Het register van verwerkingsactiviteiten: een must voor ondernemingen (Van Steenbrugge Advocaten)

Privacy & Gegevensbescherming | 25 juni 2021

Auteur: Elisah Vanhecke (Van Steenbrugge Advocaten)
Publicatiedatum: 18/06/2021

Als onderneming dient u volgens de privacywetgeving te beschikken over een ‘register van verwerkingsactiviteiten’. In dit register dient u bepaalde informatie op te nemen over de persoonsgegevens die u bewaart en verwerkt. Bij een controle door de Gegevensbeschermingsautoriteit zal dit register als eerste (verificatie) document worden opgevraagd. Indien blijkt dat u niet over het register beschikt, kunnen hoge geldboetes worden opgelegd.

Wat?

Als onderneming dient u intern te registreren welke persoonsgegevens[1] (van klanten, leveranciers, werknemers, enzovoort) u verwerkt[2]. Deze wettelijke verplichting tot het bijhouden van het zogenaamde ‘register van de verwerkingsactiviteiten’ (artikel 30 van de Algemene Verordening Gegevensbescherming, hierna: AVG), is slechts uitzonderlijk niet van toepassing.[3]

Het ‘register van verwerkingsactiviteiten’ is een controlemiddel voor de Gegevensbeschermingsautoriteit aangezien het een overzicht geeft van alle verwerkingen binnen de onderneming.

Het register is niet publiek, maar kan door de Gegevensbeschermingsautoriteit opgevraagd worden ter inzage.

Vorm?

De AVG bepaalt enkel dat het register in schriftelijke vorm en ook elektronisch moet worden bijgehouden.

Een in de praktijk vaak gebruikte vorm is een eenvoudig Excelbestand. Daarnaast zijn intussen ook allerhande softwaretools en onlineplatformen beschikbaar.

Inhoud?

Het betreft een register van verwerkingsactiviteiten. Het register bevat zodoende geen eigenlijke persoonsgegevens, maar enkel een opsomming van de verwerkingen (of dus een omschrijving van het gebruik van de persoonsgegevens).

Voor een onderneming-verwerkingsverantwoordelijke[4] moet het register minstens volgende gegevens bevatten:

de naam en contactgegevens van de verantwoordelijke(n) en de functionaris voor gegevensbescherming binnen de onderneming (als u die hebt aangesteld);
de verwerkingsdoeleinden (bijvoorbeeld voor klantenbeheer, leveranciersbeheer, personeelsbeheer, enzovoort);
de categorieën van betrokkenen (van wie worden de gegevens verwerkt?) en persoonsgegevens (bijvoorbeeld identificatiegegevens, financiële gegevens, beeld- of geluidsopnames, enzovoort);
de categorieën van ontvangers van persoonsgegevens (aan wie worden de persoonsgegevens doorgegeven: handelspartners, politie en justitie, enzovoort?);
eventuele doorgiften van persoonsgegevens aan een derde land (buiten de EU en de EER) of een internationale organisatie;
bewaringstermijnen (per verwerkingsdoeleinde en in dagen, maanden, jaren of parameters – bijvoorbeeld de tijd nodig om het nagestreefd doeleinde te verwezenlijken, de uitdoving van een verjaringstermijn, enzovoort);
beschrijving van de genomen technische en organisatorische beveiligingsmaatregelen ter bescherming van de gegevens

Bewaringstermijn?

De AVG bepaalt niets omtrent hoe lang een verwerkingsactiviteit in het register dient te worden bijgehouden nadat de betrokken verwerking beëindigd is.

De Gegevensbeschermingsautoriteit raadt aan om verwerkingsactiviteiten die worden stopgezet nog vijf jaar in het register op te nemen, aangezien controles van de Gegevensbeschermingsautoriteit tijdens voormelde termijn nog mogelijk zijn.

Gelet op die omstandigheden, is het aangewezen om in het register een extra kolom te voorzien met vermelding van de begin- en einddatum van elke verwerking.

Updaten!

Het register moet steeds up-to-date zijn, in die zin dat een nieuwe verwerkingsactiviteit of een wijziging in de verwerkingsactiviteiten dient geregistreerd te worden.

Het is dan ook aangewezen om medewerkers binnen de onderneming alert te maken voor het feit dat bij de opstart van nieuwe projecten wellicht ook nieuwe verwerkingsactiviteiten in het register zullen moeten worden opgenomen en de verantwoordelijke binnen de onderneming daarover dient geïnformeerd te worden.

Sanctie?

Het ontbreken van een register van verwerkingsactiviteiten of een onvolledig register kan worden gesanctioneerd met een administratieve geldboete tot 10.000.000 euro of tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, als dit cijfer hoger is.

***

[1] Persoonsgegevens betreffen alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (geen rechtspersonen).
[2] Het betreft onder meer het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens.
[3] Ondernemingen die minder dan 250 werknemers tewerkstellen dienen geen register bij te houden, tenzij: (i) de verwerking waarschijnlijk een risico inhoudt voor de betrokkenen (van wie persoonsgegevens worden verwerkt) of (ii) de verwerking bijzondere/gevoelige gegevens betreft (waaronder gezondheidsgegevens) of (iii) de verwerking niet occasioneel is (d.i. niet bij gelegenheid, toeval of onvoorzien – bijvoorbeeld de verwerking van persoonsgegevens bij de organisatie van een wedstrijd ter gelegenheid van het dertigjarig bestaan van de onderneming). Van voormeld (i) risico, (ii) verwerking van gevoelige gegevens (zoals gezondheidsgegevens van werknemers) en (iii) de gewoonlijke verwerking van persoonsgegevens (bijvoorbeeld door het bijhouden van een klantenbestand, personeelsbestand en/of in geval van leveranciersbeheer) zal bijna steeds sprake zijn, waardoor ook de meeste KMO’s een register dienen bij te houden. Ook in een zuivere B2B-context verwerken ondernemingen immers persoonsgegevens van (contactpersonen bij) klanten en leveranciers.
[4] Als onderneming bent u verwerkingsverantwoordelijke indien u het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. U beschikt meer in het bijzonder over de beslissingsbevoegdheid wat betreft de verwerking.