GDPR voor bedrijven
De GDPR heeft als doel om Europese burgers betere bescherming te bieden op het vlak van privacy. Het geeft dus een aantal rechten aan particulieren, maar tegelijkertijd moeten ondernemingen heel wat verplichtingen naleven. Mr. Franklin helpt jouw firma de nodige maatregelen te treffen, zodat je juridisch in orde bent en blijft.
General Data Protection Regulation (Algemene Verordening Gegevensbescherming)
General Data Protection Regulation (of Algemene Verordening Gegevensbescherming) is de Europese privacywetgeving die geldt voor alle ondernemingen, overheidsinstanties en verenigingen die persoonsgegevens verwerken of verzamelen.
Geldt GDPR voor alle organisaties?
Neen, GDPR is enkel van toepassing op bedrijven die persoonsgegevens verwerken of verzamelen. De termen “verwerken” en “verzamelen” worden echter breed ingevuld door de wetgever, waardoor een bedrijf al snel onder het toepassingsgebied van deze regelgeving valt. Indien je bijvoorbeeld klantengegevens of gegevens van personeelsleden bijhoudt of de e-mailadressen van natuurlijke personen gebruikt in een mailing, dan is er al sprake van een gegevensverwerking. Het gevolg? Jouw bedrijf moet GDPR-compliant zijn!
Wat zijn persoonsgegevens?
Persoonsgegevens zijn gegevens over een levende natuurlijke persoon waarmee deze natuurlijke persoon direct of indirect kan worden geïdentificeerd. Denk bijvoorbeeld aan een IP-adres of een telefoonnummer, geboortedatum etc. Ook combinaties van indirecte factoren zijn persoonsgegevens indien deze combinatie kan leiden tot de identificatie van natuurlijke personen.
Wat zijn de belangrijkste verplichtingen?
Een onderneming die persoonsgegevens verwerkt moet dus aan een aantal verplichtingen voldoen.
Rechtsgrond voor de verwerking van persoonsgegevens
Eerst en vooral moet elke verwerking van persoonsgegevens, hoe onbelangrijk het ook kan lijken, gebaseerd zijn op een rechtsgrond. Deze rechtsgronden zijn opgesomd in de GDPR-wetgeving:
(Expliciete) toestemming van de betrokkene
De gegevensverwerking is noodzakelijk voor de uitvoering van de overeenkomst
De gegevensverwerking is wettelijk verplicht
Het verwerken van de persoonsgegevens is noodzakelijk om de bescherming van vitale belangen van de betrokkenen te garanderen
De verwerking gebeurt in het algemeen belang
Het is noodzakelijk om de persoonsgegevens te verwerken om een gerechtvaardigd belang te behartigen
Deze opsomming is limitatief, wat dus wil zeggen dat een bedrijf niet zomaar zelf een rechtsgrond mag verzinnen om een verwerking te verantwoorden.
De meest gebruikte rechtsgrond is de toestemming van de betrokkene, zeker in online verkoop van goederen of diensten (bijvoorbeeld via sociale media). Zo moet een bedrijf verplicht toestemming vragen om een e-mail- of IP-adres van de klant op te slaan. Vaak verwerken ondernemingen ook persoonsgegevens in het kader van een contractuele opdracht van een klant of om te voldoen aan een door de wet opgelegde verplichting: ze hebben daarvoor geen toestemming van de betrokkene nodig.
Transparantieverplichting
Verder geldt er ook een transparantieverplichting. Hierdoor is jouw onderneming verplicht (indien het persoonsgegevens verwerkt) om betrokken natuurlijke personen op een transparante en begrijpelijke manier op de hoogte te brengen van de verwerking. Dit dient schriftelijk te gebeuren en moet aantoonbaar zijn, zoals het toevoegen van een privacy policy op een website. Zo heb je meteen een schriftelijk bewijs indien er later eventuele juridische betwistingen zullen ontstaan.
Hoewel het vrij eenvoudig kan klinken, is de uitvoering van deze transparantieverplichting niet altijd even voor de hand liggend. Mr. Franklin staat jouw onderneming graag met raad en daad bij in deze en vele andere juridische kwesties rond GDPR-regelgeving. Reeds 250+ bedrijven gingen jou voor.
Register opstellen
Een andere verplichting die GDPR oplegt is het bijhouden van een register van de verwerkingsactiviteiten die met betrekking tot de verzamelde gegevens plaatsvinden. Het gaat hier om interne documentatie die bedrijven zelf bijhouden en waarin informatie wordt bijgehouden over de persoonsgegevens die worden verwerkt.
Het register moet leesbaar en begrijpelijk zijn voor de GBA: op de website vind je ook een modelformulier. Een belangrijk detail: bedrijven kunnen door de GBA gevraagd worden verantwoordingsplicht af te leggen met betrekking tot dit register.
Geldt GDPR ook voor niet-Europese bedrijven?
Ja, GDPR geldt ook voor niet-Europese bedrijven die goederen of diensten in de Europese lidstaten aanbieden en persoonlijke data van EU-inwoners verwerken. Dit wil zeggen dat ook een in bijvoorbeeld de VS gelegen bedrijf aan de GDPR-verplichtingen moet voldoen indien het een webshop uitbaat die ook Europese burgers als klanten heeft.
Sancties
Ondernemingen die niet GDPR-compliant zijn en toch op het grondgebied van de EU goederen of diensten aanbieden of de gegevens van de Europese burgers verwerken krijgen hoge boetes opgelegd. Zo kan de Gegevensbeschermingsautoriteit (GBA, vroegere Privacycommissie) een boete van 10% wereldwijde jaarlijkse omzet van de onderneming opleggen.
Hoe kan een Data Protection Officer helpen?
Een Data Protection Officer (ook wel functionaris gegevensbescherming genoemd) is een onafhankelijk persoon die toeziet op de naleving van de GDPR-verplichtingen binnen een organisatie. DPO as a service helpt bedrijven bij het implementeren van de GDPR-vereisten.
Dit is enorm handig als je als bedrijfsleider zelf niet veel van privacyrecht weet. Bovendien eist de samenwerking met een freelance DPO minder tijd en opleidingskosten dan het overdragen van DPO-taken aan een al bestaande werknemer van het bedrijf zelf. Een externe DPO heeft daarbij meer ervaring, de nodige onafhankelijkheid en kan veel makkelijker opgezegd worden. In sommige gevallen ziet GBA het aanstellen van een DPO daarbovenop als “verzachtende omstandigheid”, waardoor hoge boetes vermeden kunnen worden. Meer weten? Lees zeker deze blogpost!
CONTACTEER ONS
Mr. Franklin staat voor innovatieve en telkens kwalitatieve service. Wij hechten veel belang aan de continue verbetering van onze expertise. Voor meer informatie omtrent onze diensten kan je ons steeds vrijblijvend contacteren. Onze experts staan je graag met raad en daad bij.
Olivier Sustronck
+32 486 27 53 05