In de Europese DAC-richtlijn [1] waar ik gisteren over schreef, staat een artikel over gegevensbescherming, nl. artikel 25 [2]. Daarin staat dat de AVG moet worden toegepast.

Renseigneringsopgave
In lid 4 is  opgenomen dat bedrijven die aan de overheid moeten rapporteren ten behoeve van de belastingheffing (renseignering) moeten melden aan betrokkenen dat zij gegevens aan de overheid verstrekken:

4. Niettegenstaande lid 1 ziet elke lidstaat erop toe dat elke onder zijn jurisdictie vallende rapporterende financiële instelling, intermediair of rapporterende platformexploitant, naargelang het geval:

a) elke betrokken natuurlijke persoon in kennis stelt van het feit dat de hem betreffende inlichtingen overeenkomstig deze richtlijn zullen worden verzameld en doorgegeven, en

b) elke betrokken natuurlijke persoon tijdig alle inlichtingen verstrekt waarop hij van de verwerkingsverantwoordelijke recht heeft, zodat die natuurlijke persoon zijn rechten inzake gegevensbescherming kan uitoefenen en, in elk geval, voordat de inlichtingen worden gerapporteerd.

Niettegenstaande de eerste alinea, punt b), stelt elke lidstaat regelgeving vast om de rapporterende platformexploitanten ertoe te verplichten de te rapporteren verkopers in kennis te stellen van de gerapporteerde tegenprestatie.

De vraag is of dit betekent dat de bedrijven die moeten rapporteren aan de overheid ook een mededeling met de details van de verstrekte gegevens aan de betrokkene moeten verstrekken (zoals een werkgever de werknemer een loonstrook verstrekt).

Ik heb niet gehoord dat dit gebeurt, terwijl me dat wel logisch lijkt.

Bewaarplicht en datalekken
Leden 5 en 6 gaan over de bewaarplicht en datalekken. In lid 7 is opgenomen dat uitvoeringsafspraken worden gemaakt.

Noten:

[1] Overzichtspagina geconsolideerde versie van 1 januari 2024 op EUR-Lex. De Nederlandse html-versie is hier te vinden.
[2] Uit de geconsolideerde versie van 1 januari 2024.