- Persoonsgegevens zijn “alle informatie over een natuurlijke persoon waardoor deze direct of indirect kan geïdentificeerd worden”. Dat zijn gegevens zoals naam, identificatienummer, locatiegegevens, telefoonnummers, e-mailadressen en online identificators (bv. info verkregen door gebruik van tracking cookies). Maar ook gegevens met betrekking tot de fysieke, genetische, psychische, culturele of sociale identiteit van een natuurlijke persoon vallen onder de GDPR-regelgeving.
- Je checkt best welke gegevens je zoal bijhoudt over je werknemers en welke je met je sociaal secretariaat deelt. Idem voor de gegevens die je eventueel bijhoudt van mensen die voor je bedrijf komen solliciteren.
- Vaak denkt men dat verwerken een verregaande vorm van manipulatie inhoudt, zoals bijvoorbeeld het doorsturen van die gegevens naar een derde partij. Vergis je echter niet, het louter verzamelen van gegevens is al voldoende om van een verwerking te spreken!
Tip! Vermeld duidelijk het doel van je gegevensverwerking in je algemene voorwaarden (of andere contractuele modellen) en op je website.
GDPR impliceert niet dat je steeds de expliciete toestemming moet hebben om persoonsgegevens te verwerken. Maar bij het verwerken van persoonsgegevens moeten de volgende zaken ALTIJD nageleefd worden:
- Verwerk de gegevens op een rechtmatige, behoorlijke en transparante wijze. De gegevens moeten verwerkt worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.
- De verwerkte gegevens moeten relevant zijn voor wat je ermee wilt doen. Om een klant te factureren heb je bijvoorbeeld zijn geboortedatum niet nodig.
- De verwerkte gegevens moeten correct zijn en onjuiste gegevens moeten zo snel mogelijk gewist of gecorrigeerd worden.
- Gegevens mogen slechts bewaard worden voor een termijn die noodzakelijk is voor de doeleinden van de verwerking. Stel je dus af en toe de vraag of het nog nuttig is oude gegevens te bewaren.
- De verwerkte gegevens moeten op passende wijze worden beveiligd tegen ongeoorloofde verwerking en onopzettelijk verlies.
Lees hoe het zit met de toestemming van de betrokkene.
-
De toestemming van de betrokkene
De basisregel van GDPR is dat de gebruiker uitdrukkelijk en met een actieve handeling toestemming moet geven voor het bewaren en verwerken van zijn persoonlijke gegevens.