GELDT DE GDPR VOOR IEDERE ORGANISATIE?
General Data Protection Regulation (of Algemene Verordening Gegevensbescherming) is relatief nieuwe Europese privacywetgeving die sinds 2018 geldt voor alle ondernemingen, overheidsinstanties en verenigingen die persoonsgegevens verwerken of verzamelen.
GDPR geldt dus niet voor elke organisatie, maar tegenwoordig valt een bedrijf al snel onder toepassingsgebied van deze regelgeving. Indien je bijvoorbeeld klantengegevens of gegevens van personeelsleden verwerkt of de e-mailadressen van natuurlijke personen gebruikt in een mailing, dan is er al sprake van een gegevensverwerking die valt onder de GDPR.
Let op: GDPR geldt ook voor niet-Europese bedrijven die goederen of diensten in de Europese lidstaten aanbieden en persoonsgegevens van EU-inwoners verwerken.
GDPR VERPLICHTINGEN VOOR ORGANISATIES
Met de komst van de privacywetgeving zijn er ook GDPR-verplichtingen voor ondernemingen en organisaties ontstaan. Daarbij is het niet van belang of het om een multinational of een eenmanszaak gaat: de regelgeving rond gegevensverwerking geldt voor iedere organisatie die persoonsgegevens verwerkt. Wij lichten de belangrijkste keypoints even toe.
WAT ZIJN DE VERPLICHTINGEN VOOR ORGANISATIES ONDER DE GDPR?
Een organisatie die persoonsgegevens verwerkt moet dus aan een aantal verplichtingen voldoen. Om te beginnen moet elke verwerking van persoonsgegevens, hoe onbelangrijk ook, gebaseerd zijn op een rechtsgrond. Deze verwerkingsgronden zijn limitatief opgesomd in de GDPR-wetgeving:
-
Toestemming van de betrokkene
-
De gegevensverwerking is noodzakelijk voor de uitvoering van de overeenkomst
-
De gegevensverwerking is wettelijk verplicht
-
Het verwerken van de persoonsgegevens is noodzakelijk om de bescherming van vitale belangen van de betrokkenen te garanderen
-
De verwerking gebeurt in het algemeen belang of in het kader van openbare veiligheid
-
Het is noodzakelijk om de persoonsgegevens te verwerken om een gerechtvaardigd belang te behartigen
Online is de meest gebruikte rechtsgrond de toestemming van de betrokkene, maar ondernemingen zullen meestal persoonsgegevens verwerken in het kader van een contractuele opdracht van een klant of om te voldoen aan een wettelijke verplichting.
Verder geldt er ook een transparantieverplichting. Hierdoor is jouw onderneming verplicht (indien het persoonsgegevens verwerkt) om betrokken natuurlijke personen op een transparante en begrijpelijke manier op de hoogte te brengen van de verwerking. Dit dient schriftelijk te gebeuren en moet aantoonbaar zijn, zoals het toevoegen van een privacy policy op een website. Zo heb je meteen een schriftelijk bewijs indien er later eventuele juridische betwistingen zullen ontstaan.
Hoewel het vrij eenvoudig klinkt, is de uitvoering van deze transparantieverplichting niet altijd even voor de hand liggend. Mr. Franklin staat jouw onderneming graag met raad en daad bij als DPO of via onze all-in-one GDPR service. Reeds meer dan 500 organisaties gingen jou voor.
Bovendien bestaat er ook een aparte categorie van de meest risicovolle persoonsgegevens - de zogenaamde “gevoelige gegevens”. Dit zijn bijvoorbeeld medische gegevens, informatie over etnische afkomst, strafrechtelijke gegevens etc. De wetgever is van mening dat de verwerking hiervan bijzondere risico’s voor de betrokken personen met zich meebrengt.
Daarom is het verwerken van gevoelige gegevens in principe verboden. Echter bevat de GDPR-wetgeving een aantal strikt gedefinieerde uitzonderingen: in deze gevallen is de verwerking van gevoelige gegevens wel toegestaan mits de onderneming aan bijkomende verplichtingen voldoet.
VERWERKING VAN BIJZONDERE PERSOONSGEGEVENS
WAT ALS MIJN ONDERNEMING NIET IN ORDE IS?
Verwerkt jouw bedrijf persoonsgegevens op een niet GDPR-conforme wijze, dan zal dit uiteraard tot sancties leiden. Onder meer kan de toezichthoudende autoriteit jou een boete opleggen: deze kan tot 4% van jaarlijkse wereldwijde omzet van jouw onderneming oplopen. Bovendien kan iedere natuurlijke persoon wiens gegevens onrechtmatig werden verwerkt een klacht neerleggen bij de Gegevensbeschermingsautoriteit.