GDPR is voor veel ondernemingen een woord dat ze niet kennen of liever niet horen. Nochtans dient vanaf 25 mei 2018 elke onderneming GDPR-compliant te zijn. Omwille daarvan is het toch belangrijk dat u zich bewust bent van de verplichtingen en de sancties die GDPR inhoudt.

GDPR, wat is het en waarom?

GDPR is de afkorting voor “General Data Protection Regulation”. Het betreft een Europese verordening, die de persoonsgegevens van natuurlijke personen beoogt te beschermen. De GDPR-verordening is tot stand gekomen omwille van de digitalisering van onze wereld.  Bescherming van persoonsgegevens is hierin super belangrijk. Bedrijven zoals facebook en google verwerken namelijk heel wat persoonsgegevens, maar ze zijn heus niet alleen. Men kan gerust stellen dat zo goed als elke onderneming dit doet.

De tweede reden waarom de Europese verordening tot stand gekomen is, is de uniformiteit. Reeds voor de verordening was er een Europese richtlijn. Deze werd in elke lidstaat omgezet in nationaal recht, waardoor er tussen de lidstaten nog te vaak verschillen waren. Omwille hiervan heeft de Europese Unie gekozen om een verordening uit te vaardigen. Deze verordening is onmiddellijk van toepassing in elke lidstaat.

Toepassingsgebied van GDPR

De verordening is van toepassing van zodra persoonsgegevens van een natuurlijke persoon elektronisch worden verwerkt of op volgorde (alfabetisch, chronologisch) worden geordend. Verwerken dient ruim geïnterpreteerd te worden. Voorbeelden zijn ordenen, verzamelen, opslaan, bewerken, …

De verordening voorziet ook enkele uitzonderingen op het toepassingsgebied. Het verwerken van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen, of door een natuurlijke persoon bij de uitoefening van zuiver huishoudelijke of persoonlijke activiteiten  vallen niet onder het toepassingsgebied. Ook de verwerking door een lidstaat in het kader van beleid inzake grenscontroles, asiel en immigratie wordt niet door de verordening beoogt.

Wat de territoriale bevoegdheid betreft, strekt deze zich uit tot buiten de EU. Vooreerst moeten alle verwerkingsverantwoordelijken en verwerkers die zich binnen de EU bevinden aan de verordening voldoen. De verordening heeft ook een impact op verwerkingsverantwoordelijken en verwerkers buiten de EU. Zij zullen steeds aan de verordening moeten voldoen in de mate dat zij persoonsgegevens van betrokkenen die zich in de Unie bevinden, verwerken.

Meer rechten voor betrokkenen

De grote doelstelling van de verordening is de natuurlijke persoon meer bescherming bieden inzake zijn persoonsgegevens. Deze bescherming gaat gepaard met informatie verstrekken, controle uitoefenen alsook rechten toekennen.

De betrokkene, wiens persoonsgegevens verwerkt wordt, moet transparantie krijgen. Dit houdt in dat de betrokkene goed, duidelijk en in begrijpelijke taal geïnformeerd moet worden. De verordening voorziet zelf expliciet uit wat deze informatie moet bestaan. (art. 13 en 14 GDPR)

Daarnaast voorziet de verordening dat de betrokkene meer controle heeft over de verwerking van zijn persoonsgegevens. Dit wordt mee verwezenlijkt door de rechten die aan de betrokkene zijn toegekend in de verordening. Deze rechten zijn: transparantie, rectificatie, inzage, wissing, beperking, bezwaar, vrije overdracht en geautomatiseerde besluitvorming. Door middel van deze rechten te kunnen uitoefenen, heeft de betrokkene de mogelijkheid om de verwerking van zijn persoonsgegevens te controleren en eventueel zelfs in te grijpen.

Indien dit alles nog niet voldoende zou zijn, kan de betrokkene steeds een klacht indienen bij de toezichthoudende autoriteit of een beroep instellen bij de rechter. Voor België is de toezichthoudende autoriteit de Privacycommissie.

Verplichtingen uit GDPR

Gepaard gaande de bescherming voor de persoonsgegevens van de betrokkene, zijn er ook meer en strengere verplichtingen voor de verwerkingsverantwoordelijke (en verwerker). Vooreerst moeten de verwerkingsverantwoordelijke steeds kunnen aantonen dat zij GDPR-compliant zijn. Dit houdt in dat de bewijslast inzake het voldoen van de verplichtingen bij de verwerkingsverantwoordelijke ligt. Om dit te kunnen aantonen, moet de verwerkingsverantwoordelijke een intern beleid voeren.

Dit intern beleid zorgt er ook voor dat aan andere verplichtingen uit de verordening wordt voldaan. Deze andere verplichtingen zijn het waarborgen van de rechten, procedures inzake datalekken en uitoefenen van rechten door betrokkenen, opstellen van een register van verwerkingsactiviteiten, privacyverklaringen, overeenkomsten (werknemers, klanten, leveranciers,…) conform maken, beveiliging van IT systeem verbeteren, …

Gaat dit niet te ver?

Ondanks de goede bedoelingen van de verordening gaat dit alles wel heel ver. Iedereen is het er over eens dat bescherming van persoonsgegevens in een digitale wereld essentieel is. De verordening heeft evenwel ook kleine ondernemingen meegesleurd in haar gigantisch web van verplichtingen. Denk maar aan de bakker om de hoek, die uw persoonsgegevens verwerkt met als doel uw bestelling klaar te maken of aan huis te brengen. Ook deze wordt onderworpen aan de verordening.

Het feit dat de verordening voorziet in proportionaliteit, is maar een magere troost. De verordening voorziet dan weliswaar dat de verplichtingen enkel voldaan moeten worden in proportie met de mogelijkheden van de onderneming. Toch blijft het voor vele ondernemingen een huzarenstuk om te voldoen.

Conclusie

GDPR is voor bijna niemand de ver van het bed show. U negeert de verordening best niet aangezien de sancties niet min zijn. De administratieve boetes kunnen oplopen tot 20.000.000 euro of 4% van de wereldwijde omzet van het vorig belastbaar tijdperk indien dit hoger zou zijn. Het zal de Privacycommissie zijn die door middel van onderzoeks- en vervolgingsbevoegdheden controles zal uitvoeren. Het risico op controle vergroot uiteraard wanneer een betrokkene een klacht indient.

Indien u dit wenst, kan aternio u begeleiden om uw onderneming GDPR-compliant te maken.