DLPA Advocaten

11/09/2017

Is uw onderneming “GDPR”-proof ?

Privacy wordt in de huidige technologische maatschappij hoog in het vaandel gedragen. Op 14 april 2016 heeft het Europees Parlement de General Data Protection Regulation (“GDPR”) goedgekeurd. Naast een bevestiging van een aantal principes die in België momenteel al zijn opgenomen in de huidige privacywet, legt de GDPR ook heel wat nieuwe, strengere verplichtingen op aan ondernemingen, teneinde burgers extra bescherming van hun privacy te bieden.

 

 

VOORWERP

Elke onderneming die persoonsgegevens van EU-burgers verwerkt, moet zich in lijn stellen met de GDPR. Persoonsgegevens omvatten alle informatie waardoor een natuurlijke persoon rechtstreeks
(bv. woonplaats) of onrechtstreeks (bv. IP-adres) geïdentificeerd kan worden. Zodra deze persoonsgegevens op enige manier worden verwerkt (bv. verzamelen, vastleggen, ordenen, opslaan, raadplegen, gebruiken etc.), moeten een aantal strikte verplichtingen worden nageleefd.

 

 

VERPLICHTINGEN

Het hoofddoel van de GDPR is bescherming van de privacy van de burger. Derhalve kunnen persoonsgegevens maar verwerkt worden wanneer de betrokken burger daartoe zijn of haar toestemming heeft gegeven.

Eenmaal de toestemming verkregen is, moet de onderneming ook de beveiliging ervan garanderen. Hiertoe moeten niet alleen de nodige technologische beschermingsmaatregelen worden geïmplementeerd, maar dient u ook juridisch correcte maatregelen te nemen.

Het juridische verhaal begint bij de informatieverplichting. De persoon over wie gegevens worden verwerkt, moet op een begrijpelijke en gemakkelijk toegankelijke wijze worden geïnformeerd. De meest efficiënte manier om aan deze informatieverplichting te voldoen is een privacyverklaring waarin alle informatie gebundeld is.

In deze privacyverklaring dient de betrokkene onder meer te worden geïnformeerd over de diverse rechten waarover hij of zij beschikt. De bestaande rechten op inzage in de persoonsgegevens en rectificatie ervan worden onder meer uitgebreid met een recht op beperking van de verwerking, bezwaar tegen de verwerking en het recht op gegevensoverdracht.

Indien er ondanks de nodige voorzorgsmaatregelen toch een datalek zou ontstaan, heeft u als onderneming een meldingsplicht, in eerste instantie aan de Privacycommissie, in sommige gevallen ook aan de betrokken burger.

De manier waarop u de bescherming en de verwerking van persoonsgegevens organiseert, kan best gedocumenteerd worden in een register. Voor grote ondernemingen is het bijhouden van een register zelfs verplicht.

 

 

SANCTIES

Indien u de GDPR met de voeten treedt, heeft de Belgische Privacycommissie de bevoegdheid om administratieve boetes op te leggen die behoorlijk kunnen oplopen. De maximumboete is vastgelegd op 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet. Deze maximumboetes zullen uiteraard maar worden opgelegd bij flagrante of extreme overtredingen. Anderzijds bepaalt de GDPR wel dat de boetes die daadwerkelijk worden opgelegd voldoende afschrikkend moeten zijn.

Hoewel de GDPR pas op 25 mei 2018 officieel van kracht wordt, doet u er goed aan om nu reeds de nodige voorbereidingen te treffen om uw bedrijf “GDPR-proof” te maken. Aangezien elke onderneming op een andere manier persoonsgegevens verwerkt, is het aangewezen om op maat van uw onderneming na te gaan welke stappen u hiertoe nog moet zetten.

Share:

Recente nieuwsbrieven

30/04/2018 - Tot nog toe had enkel de architect de wettelijke verplichting om zijn beroepsaansprakelijkheid te verzekeren. Een dergelijke verzekeringsplicht...

30/03/2018 - Ernstige geschillen tussen aandeelhouders belemmeren de goede werking van de onderneming. Het vennootschapsrecht biedt diverse mogelijkheden om...

Inschrijven op onze nieuwsbrief

In onze nieuwsbrieven lichten wij de voor u relevante juridische actualiteit en belangrijke wetswijzigingen toe. Schrijf u hier in blijf op de hoogte.