In de loop van maart 2018 publiceerde de Privacycommissie een informatiedocument over de General Data Protection Regulation op haar website gericht op KMO’s. Met dit document wil de Privacycommissie naar eigen zeggen KMO’s informeren en bijstaan om deze nieuwe wetgeving te implementeren en in vogelvlucht een overzicht te geven van de belangrijkste rechten en plichten die uit de GDPR voortvloeien. Sirius Legal licht u graag de belangrijkste punten uit dit document toe.
Het informatiedocument bevat in een eerste onderdeel nogmaals een toelichting over de basisbegrippen uit de GDPR zoals o.m. “persoonsgegevens”, “gevoelige gegevens”,… en over de basisprincipes (rechtsgronden voor de verwerking, doelbinding, transparantie,…).
In een tweede onderdeel worden de plichten van de KMO besproken en wordt getracht om een concrete leidraad te geven bij het doorlopen van het compliancy-traject. De Privacycommissie onderscheidt daarbij volgende stappen:
STAP 1: Maak een overzicht met het register voor de verwerkingsactiviteiten.
De Privacycommissie merkt op dat het register een cruciale rol vervult in het detecteren van risico’s én in de naleving van de GDPR. Het register bevat een overzicht van de verwerkingsactiviteiten en moet op zijn minst volgende informatie vermelden:
- Wie: naam en contactinformatie van de verwerkingsverantwoordelijken en functionaris (DPO)
- Waarom: per verwerking vermeldt het register in detail de verwerkingsdoeleinden
- Wat: per verwerking vermeldt het register de soorten van persoonsgegevens en betrokkene
- Waar: het register vermeldt alle ontvangers van persoonsgegevens + doorgiftes en of er al dan niet passende waarborgen aanwezig zijn;
- Bewaartermijn: indien mogelijk, de termijn waarbinnen men persoonsgegevens moet wissen
- Beveiliging: indien mogelijk, een algemene beschrijving van de beveiligingsmaatregelen.
Hoewel de Verordening bepaalt dat een organisatie niet steeds een register moet bijhouden zal in de praktijk het merendeel van de organisaties wél een register dienen op te maken en bij te houden (!) ook wanneer de organisatie kleiner is dan 250 werknemers. De privacycommissie geeft volgende voorbeelden van situaties waarin wél een register dient opgemaakt te worden:
- Een loodgietersbedrijf met twintig personeelsleden moet een register voor de verwerking bijhouden voor de verwerking van persoonsgegevens van haar klanten, personeel en leveranciers:
- Een kinderdagverblijf dat gegevens van de opgevangen kinderen registreert moet hiervoor een register aanleggen;
- Een huisartsenpraktijk die medische gegevens verwerkt van haar patiënten moet een register aanleggen.
STAP 2: Duid een functionaris voor de gegevensbescherming (DPO) aan
In een aantal gevallen zal een organisatie een functionaris voor de gegevensbescherming of DPO dienen aan te stellen. Men is hiertoe verplicht in 3 gevallen: (1) indien een overheidsinstantie een verwerking verricht; (2) wanneer de KMO is belast met grootschalige, regelmatige en stelselmatige observatie van natuurlijke personen; en (3) de KMO is hoofdzakelijk belast met grootschalige verwerking van gevoelige gegevens.
De Privacycommissie merkt nogmaals op dat het belangrijk is om te documenteren en te motiveren waarom ervoor werd gekozen om al dan niet een DPO aan te stellen. Eén en ander kadert in de algemene verantwoordingsplicht die voortvloeit uit de Verordening. Daarnaast raadt de Commissie wél aan om iemand intern verantwoordelijk te maken voor het toezicht op de naleving van de Verordening, op voorwaarde dat die persoon dan niet DPO of functionaris voor de gegevensbescherming wordt genoemd (!). Deze kwalificatie impliceert immers heel andere verantwoordelijkheden en aansprakelijkheden in hoofde van de betrokken persoon.
STAP 3: Voer een gegevensbeschermingseffectbeoordeling (GEB) uit
In een aantal gevallen, namelijk wanneer een bepaalde (nieuwe) verwerkingsactiviteit een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen dient een GEB te worden uitgevoerd. De KMO moet deze GEB uitvoeren vóór de verwerking plaatsvindt en deze op gezette tijdstippen overdoen zodat de risico-beoordeling en de bijhorende maatregelen up-to-date blijven. In deze GEB moet minstens de volgende informatie worden opgenomen:
- Een gedetailleerde omschrijving van de verwerkingen en doeleinde;
- Een beoordeling van de proportionaliteit van de verwerkingen t.a.v. die doeleinden;
- Een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
- De beoogde maatregelen om die risico’s aan te pakken;
De Privacycommissie geeft aan dat zij in de toekomst zelf een lijst zal opstellen van soorten verwerkingen waarvoor een GEB automatisch verplicht is. Daarnaast dient de KMO in elk geval een GEB uit te voeren in volgende gevallen: (1) bij systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, waaronder profilering; (2) bij grootschalige verwerking van gevoelige gegevens; (3) bij stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimtes.
In een derde onderdeel licht de Privacycommissie nogmaals de rechten van de betrokkene toe en de manier waarop deze dienen gewaarborgd te worden
In een laatste onderdeel komt de meldplicht datalekken aan bod en geeft de Privacycommissie nog een checklist mee voor verwerkers waarin de voornaamste verplichtingen die voor de verwerker gelden worden opgenomen.
De volledige tekst van de Privacycommissie kan u lezen via volgende link.
Vragen over de opmaak van een register voor de verwerking of de GDPR in het algemeen?