De AVG en het Register van Verwerkingsactiviteiten

De nieuwe algemene verordening inzake gegevensbescherming (afgekort GDPR in het Engels en RGPD in het Frans) treedt in werking op 25 mei 2018. Deze verordening brengt heel wat veranderingen teweeg, die rechtstreeks van toepassing zijn in de Belgische wetgeving. Bedrijven zijn onderworpen aan belangrijke verplichtingen met het oog op een verhoogde transparantie- en beschermingsgraad inzake persoonsgegevens, en het wordt tijd om in het vooruitzicht van 2018 de nodige procedures op te starten.

Een van de nieuwe verplichtingen die door de Europese verordening zijn opgelegd, betreft onder andere het bijhouden van een ​​register van verwerkingsactiviteiten. Alle bedrijven die persoonsgegevens verwerken waren tot nu toe verplicht om een voorafgaandelijke verklaring aan de Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL) in te dienen (behalve voor enkele uitzonderingen). Vanaf 25 mei 2018 wordt deze aangifteverplichting afgeschaft maar moeten bedrijven een register bijhouden die aan de CBPL moet kunnen worden voorgelegd op eerste verzoek ingeval van controle.

Deze verplichting is niet alleen opgelegd t.a.v. de verwerkingsverantwoordelijke maar ook aan de onderaannemer, wat een nieuwigheid is. De reikwijdte van de gegevensbescherming is dus sterk verruimd en een groot aantal bedrijven zijn voortaan in het vizier. Uiteraard zijn bedrijven die actief zijn in de IT-sector geviseerd, maar niet alleen die. Nagenoeg alle bedrijven verwerken immers persoonsgegevens, bijvoorbeeld voor het beheer van de zaken en het personeel.

Meer bepaald dient volgende verwerkingsinformatie in het register te worden opgenomen: de verwerkingsdoeleinden, welke categorieën van personen betrokken zijn bij het verwerken van de persoonsgegevens, wie zijn de bestemmelingen van de persoonsgegevens, hoe worden de gegevens beveiligd, waar worden ze bewaard, aan wie worden ze overgedragen, …

Op 14 juni 2017 heeft de CBPL een aanbeveling uitgevaardigd (FR / NL) om bepaalde punten te verduidelijken en de praktische naleving te vergemakkelijken. Het bijhouden van een dergelijk register is belangrijk aangezien sancties, o.a. van financiële aard, kunnen worden opgelegd bij ontstentenis van het verwerkingsregister. De sancties zijn niet onaanzienlijk en kunnen in sommige gevallen maximaal € 10.000.000 of 2% van de totale jaarlijkse omzet van het vorig boekjaar bedragen (het hoogste bedrag is de maximumlimiet).

Op een of andere manier hebt u waarschijnlijk iets te doen met de nieuwe regelgeving. Het Cairn Legal team heeft een programma opgezet en tools ontwikkeld om u te helpen bij de naleving van uw plichten. Aarzel niet om advocaat Guillaume RUE (guillaume.rue@cairnlegal.be) te contacteren voor meer informatie.

Met vriendelijke groeten.

Het Cairn Legal Team

Advocaten Vennoten Frédéric de Patoul | Pierre Philippe Harmel | Frank Weinand | Didier Chaval | Bernard Vandenkerckhove | Carl Vander Espt | Guillaume Rue |

Advocaten Dorothée Cardon de Lichtbuer | Julie Docquier | Virginie Schoonheyt | Bojana Salovic | Bertrand Margraff | Frédéric Paque