Verwerking van gegevens

Houdt de GDPR in dat u nu voor elke verwerking toestemming moeten vragen/krijgen van de persoon wiens gegevens u wenst te verwerken?

De bovenstaande vraag lijkt bij heel veel mensen te leven over de nieuwe spelregels van de GDPR. Het antwoord op deze vraag is kort: Neen, u hoeft niet telkens de expliciete toestemming te hebben voor de verwerking van persoonsgegevens.

Persoonsgegevens

Het is de bedoeling om de privacy van de burger beter te beschermen, en daarbij uniforme regels vast te leggen voor de hele EU. Enerzijds krijgt de burger meer controle over hoe zijn persoonlijke gegevens gebruikt worden. Anderzijds legt GDPR een duidelijke wettelijke structuur vast, een standaard die in heel Europa geldt, zodat bedrijven weten hoe zij moeten handelen om de privacy te waarborgen.

Verwerking van gegevens

De GDPR spreekt over “de verwerking van persoonsgegevens”. Persoonsgegevens zijn “alle informatie over een natuurlijk persoon waardoor deze direct of indirect kan geïdentificeerd kan worden”. Dat zijn gegevens zoals naam, identificatienummer, locatiegegevens, telefoonnummers, e-mailadressen en online identificators (bv. info verkregen door gebruik van tracking cookies).

De lijst van mogelijke gegevens is uiteraard langer. Ook gegevens met betrekking tot de fysieke, genetische, psychische, culturele of sociale identiteit van een natuurlijke persoon vallen onder de GDPR-regelgeving, maar deze zijn weinig of niet van toepassing op onze sector.

Belangrijke opmerking: u checkt best wel even welke gegevens u zoal bijhoudt over uw werknemers en die u met uw sociaal secretariaat deelt. Idem voor de gegevens die u eventueel bijhoudt van mensen die voor uw bedrijf komen solliciteren.

Vuistregels voor de verwerking

Los van het feit of een datasubject al dan niet toestemming heeft gegeven voor de verwerking van zijn gegevens, zijn er een aantal zaken die ALTIJD nageleefd moeten worden:

De toestemming van de betrokkene en de equivalenten hiervan

Toestemming

De meest elementaire regel is dat de verwerking rechtmatig is voor zover de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
In tegenstelling tot vroeger moet deze toestemming het gevolg zijn van een duidelijke actieve handeling van de betrokkene.

Voorbeeld: u verzamelt gegevens van uw klanten waaronder het e-mailadres en dit laatste gebruikt u om een maandelijkse mailing toe te sturen met een overzicht van aangeboden diensten en promo’s.

Uitzonderingen

Hebben we nu altijd die toestemming van de klant nodig? Moet ik hem dus expliciet vragen of ik zijn gegevens mag gebruiken om hem een factuur te zenden voor de diensten die hij heeft besteld bij mij?

Neen, er bestaan gelukkig een aantal logische uitzonderingen. Trouwens de GDPR vindt hier niets nieuws uit want die uitzonderingen bestaan ook reeds in de huidige privacy wetgeving.

Contractuele verplichting

De belangrijkste uitzondering is wellicht dat de toestemming niet nodig is wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.

Wanneer een klant diensten bij u afneemt, ontstaat een contractuele samenwerking. U levert de dienst, de klant vergoedt u voor de geleverde presatie. Om die vergoeding tot bij u te krijgen, moet de klant u kunnen betalen. Dit is geregeld door een factuur te sturen (op papier of electronisch) met opgave van een aantal noodzakelijke gegevens. Als u dus de gegevens van de klant verwerkt voor het opmaken en versturen van de factuur, dan doet u dit om uitvoering te geven aan het contract dat met de klant werd afgesloten. U hebt in dit geval dus geen toestemming van de klant nodig.

Wanneer u samenwerkt met een netwerk van resellers dan bewaart u waarschijnlijk een hoop contactadressen van personen die bij die resellers werken. Als u deze personen vervolgens contacteert voor het regelen van een aantal praktische zaken dan hoeft u in principe geen toestemming voor deze verwerking te hebben op voorwaarde dat deze er toe strekt om de uitvoering van uw samenwerking gestalte te geven.

Wettelijke verplichting

Een andere uitzondering betreft het bestaan van een wettelijke verplichting die de verwerking noodzaakt.

Een ander voorbeeld: U verzamelt tal van gegevens van uw werknemers, houdt die bij in een bestand en geeft die vervolgens door aan uw sociaal secretariaat. Heeft u daarvoor de uitdrukkelijke toestemming nodig? Neen, want uw sociaal secretariaat heeft deze gegevens nodig om loonstaten op te maken en uw medewerkers te betalen. Bovendien moeten de sociale secretariaten kopieën van de loondocumenten overmaken aan de overheid. De fiscus is perfect op de hoogte van uw salaris en gebruikers van Tax-on-Web zullen dat wel al gemerkt hebben. In dit voorbeeld is duidelijk sprake van een wettelijke verplichting waaraan voldaan moet worden en die dus geldt als equivalent van de toestemming vanwege de betrokkene.

Overige uitzonderingen

Tot slot zijn er nog 3 andere uitzonderingen waar we heel kort even op ingaan:

  • De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen;
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang;
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde.

Deze laatste 3 uitzonderingsgevallen zijn een stuk vager en zullen ongetwijfeld twistpunten blootleggen in de toekomst. Wat is een gerechtvaardigd belang? Mag ik alle transactiegegevens van mijn klanten bijhouden omdat ze misschien ooit wel eens opgevraagd kunnen worden in het kader van een gerechtelijk onderzoek?

WHOIS

Bij DNS Belgium kennen we een heel duidelijk geval dat onder deze categorie valt nl. de opvraging van whois gegevens van particuliere houders. Sinds ettelijke jaren tonen we (behalve e-mailadres) via whois geen contactgegevens meer van particuliere domeinnaamhouders.

Dit betekent niet dat deze gegevens voor altijd achter slot en grendel zitten. Via een webformulier kan bij DNS Belgium een verzoek worden ingediend om de contactgegevens van de domeinnaamhouder toegestuurd te krijgen.

Uiteraard moet dit verzoek afdoende gemotiveerd worden en zal het slechts ingewilligd worden na verificatie door de juridische dienst. Stel dat een particuliere houder een domeinnaam registreert die overeenstemt met een merk van een bedrijf. Het bedrijf wenst zich te verzetten tegen de (potentiële) inbreuk van zijn merkenrecht en wil in dialoog treden hierover met de domeinnaamhouder. Probleem: het bedrijf beschikt niet over contactgegevens van de domeinnaamhouder. De raadsman van het bedrijf kan dankzij het webformulier een gefundeerde aanvraag indienen bij DNS Belgium om de contactgegevens te vernemen van de domeinnaamhouder.

Dit is een duidelijk geval waarbij de bescherming van de vitale of gerechtvaardigde belangen van een derde de verwerking van persoonsgegevens noodzakelijk maakt.

De bovenstaande gevallen tonen dus duidelijk aan dat er niet steeds sprake moet zijn van toestemming van de betrokkene om over te gaan tot de verwerking van zijn gegevens.   

 

WHOIS

Zoekopdracht waarbij u informatie krijgt over de domeinnaamhouder, de registrar, de nameserver en de status van de domeinnaam.

Domeinnaam

een uniek adres voor een website. Een domeinnaam staat eigenlijk voor een IP-adres (reeks cijfers). Omdat cijferreeksen moeilijk te onthouden zijn, worden ze omgezet in domeinnamen . Een domeinnaam bestaat uit minstens twee gedeeltes, gescheiden door een punt.

DNS

Domain Name System (Domein Naam Systeem) of Domain name server. Het wereldwijde DNS is het protocol dat op het internet gebruikt wordt om domeinnamen naar IP-adressen te vertalen en omgekeerd.