GDPR round up: is iedereen klaar met GDPR?

Een maand geleden trad de General Data Protection Regulation (GDPR) in voege en dat is niet onopgemerkt gebleven. Zo hebben we de afgelopen maand allemaal een toevloed aan digitale post ontvangen: e-mails waarin we werden geïnformeerd over het aangepast privacybeleid van ondernemingen, e-mails waarin naar onze (expliciete) toestemming gevraagd werd voor de verdere verwerking van onze persoonsgegevens, e-mails met in bijlage verwerkersovereenkomsten, etc. Ook wij hebben uiteraard niet stilgezeten en heel wat ondernemingen bijgestaan om hen GDPR-compliant te maken. Één maand na de inwerkingtreding, kunnen we niet anders dan vaststellen dat er toch een aantal MISVERSTANDEN bestaan omtrent de GDPR en de impact ervan.

Één van de meest voorkomende misvatting omhelst de vereiste van een voorafgaande toestemming om als onderneming aan direct marketing te doen. Het is belangrijk om steeds – voor elke verwerking van persoonsgegevens – de verschillende rechtsgronden van de GDPR in het achterhoofd te houden, waar de toestemming slechts één van de zes is. Het versturen van e-mails kan dan ook gebeuren op basis van de rechtsgrond “uitvoering van een overeenkomst” of “gerechtvaardigd belang”. Zo stelt overweging 47 van de GDPR zelfs uitdrukkelijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang. Het is dan wel van belang dat uw onderneming eerst een afweging maakt – dewelke in het voordeel van de onderneming dient over te hellen – tussen het belang van de onderneming ten opzichte van het recht op privacy van de betrokkene. Bij wijze van voorbeeld kan het versturen van reclame voor gerelateerde producten/diensten naar bestaande klanten onder het gerechtvaardigd belang vallen. Indien uw onderneming echter e-mails verstuurt naar iemand die enkel uw facebookpagina heeft geliked, dan zal u zich niet kunnen verschuilen achter de rechtsgrond “gerechtvaardigd belang”, en zal de toestemming van de betrokkene vereist zijn.

Een tweede misvatting met betrekking tot de GDPR is dat elke onderneming verplicht is om een Data Protection Officer (DPO), of een functionaris voor gegevensbescherming, aan te stellen. Enkel publieke instellingen die persoonsgegevens verwerken, ondernemingen die systematisch op grote schaal persoonsgegevens verwerken en organisaties die aan bijzondere gegevensverwerkingen doen, bv. gezondheidsgegevens, zijn verplicht om een DPO aan te stellen. Uiteraard is het raadzaam om – ook al ben je niet verplicht om een DPO aan te stellen – een verantwoordelijke aan te duiden binnen uw onderneming voor uw privacybeleid. Opgelet: noem deze verantwoordelijke geen DPO of de strenge regels voor de aanstelling, onafhankelijkheid en de taken van de DPO zullen nageleefd moeten worden!

Een andere misvatting is de toevloed aan verwerkersovereenkomsten die door ondernemingen worden opgestuurd, met daarin het vriendelijk verzoek om ze ondertekend terug te bezorgen. Een verwerkersovereenkomst dient enkel afgesloten te worden wanneer je als verwerker ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens zal verwerken, of anders gezegd, wanneer je als verwerkingsverantwoordelijke een verwerker inschakelt teneinde persoonsgegevens te verwerken. Ook moet je als verwerker, wanneer die op zijn beurt beroep doet op een sub-verwerker, een verwerkersovereenkomst afsluiten. Wanneer geen persoonsgegevens worden verwerkt, is het niet nodig om een verwerkingsovereenkomst af te sluiten.

Tot slot willen we jullie nog meegeven dat er tot op vandaag nog geen (!) AVG-keurmerk of GDPR certificaat bestaat, en dat op 25 mei 2018 de Commissie voor de bescherming van de persoonlijke levenssfeer haar plaats heeft afgestaan aan de Gegevensbeschermingsautoriteit. De Gegevensbeschermingsautoriteit zal dan ook vanaf 25 mei 2018 toezien op de naleving van de grondbeginselen van de bescherming van de persoonsgegevens door de ondernemingen.