Het verzamelen van persoonsgegevens kan niet iedereen zomaar doen. Dat was onder de vorige/nog geldende wetgeving ook wel al zo, maar het wordt onder de GDPR allemaal wat strikter en strenger.

• a. (Welke) persoonsgegevens?

  Het gaat om elke vorm van informatie die (on)rechtstreeks naar een natuurlijke persoon kan leiden. Dat is heel breed. Niet alleen de (persoons)gegevens die u op papier hebt staan, maar ook de digitale gegevens van een klant (denk bijvoorbeeld maar aan zijn/haar IP-adres, gebruikersnamen,…), beeld- en klankmateriaal, locatiegegevens, social media gegevens, gegevens over de betrokkene zijn medische geschiedenis, zijn (politieke) voorkeuren, zijn lidmaatschap bij een vakbond, zijn kredietwaardigheid,…

  De GDPR viseert trouwens persoonsgegevens. Alle data van rechtspersonen die u in uw systeem hebt staan, vallen hier dus niet onder. Aan te stippen valt ook dat het niet alleen om gegevens van uw klanten gaat, maar ook om gegevens die u verzamelt van uw leveranciers, personeel,… Kortom, van zodra u persoonsgegevens in de meest ruime betekenis

• b. Toestemming van de klant om de persoonsgegevens te verwerken

  Vanaf mei 2018 hebt u een weloverwogen toestemming nodig om de persoonlijke gegevens van de klant te gebruiken. Dat wil zeggen dat u op geen enkele wijze en voor geen enkel doel aan verwerking van persoonsgegevens mag doen, zonder dat de individuele klant daarvan op de hoogte is en daarmee uitdrukkelijk heeft ingestemd. Die toestemming moet vrijwillig, onmiskenbaar, actief, geïnformeerd en voor elk specifiek, individueel doel worden gegeven.

  Die verplichting geldt ongeacht of de gegevens rechtstreeks van de klant komen of onrechtstreeks werden verkregen.

  Om de gegevens van minderjarigen (jonger dan 16 jaar) te verzamelen, hebt u de toestemming van ouders of voogd nodig. Uw privacyverklaring moet dus ook begrijpelijk opgesteld worden voor minderjarigen.

  Ten slotte moet u er ook nog rekening mee houden dat de instemming door de klant gewoon kan ingetrokken worden.

• c. Verwerken?

  Iedere al dan niet (geheel of gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens wordt geviseerd door de GDPR. Het ‘verwerken’ moet u opnieuw erg breed interpreteren. Het gaat om de verzameling, de bewaring, de ordening, de aanpassing, het gebruik, de consultering, de verspreiding, het samenbrengen en met elkaar in verband brengen, het wissen, afschermen, vernietigen… van gegevens. U mag er gerust van uitgaan dat, indien er iets gebeurt met de gegevens, u zal onderworpen zijn aan de GDPR.

• d. Rechten van de betrokkenen m.b.t. de persoonsgegevens

  Nadat de toestemming werd gegeven, heeft de persoon van wie u de gegevens bijhoudt een heel aantal rechten die u moet respecteren. Zo is er in eerste instantie het recht op informatie en om toegang te krijgen tot de bijgehouden persoonsgegevens. De persoon van wie u gegevens bijhoudt, heeft het recht om bijkomende informatie te ontvangen over o.a.:

  • de bron van de persoonsgegevens
  • de verwerkingsinformatie (wie zijn de ontvangers van de informatie, waar wordt de data verwerkt, wat is het doel van de verwerking,…)
  • de termijnen gedurende dewelke u informatie bijhoudt
  • de beoogde gevolgen van de verwerking
  • de bevestiging of het gaat om een geautomatiseerde verwerking van de gegevens
  
  

  U moet een gratis kopie verstrekken van de verwerkte persoonsgegevens en dat in principe uiterlijk vier weken na het verzoek.

  Indien men merkt dat er bepaalde informatie foutief of onvolledig werd opgeslagen, kan men u verzoeken om de gegevens te verbeteren of te vervolledigen. U moet in principe binnen de maand op dit verzoek reageren. U moet ook derden, aan wie deze gegevens werden bezorgd, hierover informeren en aan de betrokkene meedelen aan welke derden de persoonsgegevens werden doorgestuurd. Daarnaast kan men u vragen om de gegevensverwerking te beperken.

  Tenzij wettelijk bepaald of indien het noodzakelijk is voor de uitvoering van de overeenkomst en indien men ernstige en gerechtvaardigde redenen kan doen gelden, kan de persoon van wie u gegevens bijhoudt zich verzetten tegen een (geautomatiseerde) verwerking van zijn gegevens. Houdt u bijvoorbeeld gegevens bij in functie van direct marketing, dan kan de betrokken persoon zich zelfs kosteloos en zonder verantwoording tegen de verwerking van zijn gegevens verzetten. Dat recht moet uitdrukkelijk opgenomen zijn in de privacy policy van uw bedrijf. Direct marketing slaat op een vorm van marketing waarbij een bedrijf rechtsreeks individuele (potentiële) klanten benadert.

  Verder zijn er ook nog regels rond profilering van klanten/prospecten, in die zin dat men zich kan verzetten tegen elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij bepaalde aspecten van een natuurlijke persoon worden geëvalueerd met de bedoeling om zijn/haar beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

  Daarnaast is er het recht om onmiddellijk verwijderd te worden of zelfs vergeten te worden, al geldt dat slechts voor een specifiek aantal gevallen (zoals bijv. wanneer de data illegaal werden verwerkt). U moet met andere woorden in staat zijn om op eenvoudig verzoek alle gegevens van de betrokken klant te verwijderen. Het recht om vergeten te worden vereist van u dat u al het redelijke moet doen om partijen aan wie u de gegevens hebt doorgegeven ertoe aan te zetten om verwijzingen naar of koppies van die persoonsgegevens te wissen. Als onderneming moet u er zeker van zijn dat, wanneer men hierom verzoekt, de persoonsgegevens op een correcte en efficiënte manier worden verwijderd. Er werd wel voorzien in de mogelijkheid om in een aantal gevallen de vraag tot verwijdering te weigeren.

  Nieuw is ten slotte dat de persoon van wie u gegevens bijhoudt het recht heeft om zijn of haar persoonsgegevens te laten overdragen aan een andere verwerker. De gegevens moeten gratis worden overgedragen, in principe opnieuw binnen een tijdspanne van vier weken, in een gestructureerde, gangbare en leesbare vorm. Dat kan enkel voor gegevens die de betrokken persoon heeft verstrekt gebaseerd op toestemming of na overeenkomst.