Voldoen aan wetgeving inzake gegevensbescherming
Sommige landen of regio’s, waaronder de EU, het Verenigd Koninkrijk, Brazilië en bepaalde Amerikaanse staten, hebben wetten die informatie over personen beschermen en verplichtingen opleggen aan mensen en organisaties die ‘persoonsgegevens’ of ‘persoonlijke informatie’ verzamelen en gebruiken. Zo hebben de EU en het VK de Algemene verordening gegevensbescherming (AVG), die de ‘persoonsgegevens’ beschermt van mensen die in die regio’s wonen.
Wanneer je met onze diensten een website of app (‘Site’) bouwt, moet je mogelijk voldoen aan de AVG en andere vergelijkbare wet- en regelgeving inzake gegevensbescherming. Je moet bijvoorbeeld mogelijk aan de AVG voldoen als:
Je bent gevestigd in het VK of de EU.
Je Site gebruikers in het VK of de EU zal hebben.
Dit artikel is bedoeld om je te helpen voldoen aan je verplichtingen op grond van wetgeving inzake gegevensbescherming. Let er wel op dat dit geen juridisch advies is en uitsluitend ter informatie wordt verstrekt. We raden je aan zelf juridisch advies in te winnen om inzicht te krijgen in je verplichtingen op grond van wetten die mogelijk op jou van toepassing zijn, afhankelijk van waar jij en de bezoekers van je Sites zich bevinden.
Je rol onder wetgeving inzake gegevensbescherming
Als je Site persoonsgegevens van bezoekers verzamelt of anderszins verwerkt, ben jij verantwoordelijk voor het bepalen waarom en hoe die informatie wordt gebruikt en voor naleving van de toepasselijke privacy- en gegevensbeschermingswetgeving. Volgens de Voorwaarden voor ChatGPT Sites ben jij de gegevensverantwoordelijke voor Eindgebruikersgegevens die via je Site worden verzameld. Persoonsgegevens kunnen onder meer namen, e-mailadressen, profielinformatie, berichten of reacties, foto’s en online- of apparaat-ID’s omvatten. ChatGPT Sites mag geen beschermde gezondheidsinformatie of betaalkaartgegevens verwerken.
Wetgeving inzake gegevensbescherming legt verschillende verplichtingen op aan gegevensverantwoordelijken. Hieronder geven we een overzicht van deze verplichtingen.
Onze rol onder wetgeving inzake gegevensbescherming
Meestal is OpenAI, wanneer je de diensten van OpenAI als gebruiker gebruikt, de gegevensverantwoordelijke en daarmee verantwoordelijk voor naleving van de wetgeving inzake gegevensbescherming met betrekking tot je persoonsgegevens, in overeenstemming met ons privacybeleid.
Door Sites te gebruiken, geef je OpenAI opdracht om Eindgebruikersgegevens te verwerken voor zover dat nodig is om je Site aan te bieden en te beheren. Waar van toepassing verwerkt OpenAI die gegevens op grond van het addendum gegevensverwerking van OpenAI of het addendum gegevensverwerking dat door je organisatie en OpenAI is ondertekend. Controleer de overeenkomst en de DPA die op je account van toepassing zijn.
Een overzicht van verplichtingen
Wetgeving inzake gegevensbescherming, zoals de AVG, legt verplichtingen op aan partijen die persoonsgegevens verwerken (verwerkingsverantwoordelijken en verwerkers) en kent ook rechten toe aan personen van wie persoonsgegevens worden verwerkt. Hieronder geven we een overzicht van de belangrijkste aandachtspunten bij het beheren van je Site, om je te helpen aan de regels te voldoen. Dit is echter geen uitgebreide handleiding voor de AVG of andere relevante wetgeving inzake gegevensbescherming.
Informatie verstrekken: Je moet een zichtbaar privacybeleid op je Site hebben waarin wordt uitgelegd welke gegevens je verzamelt, hoe je ze gebruikt en hoe mensen er controle over kunnen uitoefenen. Zie Een privacybeleid opstellen voor uitgebreidere richtlijnen. Zorg er ook voor dat je persoonsgegevens van mensen alleen gebruikt op een manier die zij zouden verwachten. Als je denkt dat zij misschien niet verwachten dat je hun persoonsgegevens op een bepaalde manier gebruikt, overweeg dan een extra kennisgeving op de Site toe te voegen op een plek waar mensen die eerder zullen zien.
Mensen keuzes geven: Je moet mensen zoveel mogelijk keuze geven over welke persoonsgegevens op de Site worden verzameld en hoe die worden gebruikt. In sommige gevallen moet je om opt-in-toestemming vragen, bijvoorbeeld door de persoon een vakje te laten aanvinken of een schakelaar te laten omzetten. Deze lijst is niet uitputtend; er zijn ook andere situaties waarin je om toestemming moet vragen. Als je Site gebruikers toestaat informatie openbaar te plaatsen, moet dit voor gebruikers heel duidelijk zijn op het moment dat zij iets plaatsen. We raden je bijvoorbeeld aan mensen specifiek om opt-in te vragen als je het volgende wilt doen:
Hun marketing per e-mail sturen
ChatGPT Sites mag geen beschermde gezondheidsinformatie of betaalkaartgegevens verwerken. Als je Site andere gevoelige persoonsgegevens verwerkt, zorg er dan voor dat de verwerking binnen de redelijke verwachtingen van de bezoeker valt en verkrijg uitdrukkelijke opt-in-toestemming wanneer de toepasselijke wet dit vereist.
Cookies op je Site plaatsen, tenzij de cookies strikt noodzakelijk zijn om de Site te laten functioneren (zie hieronder).
Gegevensminimalisatie: Je moet alleen de persoonsgegevens verzamelen die nodig zijn om de Site te laten werken. Als je iemands adres, geslacht of geboortedatum niet nodig hebt, moet je er niet om vragen. Ook moet je persoonsgegevens niet langer bewaren dan nodig is. Bedenk hoelang je de gegevens moet bewaren om je Site te beheren en verwijder ze daarna.
Gegevensbeveiliging en inbreuken in verband met persoonsgegevens: Gebruik passende beveiligingsmaatregelen voor je Site en voor elk ander systeem waarin je informatie opslaat die via de Site is verzameld. De verplichtingen van OpenAI voor melding van inbreuken worden geregeld door de overeenkomst en het addendum gegevensverwerking die op je account van toepassing zijn. Jij bent verantwoordelijk voor het bepalen of je betrokken personen, toezichthouders of andere autoriteiten moet informeren.
Rechten van betrokkenen: Privacywetgeving kan personen het recht geven om hun persoonsgegevens in te zien, te corrigeren, te verwijderen, de verwerking ervan te beperken, bezwaar te maken tegen de verwerking of een kopie ervan te ontvangen. Bied Site-bezoekers een duidelijke manier om verzoeken in te dienen en reageer binnen de termijnen die worden vereist door de wetten die op jou van toepassing zijn.
Gegevensdoorgiften: Privacywetgeving kan doorgiften van persoonsgegevens tussen landen of regio’s beperken. Controleer de informatie over hosting en residentie voor Sites en de overeenkomst en het addendum gegevensverwerking die op je account van toepassing zijn. ChatGPT Sites ondersteunt bij de lancering geen gegevensresidentie of inferentieresidentie. Ga niet uit van een bepaald hostingland of overdrachtsmechanisme zonder de voorwaarden te controleren die op jou van toepassing zijn.
Cookies en vergelijkbare trackingtechnologieën: Als je Site niet-essentiële cookies of vergelijkbare trackingtechnologieën gebruikt, moet je mogelijk toestemming verkrijgen voordat je ze plaatst of uitleest. Vereisten verschillen per locatie, dus controleer de regels die op jou en je bezoekers van toepassing zijn.
Gegevens van kinderen: Als je Site is gericht op kinderen jonger dan 18 jaar, moet je extra zorgvuldig omgaan met risico’s op het gebied van gegevensbescherming of privacy, omdat kinderen volgens de wet bijzondere bescherming genieten. Een aantal gegevensbeschermingsautoriteiten en andere toezichthouders heeft aanvullende richtlijnen gepubliceerd om online diensten te helpen die op kinderen zijn gericht; we raden je aan die te bekijken. Let op: volgens de Voorwaarden voor ChatGPT Sites mag je geen Site maken die is gericht op of ontworpen voor kinderen jonger dan 13 jaar of jonger dan de toepasselijke leeftijd voor digitale toestemming.
