In een vorige nieuwsbrief kon u kennismaken met de algemene principes van de Algemene Verordening Gegevensbescherming, beter gekend als de GDPR (General Data Protection Regulation). In dit artikel gaan wij dieper in op een van de volledig nieuwe verplichtingen uit de GDPR, namelijk het register van verwerkingsactiviteiten.
Afschaffing aangifteplicht
Laten we eerst beginnen met het goede nieuws. Vanaf de inwerkingtreding van de GDPR (25 mei 2018) zal het niet meer nodig zijn om geautomatiseerde verwerkingen van persoonsgegevens voorafgaandelijk aan te geven bij de Privacycommissie. De aangifteplicht verdwijnt dus en de Belgische wetgeving zal in die zin nog moeten worden aangepast.
De GDPR wil met deze vernieuwing tegemoetkomen aan de snelle technologische ontwikkelingen inzake het verwerken van persoonsgegevens. Deze vernieuwing betekent ook een administratieve vereenvoudiging. Er bestaat momenteel een publiek raadpleegbaar register inzake gegevensverwerking op de website van de Privacycommissie, maar deze wordt maar zelden gebruikt.
Invoering verwerkingsregister
De afschaffing van de aangifteplicht is een goede zaak, maar uiteraard komt in het kader van de GDPR een nieuwe verplichting in de plaats. Elke verwerkingsverantwoordelijke en desgevallend de verwerker zal vanaf 25 mei 2018 een “register van verwerkingsactiviteiten” moeten bijhouden (art. 30 GDPR). De Privacycommissie publiceerde over dit verwerkingsregister in juni van dit jaar een uitvoerige aanbeveling. Deze interessante aanbeveling verduidelijkt op een aantal punten deze documentatieplicht (zie hierna).
Ondernemingen of organisaties die bestaan uit minder dan 250 werknemers zijn vrijgesteld van de nieuwe verplichting, tenzij zij één van volgende categorieën van verwerkingen van persoonsgegevens verrichten:
- verwerkingen die risico’s inhouden voor de rechten en vrijheden van de betrokkenen (bv. wanneer de verwerking kan resulteren in discriminatie of reputatieschade);
- verwerkingen betreffende persoonsgegevens van een bijzondere categorie (bv. gezondheidsinformatie of informatie m.b.t. een politieke opvatting);
- verwerkingen die strafrechtelijke veroordelingen omvatten;
- verwerkingen van een “niet incidentele aard”.
De GDPR definieert niet wat onder verwerkingen van “niet incidentele aard” moet worden begrepen. In de aanbeveling verduidelijkt de Privacycommissie dat een incidentele verwerking “bij gelegenheid of toeval” plaatsvindt. Verwerkingen inzake klanten-, leveranciers- en personeelsbeheer zijn niet incidenteel. Een dergelijk ruime interpretatie leidt ertoe dat quasi alle ondernemingen een dergelijk register moeten bijhouden. De Privacycommissie ziet dit niet als een probleem; hoe minder verwerkingen een onderneming verricht des te eenvoudiger het register zal zijn.
Het register is een geschreven (incl. elektronisch) document, dat moet worden opgesteld door de verwerkingsverantwoordelijke en de verwerker. Dit register, dat voortdurend wordt bijgewerkt, moet bepaalde informatie bevatten over de verrichte verwerking. Onder meer zullen de namen en contactgegevens van de verwerkingsverantwoordelijken en de verwerkers moeten worden vermeld, de verwerkingsdoeleinden en categorieën van persoonsgegevens.
Privacycommissie stelt model ter beschikking
De Privacycommissie zet in haar aanbeveling uitvoerig uiteen hoe dit register er juist moet uitzien. Inmiddels kan u op de website van de Privacycommissie een model downloaden.
Zware sancties
Op verzoek van de Privacycommissie stelt de verwerkingsverantwoordelijke of de verwerker het register ter beschikking. Indien de Privacycommissie vaststelt dat geen register voorhanden is of indien het register niet voldoet aan de voorwaarden, kan dit gesanctioneerd worden met een administratieve geldboete tot 10 miljoen euro of, voor een onderneming, tot 2% van de totale omzet van het vorige boekjaar indien dit bedrag hoger is. Wellicht zal het niet meteen zo’n vaart lopen en zal de Privacycommissie in eerste instantie vooral informerend optreden. Desalniettemin doet u er goed aan de verplichtingen van de GDPR en de aanbevelingen van de Privacycommissie strikt na te leven.
Auteurs:
Dave Mertens, Sara Cockx en Sébastien van Damme
