GDPR – veelgestelde vragen
Zodra een organisatie persoonsgegevens verwerkt, is de GDPR-regelgeving van toepassing en moet u een GDPR-dossier aanmaken. Groot of klein, commercieel of niet, het maakt niet uit. Er is geen enkele reden om aan uw verantwoordingsplicht te ontsnappen.
Of de verwerkte gegevens ‘gevoelig’ zijn hangt af van de impact die het gebruik (= de verwerking) van die gegevens heeft op de rechten van de betrokken personen. Als die rechten op een of andere manier kunnen geschaad worden dan zijn die gegevens ‘gevoelig’.
De inspanning om een GDPR-dossier op te maken is evenredig met de aard en het soort gegevens en hun verwerkingen, niet met het aantal betrokken personen, de frequentie van verwerkingen, enz. Als u slechts beperkte gegevens opslaat en verwerkt, dan is de inspanning klein.
Het is een goede oefening om de verwerking van uw persoonsgegevens op regelmatige wijze door te lichten en daarbij niet-noodzakelijke (‘nice-to-have’) gegevens aan een kritisch onderzoek te onderwerpen en eventueel te verwijderen.
De methodologie en de cloud-toepassing van GXP Consulting laat u toe op een vlotte en efficiënte manier uw GDPR-dossier aan te maken en up-to-date te houden.
Neen, er bestaat geen dergelijk keurmerk. Of u GDPR-compliant bent, hangt af van de interpretatie van de regelgeving en van de specifieke situatie van uw organisatie.
U kunt wel in uw communicatie stellen dat u de nodige stappen hebt ondernomen om aan de GDPR- regelgeving te voldoen. U hoeft niet te communiceren welke de maatregelen zijn die u genomen hebt tenzij dat wordt gevraagd door een overheid of de rechtbank.
Het verwerkingsregister zal u wel moeten voorleggen bij controle door de Privacy Commissie, maar dit is in principe niet publiek.
Als u persoonsgegevens verzamelt, moet u de bedoeling ervan vastleggen en de reden waarom u dat doet. Dit kan best door te verwijzen naar een beleidsrichtlijn die beschrijft wat u in uw GDPR-dossier zal vermelden, o.m. waarom u bepaalde gegevens opvraagt, hoe lang ze worden bijgehouden, welke verwerkingen gebeuren, enz.
De regel dat vanaf 250 personen u verplicht bent een DPO aan te stellen, is niet opgenomen in de finale versie van GDPR. U zal zelf moeten beoordelen of u ‘op grote schaal’ of ‘regelmatig en stelselmatig’ gegevens verwerkt en/of u ‘hoofdzakelijk gevoelige gegevens’ verwerkt.
De DPO moet aan een reeks voorwaarden voldoen.
Het is wenselijk dat elke organisatie een persoon aanstelt die verantwoordelijk is voor de naleving van de GDPR-vereisten, en die fungeert als contactpersoon voor de betrokken personen.
Bij de opstelling van uw GDPR-dossier zullen waarschijnlijk een aantal elementen opduiken die een impact kunnen hebben op de bescherming van uw persoonsgegevens of op andere facetten van uw gegevensverwerking en waarvoor verbetering noodzakelijk en/of wenselijk is.
Deze analyse en de getroffen maatregelen zijn vertrouwelijk. In een beperkt aantal gevallen (gevoelige gegevens) is deze impact-analyse verplicht en moet zij kunnen voorgelegd worden.
Neen, u moet niet systematisch uw GDPR-dossier voorleggen voor goedkeuring of kennisname.
De Privacy Commissie kan wel informeren naar uw GDPR-dossier om aan te tonen dat uw organisatie aan de vereisten van de regelgeving voldoet. Dit dossier moet in elektronische vorm kunnen voorgelegd worden. Er zijn geen andere specifieke vormvereisten aan het dossier.
Uw gegevens (klanten, leden, sponsors, …) zelf vormen geen deel van het GDPR-dossier. Het dossier bevat enkel zogenaamde ‘meta’-gegevens, namelijk beschrijvingen van uw gegevens en hun verwerkingen, niet de gegevens zelf.
In het kader van een controle kan het eventueel wel noodzakelijk zijn om de inhoud van bepaalde gegevens te raadplegen. Ambtenaren, consultants en medewerkers zijn gebonden door een vertrouwelijkheidsplicht.
Het delen van persoonsgegevens wordt sterk beperkt door de GDPR-regelgeving en is normaliter aan toestemming onderworpen door de betrokken personen. Meestal valt de vraag om gegevens voor te leggen onder een wettelijke verplichting.
Verzeker steeds bij de desbetreffende instantie dat deze informatie noodzakelijk is, dat uw gegevens beveiligd worden en zij deze niet verder delen met andere organisaties zonder uw toestemming.
Wanneer u persoonsgegevens doorgeeft aan derde landen of aan internationale organisaties, moet u specifieke voorwaarden respecteren.
Inderdaad, het is noodzakelijk om uw GDPR-dossier bij te werken telkens er iets wijzigt aan de manier waarop u gegevens verwerkt of deelt. De bedoeling is om zo precies mogelijk te zijn.
Verwerking van gegevens is onderhevig aan wijzigingen en het is wenselijk om regelmatig (minstens jaarlijks) uw GDPR-dossier na te zien op overeenstemming met de actuele situatie.
Wanneer u persoonsgegevens wenst te verwerken voor een ander doel dan dat waarvoor deze gegevens zijn verzameld, dan moet u de betrokken personen informeren vóór die verdere verwerking.
De algemene regel is dat enkel strikt noodzakelijke gegevens mogen worden verwerkt.
De meeste gegevens die u verzamelt, zijn te rechtvaardigen omdat ze noodzakelijk zijn voor de uitvoering van een contractuele relatie tussen u en de betrokken persoon (werkgever-werknemer, leverancier-klant, vereniging-lid, …), of om te beantwoorden aan een wettelijke verplichting (sociale zekerheid, arbeidswetgeving, vrijwilligerswetgeving, …). Voor deze gegevens is geen expliciete toestemming vereist.
Daarnaast worden dikwijls gegevens verwerkt die niet strikt noodzakelijk zijn (bv. naam partner, geboortedatum, foto, …). Daarvoor is wel een expliciete toestemming vereist en heeft de betrokken persoon ook het recht deze informatie en de verwerking ervan te weigeren.
Iedere betrokken persoon heeft een ‘absoluut’ recht om zijn/haar persoonsgegevens in te zien en verbetering te eisen in het geval deze gegevens niet correct of niet up-to-date zijn. Dit is ook in het belang van uw organisatie.
De wijze waarop u dit organiseert is afhankelijk van de manier van werken van uw organisatie. Het is aan te raden de wijze waarop, de contactpersoon, enz. te vermelden in uw privacy beleidsverklaring en/of op te nemen in een interne procedure.
Dit is een feitenkwestie. Een en ander is afhankelijk van de juridische relatie tussen koepel en lidmaatschap, de verantwoordelijkheden van koepel/lid en de manier van werken. Sommige koepels zijn in feite belangenverenigingen en dragen geen verantwoordelijkheid voor de werking van hun leden. Zij kunnen wel bepaalde diensten (bv. verzekeringen, …) aanbieden aan hun leden.
Indien uw organisatie geen persoonsgegevens verwerkt op een manier die onafhankelijk is van de koepel, dan is er geen noodzaak om een afzonderlijk GDPR-dossier te maken. De koepel zal echter wel zelf een GDPR-dossier moeten aanleggen en de betrokken personen eventueel toegang moeten verlenen tot hun persoonsgegevens.
Veel organisaties houden afzonderlijk bepaalde gegevens bij, bv. een extract van het centrale ledenbestand met als doel het bijwerken van deelnemers aan activiteiten, een lijst van inschrijvingen voor publicaties, … Deze verwerkingen zijn onderworpen aan de GDPR-regelgeving en dus moet u een GDPR-dossier aanmaken en bijwerken.
Veel organisaties maken gebruik van cloud-diensten om gegevens op te slaan, hetzij voor verwerking, hetzij als back-up. Alle bedrijven die actief zijn in de Europese Unie moeten aan de vereisten van de GDPR-regelgeving voldoen. Zij moeten hun algemene voorwaarden en hun privacy beleid aanpassen.
Opmerking: Amerikaanse leveranciers zijn onderworpen aan de ‘Patriot Act’ wat de Amerikaanse overheid toelaat om toegang te krijgen tot hun systemen, ongeacht waar uw gegevens zich bevinden.