Mocht dit nog het geval zijn, dan komen de meeste appontwikkelaars nu helemaal niet meer onderuit aan het opstellen van een privacy policy. Vanaf 3 oktober 2018 moeten alle apps in de App Store namelijk voorzien zijn van een privacy policy, dat heeft Apple in een bericht aan appontwikkelaars bekendgemaakt. Het vereiste geldt voor alle nieuwe apps en updates.
In de App Store Review Guidelines stelt Apple dat alle apps middels een link moeten zijn voorzien van een privacy policy waarin appgebruikers worden geïnformeerd over de categorieën van persoonsgegevens die de app verzamelt, op welke wijze de gegevens worden verzameld en al het gebruik dat van de gegevens wordt gemaakt. Ook moeten de appontwikkelaars garanderen dat derde partijen die toegang hebben tot de gegevens dezelfde bescherming bieden. Ook moet duidelijk zijn hoe lang gegevens worden bewaard en wat de rechten van gebruikers zijn. Tot sloten dienen appgebruikers te worden geïnformeerd over de bewaartermijnen en de wijze waarop gebruikers kunnen verzoeken om verwijdering van hun gegevens.
Let op, daarmee zijn de appontwikkelaars nog niet klaar. De AVG stelt namelijk meer eisen aan de inhoud van een privacy policy. Organisaties moet namelij ieder geval de volgende informatie verstrekken:
– de identiteit en de contactgegevens van de verantwoordelijke;
– de contactgegevens van de functionaris voor gegevensbescherming;
– de doeleinden van en de rechtsgrond voor het gebruik van de gegevens;
– de gerechtvaardigde belangen van de verantwoordelijke, indien de verwerking op het gerechtvaardigd belang is gebaseerd;
– de ontvangers of categorieën van ontvangers van de persoonsgegevens; en
– of de gegevens (zullen) worden doorgegeven aan een land buiten de EU.
Naast bovengenoemde informatie, moet organisaties de volgende aanvullende informatie verstrekken om een behoorlijke en transparante verwerking te waarborgen:
– de bewaartermijn van de gegevens;
– dat betrokken het recht hebben om inzage van en rectificatie of wissing van de gegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid;
– dat de betrokkene het recht heeft om zijn verleende toestemming in te trekken;
– dat de betrokkene het recht heeft een klacht in te dienen bij de toezichthouder;
– of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
– het bestaan van profiling of geautomatiseerde besluitvorming;
– indien de gegevens niet van de betrokkene worden verkregen, de bron waar de persoonsgegevens vandaan komen.
Volgens de AVG moet bovenstaande informatie eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Het moge duidelijk zijn dat de hoeveelheid te verstrekken informatie en de criteria waaraan die informatie moet voldoen behoorlijk verschil ten opzichte van de Wbp. Veel organisaties zullen hun privacy statement dienen aan te passen en dit is niet onbelangrijk. Op het niet hebben van een (volledig) privacy statement staat straks namelijk een maximale boete van 20.000.000 euro of 4% van de wereldwijde omzet (als dat laatste hoger is).