Waarom ontsnapt ook je service-, sport-, hobbyclub of jeugdbeweging niet aan GDPR? (VDV Advocaten)

Auteur: Maarten Verhaghe (VDV Advocaten)

Publicatiedatum: 05/05/2018

De Europese verordening zal een grondige hervorming in het omgaan met persoonsgegevens met zich meebrengen. Deze hervorming zal te voelen zijn in alle onderdelen van de maatschappij.

De jeugdbeweging, het beursgenoteerd bedrijf, de overheid, de plaatselijke vereniging, de groentenboer, … allemaal zullen zij de GDPR moeten implementeren en het bewustzijn creëren dat de bescherming van persoonsgegevens een grondrecht is.  Een grondrecht, gegarandeerd in het Handvest van de grondrechten van de Europese Unie.

GDPR, niet enkel van toepassing op ondernemingen.

De GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) kent een heel ruim toepassingsgebied, zowel territoriaal, materieel als personeel.

Dit blijkt duidelijk uit de definities en bepalingen van de verordening:

  1. De verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke of een verwerker, wanneer deze een vestiging hebben binnen de EER en de verwerking van persoonsgegevens kadert binnen hun activiteiten. De plaats waar de verwerking plaatsvindt, heeft geen belang;
  2. Bij de verwerking van persoonsgegevens zoals het verzamelen, het ordenen, het vastleggen, het wijzigen, … is het onbelangrijk wat de nationaliteit en verblijfplaats van de betrokkene is.. Aan de hand van deze omschrijvingen kan enkel “een vestiging of verwerker binnen de EER” als criterium voor de toepassing van de GDPR worden weerhouden. Bijgevolg is iedereen die binnen de EER gevestigd is, onderworpen aan de GDPR.

Deze analyse zou, binnen het internationaal kader, als gevolg hebben dat enkel de internationale organisatie met een vestiging of verwerker binnen de EER gehouden is om maatregelen te implementeren om GDPR-compliant te zijn.

Zo’n redenering zou een mogelijke achterpoort aangeven om aan de GDPR te ontsnappen, meer bepaald het opzetten van een internationale organisatie zonder enige vestiging of verwerker binnen de EER. Waardoor de verwerking van persoonsgegevens buiten de EER van betrokkenen binnen de EER uit het toepassingsveld van de GDPR zou vallen.

De Europese wetgever heeft echter voorzien in een bijkomend criterium. Het betreft meer bepaald de verwerking van persoonsgegevens van betrokkenen die zich binnen de EER bevinden, dit bij verkoop van goederen of diensten aan deze betrokkenen, alsook de monitoring of profilering van voormelde betrokkenen.

Hierdoor is de GDPR ook van toepassing op de verwerkingsverantwoordelijke die geen vestiging of verwerker heeft binnen de EER, maar goederen en diensten, al dan niet tegen betaling, aan betrokkene in de EER aanbiedt of deze betrokkenen aan monitoring of profilering onderwerpt.

GDPR, voor wie?

Om na te gaan wat het personeel toepassingsgebied is (wie zich aan de regelgeving van de GDPR moet  houden) dienen enkele definities die in de GDPR weerhouden en uitgelegd worden, onder de loep te worden genomen :

  1. De verwerkingsverantwoordelijke, zoals omschreven in artikel 4 van de GDPR, is een natuurlijke persoon of een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen het doel en de middelen de verwerking vaststelt;
  2. De verwerking, wordt omschreven als een bewerking van persoonsgegevens al dan niet via geautomatiseerde procedés;
  3. Het bestand, een gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, zonder rekening te houden dit gecentraliseerd of gedecentraliseerd is.

Door deze termen en hun respectievelijke definities samen te lezen kan worden besloten dat er geen rekening moet worden gehouden met het feit dat de verwerkingsverantwoordelijke een handelaar is of niet.

Natuurlijke personen, rechtspersonen (vennootschappen, verenigingen, feitelijke verenigingen, …) en zelfs overheden dienen de GDPR toe te passen.

Enkel en alleen is er de voorwaarde van verwerking, meer bepaald een gehele of gedeeltelijke geautomatiseerde verwerking en zelfs een niet-geautomatiseerde verwerking. Dit houdt in dat de GDPR van toepassing is op alle vormen van verwerking, zonder dat sprake is van het gebruik een computer of enig ander apparaat/systeem, die een procedé mogelijk maakt. Er dient enkel sprake te zijn van een toegankelijke structuur.

Dit ruim personeel toepassingsveld brengt natuurlijk implicaties voor het verenigingsleven, zowel binnen het vrijetijd als professionele verenigingsleven, met zich mee:

  • Een korte kijk op het vrijetijd gebeuren doet al enkele rode vlaggen verschijnen: de plaatselijke voetbalclub, de tekenacademie, de feitelijke carnaval vereniging, de jeugdbeweging, … ;
  • Ook in het professionele verenigingsleven zal de GDPR zijn impact kennen, denk maar aan: de serviceclub, de actieve VZW, netwerkorganisaties, ….

Duidelijk is dat bovenstaande verenigingen en organisaties vaak gevoelige gegevens (gegevens van minderjarigen, rijksregisternummers, gezondheidsgegevens, politieke opvatting of lidmaatschap, …) verwerken waardoor een verregaande GDPR-implementatie zich opdringt.

Uitzonderingen?

De uitzonderingen op de toepassing van de GDPR zijn beperkt en zijn terug te vinden in de overwegingen van de verordening, meer bepaald:

  • Het verwerken van anonieme persoonsgegevens, waar de betrokkene niet meer identificeerbaar is. Onder meer voor statische of onderzoeksdoeleinden (Overweging 26);
  • De verwerking van persoonsgegevens door een natuurlijke persoon in een louter persoonlijke of huishoudelijke activiteit, die geen enkel verband houdt met een beroeps- of handelsactiviteit (Overweging 18);
  • De persoonsgegevens van overleden personen, tenzij de lidstaten zelf regels vaststellen voor de verwerking van deze persoonsgegevens (Overweging 27).

Conclusie

Ondanks het ruime toepassingsveld, is de wetgever erin geslaagd de GDPR technologieneutraal te maken. Door deze neutraliteit/onafhankelijkheid van technologie zal deze wetgeving een blijvend, standvastig karakter kennen.  Ze zal weinig of geen invloed ondergaan van de snelle technologische ontwikkelingen of de toenemende globalisering.

Meer nog, iedere vorm van omzeiling wordt beperkt en de rechten van de betrokkenen worden in de meest brede zin van het woord beschermd.

Lees hier het originele artikel