“GDPR” is ondertussen een wel besproken topic. Nog even de basisprincipes op een rijtje. Moet u met uw vennootschap, eenmanszaak of vzw deze regeltjes volgen?

Voor wie? “All companies” moeten “GDPR-proof[1]” zijn. Uitsluitend natuurlijke personen die enkel en alleen persoonlijke of huishoudelijke activiteiten uitvoeren, vallen buiten het toepassingsgebied van de verordening[2]. Deze activiteiten mogen niets te maken hebben met het uitoefenen van een beroep of het drijven van handel. Voorbeelden van deze persoonlijke activiteiten zijn, het voeren van gesprekken, het houden van adresbestanden, sociaal netwerken en gerelateerde online-activiteiten.

Dus ook eenmanszaken, vzw’s, groeperingen, etc. Nu het duidelijk is wie GDPR niet moet toepassen, is het ook duidelijk wie er wel rekening mee moet houden. Zowel grotere ondernemingen als kleine KMO’s, een eenmanszaak of een vzw vallen onder de verplichte regelgeving. Of uw onderneming daadwerkelijk aan alle verplichtingen van deze regelgeving moet voldoen, is afhankelijk van enkele factoren[3]. Echter, GDPR heeft een impact op elk bedrijf.

Waarom GDPR? Economische en sociale integratie leidt tot een aanzienlijke toename van grensoverschrijdende stromen van persoonsgegevens. Ook de uitwisseling van gegevens tussen publieke en particuliere actoren is toegenomen. Door de snelle technologische uitwikkelingen en globalisering zijn nieuwe uitdagingen ontstaan voor de bescherming van de persoonsgegevens. De mate waarin persoonsgegevens worden verzameld en gedeeld is significant gestegen. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Ondanks dat men deze gegevens opgeeft, wensen we als persoon uiteraard een overzicht te behouden wie over welke gegevens beschikt, hoe deze worden gebruikt, etc. De GDPR-regels zorgen voor de juiste rechten en plichten van bescherming omtrent deze gegevens.

Diverse aspecten van GDPR. De GDPR-regels omvatten verschillende aspecten. GDPR stelt regels in omtrent de bewustwording van het privacybeleid binnen een onderneming, het houden van een dataregister, het recht om “vergeten” te worden, het aanpakken van datalekken, de verzoeken tot inzage in gegevens, de bescherming van de persoonsgegevens, het toestemming vragen, de functionaris voor de gegevensbescherming, etc.

Maatwerk. Elke onderneming die met data bezig is, moet de GDPR-regels “op maat” invoeren. Er bestaan geen standaarddocumenten die voor iedere onderneming kunnen gelden. De gegevens dienen concreet en passend te worden ingevuld.

Gevolgen. De regels omtrent GDPR genereren aanzienlijke gevolgen voor ondernemingendie privacygevoelige data verwerken. De administratieve geldboeten die kunnen worden opgelegd moeten doeltreffend, evenredig en afschrikwekkend zijn. Rekening houdende met diverse factoren kan de administratieve boete oplopen tot € 20.000.000 of tot 4 % van de totale wereldwijde jaaromzet van het voorgaande boekjaar[4].

Wie is beschermd? De bescherming door de verordening geboden is voor natuurlijke personen. De verwerking van gegevens van rechtspersonen zoals de naam, de rechtsvorm en de contactgegevens worden niet beschermd.

Lees meer over GDPR in het artikel “moet uw onderneming een data protection officer onder de arm nemen?”  

 [1] “General Data Protection Regulation” of “de Algemene Verordening Gegevensbescherming”.

[2] Art. 2, 2., c) Privacyverordering.

[3] Zoals bijvoorbeeld de verplichting om een DPO aan te stellen. Graag verwijzen wij naar het nieuwsje “moet uw onderneming een data protection officer onder de arm nemen?”

[4] Art. 83 Privacyverordening.