Binnen de GDPR zijn er twee actoren die een belangrijke rol spelen, de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerker is iedere natuurlijke of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Uw onderneming zal in het merendeel van de gevallen beiden zijn, tenzij u voor anderen gegevens zou verwerken of u uw gegevensverwerking uitbesteed aan derden. Doorheen dit artikel wordt gepoogd duidelijkheid te scheppen omtrent de belangrijkste punten van de GDPR en wat de gevolgen van deze punten kunnen zijn voor uw onderneming. Er wordt voornamelijk uitgegaan van de situatie van de verwerkingsverantwoordelijke.
De GDPR?
De GDPR is een Europese Verordening die tot doel heeft om de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens te verbeteren. Er bestond natuurlijk al wetgeving over de bescherming van persoonsgegevens van natuurlijke personen, maar door de snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. Daarbij kan bijvoorbeeld gedacht worden aan het werken in de cloud, social media, … Technologieën die bij de totstandkoming van de vroegere wetgeving zelfs nog niet bestonden. Zo is het internet de laatste decennia quasi overal in Europa ingeburgerd, iets wat in 1993 nog niet van zelfsprekend was.
Omwille van het internet zijn datastromen over de hele wereld mogelijk en kunnen bepaalde delen van de bedrijfsvoering over de hele wereld uitgegeven worden. De GDPR zorgt voor inwoners en bedrijven binnen de Europese Unie voor een uniforme regelgeving die er voor zou moet zorgen dat de EU-burger een adequate bescherming kan genieten van zijn persoonsgegevens.
Er mag dan wel sprake zijn van een nieuw wetgevend instrument maar de oude wetgeving en haar principes worden niet overboord gegooid. Sterker nog, oude principes worden zelfs herhaald in de nieuwe wetgeving. Deze bestaande principes worden aangevuld met nieuwe principes en rechten voor diegene wiens gegevens worden verwerkt.
Verwerking van persoonsgegevens
Die nieuwe wetgeving, waar is die concreet op van toepassing? De GDPR is van toepassing op de verwerking van persoonsgegevens. Dit hoeft niet noodzakelijk plaats te vinden in een digitale omgeving. Ook de offline verwerking van persoonsgegevens zou onder het toepassingsgebied kunnen vallen. Er zijn dus twee elementen van belang vooraleer men kan stellen of de GDPR van toepassing, nl. verwerking en persoonsgegevens.
Persoonsgegevens
Het eerste element dat uit de omschrijving van het toepassingsgebied gehaald kan worden is dat het dient te gaan om persoonsgegevens. Onder de noemer persoonsgegevens valt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Wanneer de gegevens kunnen teruggebracht worden tot een bepaalde persoon zijn de gegevens van die aard dat ze de persoon identificeren. Het is daarbij niet noodzakelijk of de persoon al geïdentificeerd is, wanneer de gegevens iemand in staat kunnen stellen om een bepaalde persoon te identificeren, vallen deze gegevens ook onder het toepassingsgebied van de verordening want met die gegevens is de natuurlijke persoon immers identificeerbaar. Het is van geen enkel belang of de gegevens er voor zorgen dat de persoon direct (bijv. de naam) of indirect (bijv. het telefoonnummer) identificeerbaar is. Voorbeelden van persoonsgegevens zijn onder andere: de naam, het e-mailadres, het rijksregisternummer, het adres, …
Wat eveneens meteen opvalt is dat gegevens die betrekking hebben op bedrijven, voor zover zij een rechtspersoon zijn, buiten het toepassingsgebied zullen vallen aangezien de verordening enkel van toepassing is op persoons gegevens van natuurlijke personen. Dat betekent echter niet dat gegevens met betrekking tot natuurlijke personen binnen het bedrijf wél binnen het toepassingsgebied kunnen vallen. Dit kan best verduidelijkt worden met een voorbeeld. Het algemeen e-mailadres van een bedrijf, info@hetbedrijf.be, zal niet onder het toepassingsgebied van de verordening vallen omdat er enkel de rechtspersoon me geassocieerd kan worden. Het e-mailadres van een medewerker van datzelfde bedrijf, jan.pieters@hetbedrijf.be, valt daarentegen wel onder de categorie van persoonsgegevens omdat dit e-mailadres enkel toebehoort aan Jan Pieters.
Verwerking
Als tweede element dient er sprake te zijn van een verwerking van die persoonsgegevens. Er zijn talrijke verwerkingsactiviteiten mogelijk. Een verwerking vindt al snel plaats. Zelfs het louter opslaan van de gegevens vormt een verwerking in de zin van de verordening.
Rechtmatige grondslag
Een belangrijke verplichting die op de verwerkingsverantwoordelijke rust is de verplichting voor het hebben van een rechtmatige rechtsgrond voor de verwerkingsactiviteit.
Er zijn vier rechtsgronden mogelijk waarop de verwerkingsactiviteit gebaseerd zou kunnen worden:
- Toestemming van de betrokkene
- Overeenkomst met de betrokkene
- Wettelijke verplichting van de verwerkingsverantwoordelijke
- Gerechtvaardigd belang van de verantwoordelijke
Er zijn gevallen waarin u verplicht dient te beschikken over de toestemming van de betrokkene (welke ook weer aan haar eigen voorwaarden is onderworpen), daar waar er soms andere situaties zijn waar zulk een toestemming niet steeds vereist is.
Wanneer persoonsgegevens verwerkt worden op basis van grond twee of drie mogen enkel de persoonsgegevens die strikt noodzakelijk zijn worden verwerkt. Sommige persoonsgegevens zijn eenmaal noodzakelijk voor de uitvoering van de overeenkomst, bijv. de naam voor het opstellen van een latere factuur of een adres om de goederen te leveren.
De rechtsgrond van het gerechtvaardigd belang houdt een balansoefening in waarin de belangen van de verwerkingsverantwoordelijke afgewogen dienen te worden tegen de belangen van de betrokkene wiens persoonsgegevens worden verwerkt.
Opgelet, voor eenzelfde transactie kunnen diverse rechtsgronden nodig zijn om een verwerking van persoonsgegevens op te baseren. Zo bijvoorbeeld bij de aankoop van een smartphone. Wanneer u bij die aankoop vraagt naar de naam of het adres van uw klant om te leveren of een factuur op te stelen, kan u uw verwerking baseren op de noodzakelijkheid voor de uitvoering van de overeenkomst. Wanneer u daarbij ook nog voor marketingdoeleinden vraagt naar de gezinssamenstelling of de hobby’s van uw klant, heeft u de toestemming van de betrokkene nodig.
Informatieverplichting
De persoon over wie gegevens worden verwerkt, moet op een begrijpelijke en gemakkelijk toegankelijke wijze worden geïnformeerd. Om die reden bepaalt de GDPR een hele reeks gegevens die kenbaar gemaakt dienen te worden aan de betrokkene. Welke informatie medegedeeld dient te worden aan de betrokkene is afhankelijk van de situatie waarin de persoonsgegevens rechtstreeks van de betrokkene worden verkregen of van een derde.
Aan deze informatieverplichting kan het efficiëntst voldaan worden door het opstellen van een privacyverklaring waarin alle informatie wordt opgenomen. In deze privacyverklaring zal onder andere informatie opgenomen dienen te worden met betrekking tot de rechten die de betrokkene heeft.
Nieuwe rechten voor de betrokkene
Naast de reeds bestaande rechten van de betrokkenen zoals het recht op inzage, rectificatie, gegevenswissing, bezwaar en verzet tegen geautomatiseerde besluitvorming introduceert de GDPR het recht op beperking van de verwerking en het recht op overdraagbaarheid van de persoonsgegevens.
Recht op beperking van verwerking van de persoonsgegevens
Het recht op beperking van verwerking houdt in dat de verwerkingsverantwoordelijke de persoonsgegevens enkel mag opslaan en verder niet meer mag gebruiken tenzij zij de toestemming heeft van de betrokkene, zij dit doet voor een rechtsvordering, voor de bescherming van een andere natuurlijke persoon of rechtspersoon of indien er gewichtige redenen zijn van algemeen belang om toch over te gaan tot de verdere verwerking van de gegevens.
Het recht op beperking van verwerking is enkel mogelijk indien er betwisting bestaat over de juistheid van de gegevens, indien de verwerking van de gegevens onrechtmatig is (d.i. niet beschikken over de in het vorige hoofdstuk aangehaalde rechtmatige grondslag), indien de persoonsgegevens niet langer nodig zijn maar de betrokkene heeft de gegevens nog nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering of indien de betrokkene bezwaar heeft gemaakt tegen de verdere verwerking.
Recht op overdraagbaarheid van de persoonsgegevens
Het recht op overdraagbaarheid van de persoonsgegevens, ook wel data portability genoemd, houdt in dat de betrokkene in staat moet zijn om zijn gegevens over te dragen naar een nieuwe verwerker/verwerkingsverantwoordelijke in een gestructureerde, gangbare en machineleesbare vorm.
Dit recht is enkel van toepassing indien de verwerking gebeurd op basis van de toestemming van de betrokkene of in het kader van de uitvoering van een overeenkomst en de verwerking automatisch verloopt. Enkel de gegevens die door de betrokkene aan de verwerkingsverantwoordelijk zijn verstrekt dienen in zulk een vorm aangeboden te worden aan de betrokkene, wanneer deze hierom verzoekt.