Wanneer spelen de regels van de GDPR nu? Da’s simpel: vanaf het moment dat er persoonsgegevens worden verwerkt. In deze blog leggen we uit wat er onder ‘persoonsgegevens’ en ‘verwerking’ wordt verstaan. Daarna gaan we in op de twee belangrijkste actoren betrokken bij deze gegevensverwerking, namelijk de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’.
Persoonsgegevens
Persoonsgegevens maken de essentie uit van wat de GDPR precies beschermt. Een persoonsgegeven is elke informatie van een levend, individueel persoon die geïdentificeerd is of identificeerbaar is. Informatie van rechtspersonen, zoals de naam, contactgegevens of rechtsvorm van een onderneming, zijn geen persoonsgegevens en worden dus niet door de GDPR beschermd, behalve wanneer ze zouden verwijzen naar een individueel persoon.
Een voorbeeldje: jan.jansens@janszonen.be is een persoonsgegeven, info@janszonen.be niet.
Een persoonsgegeven mag je zeer ruim interpreteren. Fundamenteel is dat er met het gegeven een link naar een bepaalde persoon kan worden gelegd. Dit kan een directe link zijn waarbij je door het enkele gegeven meteen weet op wie het betrekking heeft. Dan is de individuele persoon “geïdentificeerd”. Maar ook een indirecte link volstaat, waarbij een gegeven in combinatie met andere gegevens naar een bepaald persoon kúnnen leiden. In dat geval is de individuele persoon “identificeerbaar”.
Zuiver anonieme gegevens zijn bijgevolg geen persoonsgegevens. Wel opletten hier, want er moet al een moeilijk en zeer technisch procédé gevolgd worden om zuiver anonieme gegevens te verkrijgen. Een op het eerste zich abstract gegeven is meteen weer een persoonsgegeven zodra er ook maar een kans op re-identificatie van een individueel persoon (“singling out”) bestaat.
Voorbeelden van persoonsgegevens: namen van klanten of werknemers, een persoonlijk telefoonnummer of e-mailadres, bank- en betalingsgegevens, gezondheidsgegevens, locatiegegevens, IP-adres…
In de GDPR wordt een onderscheid gemaakt tussen gewone persoonsgegevens en bijzondere (gevoelige) persoonsgegevens. Gevoelig zijn gegevens waaruit onder andere iemands ras, politieke opvattingen, seksuele geaardheid of gezondheidstoestand kunnen worden afgeleid. De GDPR introduceert ook een nieuwe categorie van bijzondere persoonsgegevens, namelijk de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon. De verwerking van dergelijke bijzondere gegevens is aan strengere regels onderworpen en leidt tot bijkomende verplichtingen voor de verwerkingsverantwoordelijke. Meer info over de gevoelige gegevens volgt in volgende blogs!
Verwerking
Elke bewerking die men op een persoonsgegeven kan uitvoeren, noemen we een verwerking. Ook dit mag je zeer ruim interpreteren. Het gaat onder andere om het verzamelen, bijwerken, opslaan, raadplegen, gebruiken, doorzenden, verspreiden, structureren, combineren en het wissen of vernietigen van persoonsgegevens. Dit lijstje is zeker niet begrenzend, er zijn nog andere mogelijkheden waarbij aan gegevensverwerking kan worden gedaan.
Om onder het toepassingsgebied van de GDPR te vallen, moet de verwerking wel geautomatiseerdgebeuren óf in een bestand zijn opgenomen óf bestemd zijn om in een bestand te zijn opgenomen. Met andere woorden: mondelinge verwerkingen vallen hier niet onder. Het gaat het om wat daadwerkelijk ergens geregistreerd staat. Deze registratie kan echter zowel elektronisch zijn, als tastbaar op papier. Let dus op met het printen en opbergen: dit vormt een schat van persoonsgegevens, die moeilijk te overzien zijn!
Voorbeelden van verwerking: het raadplegen van klantgegevens, het versturen van publicitaire e-mails (“direct marketing”), het vernietigen van personeelsgegevens, het opslaan van sollicitatiegegevens, enzovoort.
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is een persoon of dienst die bepaalt waarom en hoe persoonsgegevens worden verwerkt. Die persoon of dienst kan dat alleen doen, of samen met anderen. In dat laatste geval moeten de gezamenlijke verwerkingsverantwoordelijken wel vastleggen wat hun wederzijdse verantwoordelijkheden zijn.
Op de verwerkingsverantwoordelijke rusten veel verplichtingen, zoals de informatieverplichting ten aanzien van de betrokkene wiens gegevens verwerkt worden. De verwerkingsverantwoordelijke moet er ook voor instaan dat de juiste technische en organisatorische maatregelen genomen worden om de gegevens te beschermen zoals de GDPR voor ogen heeft.
Als ik bij voorbeeld beslis een bestand bij te houden met al mijn klanten en hun lopende projecten, dan ben ik wat die verwerking betreft, verwerkingsverantwoordelijke.
Verwerker
De verwerker verwerkt persoonsgegevens in naam van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke en verwerker moeten dan ook in een overeenkomst (de verwerkersovereenkomst) de modaliteiten van de verwerking regelen, waaronder:
- de aard en het doel van de verwerking;
- de verschillende soorten persoonsgegevens die verwerkt zullen worden;
- de categorieën van betrokkenen wiens gegevens verwerkt zullen worden; en
- de rechten en plichten van beide partijen.
De verwerker zal dus nooit méér mogen doen met de persoonsgegevens dan wat hem is opgedragen door de verwerkingsverantwoordelijke.
Een variatie op het vorige voorbeeld: als ik beslis om voor de uitvoering van mijn beslissing om een bestand bij te houden met al mijn klanten en hun lopende projecten, een beroep te doen op een aanbieder van een CRM systeem, dan zal deze aanbieder voor mij een verwerker zijn.
Hybride situaties
Een organisatie zou dus per verwerkingsactiviteit moeten nagaan of de organisatie een verwerker of verwerkingsverantwoordelijke is. Met andere woorden: beslissen zij zelf over het doel en de middelen, of wordt hen dat opgelegd?
Het is dan ook mogelijk dat één en dezelfde organisatie zowel de rol van een verwerkingsverantwoordelijk als verwerker kan vervullen, voor verschillende verwerkingsactiviteiten.
Bij voorbeeld: als webdeveloper en -hoster hou ik een bestand bij van klanten voor wie ik websites host (en aan wie ik dus ook factureer). Voor deze verwerking ben ik verwerkingsverantwoordelijke. Als ik voor deze klanten op de gehoste websites ook onderhoud uitvoer, dan ben ik verwerker voor een verwerking waarvan mijn klant de verwerkingsverantwoordelijke is.
Conclusie
Het onderscheid tussen verwerkingsverantwoordelijke en verwerker is enerzijds zo cruciaal omwille van de verschillende verantwoordelijkheden, en anderzijds in sommige omstandigheden zo obscuur en delicaat, dat een grondige en objectieve analyse zeker aan te raden is. Bij de GDPR draait immers heel veel rond verantwoording en documentatie.
Heb je ook twijfels over je rol als verwerker of verwerkingsverantwoordelijke? Neem contact met onze specialisten via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen, Duygu Öztürk – CIPP/E, Privacy Chair deJuristen en Kris Seyen, Partner deJuristen