Intro

De invulling van het gegeven ‘privacy’ is afkomstig uit het Amerikaanse recht en staat voor “het recht om gerust gelaten te worden”. Deze omschrijving sluit nog steeds aan bij wat op dit ogenblik in het Belgische recht onder de notie privacy wordt verstaan. Een onderdeel van de algemene privacybescherming is de bescherming van persoonsgegevens. Van oudsher wordt de notaris gezien als de hoeder van de integriteit van (persoons)gegevens. Logischerwijze zal deze rol ook moeten doorgetrokken worden naar de digitale gegevens, de zogenaamde ‘data’.

De Algemene Verordening Gegevensbescherming (AVG), beter gekend als de GDPR (General Data Protection Regulation), is sinds mei 2016 de langverwachte opvolger van de Privacy Richtlijn van het Europees Parlement en de Raad (95/46/EG), die sinds 1995 van kracht was, doch minder en minder aansluiting kon vinden met de hedendaagse – digitale – wereld. De AVG wordt pas afdwingbaar vanaf 25 mei 2018. De tussenperiode van twee jaar geeft de ondernemingen, organisaties en toezichthouders de mogelijkheid zich goed en wel voor te bereiden voor ‘Data Protection D-day’ op 25 mei 2018.

[…]

Dit artikel is een ingekorte versie van een recente publicatie in Tijdschrift Notarieel Management (TNM). Voor meer informatie over TNM en haar abonnementen, klik hier. Inschrijven kan ook via het onderstaande bestelformulier.

De 99 artikels van de AVG zijn van toepassing op de notaris, die vervolgens concreet invulling dient te geven aan de begrippen ‘persoonsgegeven’ (1) en ‘verwerken’ (2).[1]

Persoonsgegevens (1)

Om een correcte inschatting te geven aan de AVG dient men vooreerst te weten en vervolgens te bepalen wat een ‘persoonsgegeven’ is, aangezien de AVG van toepassing is op alle mogelijke persoonsgegevens. Gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens. Voor de hand liggende persoonsgegevens zijn naam- en adresgegevens, maar ook gegevens die een waardering over een persoon geven, zoals bv. iemands IQ, zijn persoonsgegevens.

Verwerken (2)

De tweede grote vraag die volgt indien men geconfronteerd wordt met een persoonsgegeven is de vraag of dit persoonsgegeven wordt “verwerkt”. Onder verwerken wordt verstaan iedere bewerking of elk geheel van bewerkingen m.b.t. persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. Kort gesteld, kan men voorhouden dat indien iets gebeurt met een persoonsgegeven in een digitale omgeving, dit een verwerking zal uitmaken die dient te voldoen aan de regels van de AVG.

Verwerkers en verwerkingsverantwoordelijken (3)

Nu men weet dat men een persoonsgegeven aan het verwerken is en dat men zal moeten voldoen aan de regels van de AVG, zal men zichzelf twee verschillende rollen kunnen toebedelen, namelijk enerzijds de rol van verwerker of anderzijds de rol van verwerkingsverantwoordelijke. Men kan ook beide rollen tegelijk uitoefenen.

[…]

Nu de notaris weet welke persoonsgegevens (1) hij of zij verwerkt (2) en deze weet of men enkel verwerkingsverantwoordelijke, verwerker of beiden (3) is, dient de notaris de regels en principes van de AVG te respecteren

Principes

De AVG stelt dat de verwerking van persoonsgegevens steeds ten dienste moet staan van de mens en dat het recht op bescherming van persoonsgegevens geen absolute gelding heeft, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en conform het evenredigheidsbeginsel tegen andere grondrechten moet worden afgewogen. Zo dient iedere verwerking van persoonsgegevens behoorlijk en rechtmatig te geschieden. Diegene die persoonsgegevens verwerkt, moet transparant zijn over het feit dat persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt.

[…]

Rechtmatige verwerking

[…]

De rechten van de betrokkene

De AVG creëert nieuwe rechten voor de betrokkene en versterkt enkele rechten die reeds onder de bestaande wet bestaan.

• Recht op informatie. De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem of haar te worden meegedeeld bij het verzamelen bij de betrokkene van de gegevens.
• Recht van inzage. Een betrokkene moet het recht hebben om de persoonsgegevens die over hem of haar zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij of zij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren.
• Recht op rectificatie. De betrokkene heeft recht op rectificatie van onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens.
• […]
• […]
• Recht van bezwaar. Een betrokkene kan omwille van redenen die verband houden met zijn of haar specifieke situatie gebruik maken van dit recht van bezwaar tegen de verwerking van persoonsgegevens indien voldaan wordt aan de in de Verordening bepaalde eisen.

[…]

Register van verwerkingsactiviteiten

[…]

Functionaris voor gegevensbescherming – DPO

De verwerkingsverantwoordelijke en de verwerker moeten een functionaris voor gegevensbescherming (DPO – Data Protection Officer) aanwijzen in elk geval waarin de verwerking wordt verricht door een verwerkingsverantwoordelijke of de verwerker die hoofdzakelijk belast is met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen. De aanstelling van een DPO is dus enkel en alleen afhankelijk van de specifieke activiteiten van de onderneming in kwestie.

[…]

Persoonsgegevensbeveiliging & meldplicht datalekken

[…]

Sancties & boetes

Last but not least komen we bij één van de grotere redenen waarom privacy en data protection plots een uitermate hot item zijn geworden. Het overtreden van de Algemene Verordening Gegevensbescherming kan namelijk verschillende financiële sancties opleveren waardoor de Gegevensbeschermingsautoriteit (i.e. de Privacy commissie) met de AVG scherpe tanden heeft gekregen om te bijten wanneer de AVG-regels niet worden gerespecteerd.

In het geval van een eenmalig onbedoelde overtreding zal in eerste instantie een waarschuwing worden verstuurd. Bij ernstige of meermalige overtredingen kan er een boete van maximaal 20 miljoen euro of 4% van de jaarlijkse omzet worden opgelegd. De boetes worden bepaald in functie van de ernst van de inbreuk op de AVG-regels. Dergelijke boetes zijn dan ook een stevige stok achter de deur voor de Gegevensbeschermingsautoriteit om organisaties die onverantwoord omgaan met persoonsgegevens op de vingers te tikken en hen tot de orde te roepen.

Olivier Vandeputte, Advocaat – Sherpa Law

Noot:
[1] De AVG is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit.