie van Fatima en een kennisgeving richten aan de betrokken sociale media-platformen.
Deze overeenkomst of kennisgeving moet minstens de volgende elementen bevatten:
- in geval van een overeenkomst, de contactgegevens van de verantwoordelijke voor de oorspronkelijke verwerking (nl. Fatima/haar instelling) en van de verantwoordelijke voor de verdere verwerking (nl. Geert/zijn onderzoekscentrum);
- Indien van toepassing, de redenen volgens dewelke de uitoefening van de rechten van de betrokkene de verwezenlijking van de onderzoeksdoeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren.
Indien een partij als verwerkingsverantwoordelijke en de andere als verwerker zou optreden (bv. in de hypothese dat Geert onderzoek zou verrichten op instructie van Fatima), dient er een verwerkersovereenkomst te worden gesloten conform artikel 28 AVG. Wil je meer weten over de rol van verwerkingsverantwoordelijke en verwerker? Bekijk dan even deze eerder uitgebrachte fiche.
Belangrijk is dus dat Geert (zijn onderzoekscentrum), voorafgaand aan de verzameling van de gegevens, volgende zaken overweegt:
- in welke mate de (mogelijke) uitoefening door betrokkenen van hun rechten onder de AVG, de verwezenlijking van zijn specifieke wetenschappelijke of statistische onderzoeksdoeleinden onmogelijk dreigt te maken of ernstig dreigt te belemmeren; en
- in welke mate het beperkt of niet (hoeven) antwoorden op dergelijke verzoeken noodzakelijk is om de doeleinden te bereiken.
De uitkomst van deze afweging moet worden toegevoegd aan de bovenvermelde privacyverklaring, overeenkomst en kennisgeving. Daarenboven moet er ook gerelateerde bijkomende informatie worden toegevoegd aan het register van verwerkingsactiviteiten van Geert’s onderzoeksinstelling. Deze bijkomende elementen zijn:
- de verantwoording van het gebruik van al dan niet gepseudonimiseerde gegevens;
- de redenen waarom de uitoefening door betrokkenen van hun rechten de verwezenlijking van de onderzoeksdoeleinden onmogelijk dreigt te maken of ernstig dreigt te belemmeren;
- desgevallend, de Data Protection Impact Assessment (DPIA) indien de verwerkingsverantwoordelijke gevoelige gegevens voor wetenschappelijke of statistische doeleinden verwerkt.
Wat moet je echter doen als jouw organisatie reeds relevante gegevens bezit? Bepaal dan eerst of dergelijke ‘gerecycleerde’ persoonsgegevens wel degelijk verder zullen worden verwerkt (dus na of los van de initiële verwerking) voor een wetenschappelijk of statistisch onderzoeksdoeleinde. Zo ja, informeer dan de betrokkenen over die verdere verwerking vooraleer je effectief overgaat tot de verwerking (tenzij er sprake is van een van de uitzonderingsgevallen (zie art. 14.5 (b) AVG).