Advocatenkantoor Aalst

Privacy policy en digitalisering: de bescherming van persoonsgegevens

Marijke Everaert, Advocate

December 2021

Als ondernemer dient u rekening te houden met de regelgeving voor de verwerking van persoonsgegevens. De boetes die de Belgische gegevensbeschermingsautoriteit oplegt, kunnen immers aanzienlijk oplopen. Een bedrijf dat per ongeluk reclamemails had gestuurd naar een persoon die geen klant was, kreeg een boete van 10.000 EUR. Een ander bedrijf kreeg een boete van 15.000 EUR omdat het zijn verplichtingen inzake transparantie en toestemming voor cookies niet nageleefd had.


Wat is de algemene verordening gegevensbescherming?


Wanneer een onderneming gegevens verwerkt, moet er rekening worden gehouden met de regels van de Algemene Verordening Gegevensbescherming (hierna: AVG) of de General Data Protection Regulation (GDPR). De AVG bevat nieuwe privacyregels met als belangrijkste doel de persoonsgegevens nog beter te beschermen.


Enkele basisbeginselen bij het verwerken van persoonsgegevens


De AVG bepaalt dat zowel de verwerkers als de verwerkingsverantwoordelijken een aantal beginselen moeten naleven bij het verwerken van persoonsgegevens.


Volgende criteria zijn van belang: 


  • Rechtmatig, behoorlijk en transparant zijn
  • Een duidelijk omschreven doel hebben
  • Beperkt zijn tot het strikt noodzakelijke 
  • Juiste en geactualiseerde, accurate gegevens bevatten
  • Beperkt zijn wat betreft de opslag 
  • Beschermen tegen ongeoorloofde en onrechtmatige verwerking of vernietiging, verlies of beschadiging, m.a.w. integriteit en vertrouwelijkheid in acht nemen


Daarnaast voorziet de AVG een verantwoordingsplicht, waarbij de verwerker moet kunnen aantonen op welke grond de verwerking heeft plaatsgevonden.

De bewijslast wordt in de AVG omgekeerd. 

Overeenkomsten en toestemmingen dienen goed gedocumenteerd te worden.



Welke rechten heeft de betrokken persoon?


  • Recht op informatie en toegang tot persoonsgegevens
  • Recht op verbetering van onjuiste gegevens
  • Recht op verwijdering
  • Recht om verwerking te beperken
  • Recht van bezwaar
  • Recht van overdraagbaarheid van gegevens


Een aantal persoonsgegevens zoals contactgegevens, leveradressen en bankgegevens dienen verwerkt te worden bij ondernemingen die hun activiteit willen digitaliseren. 


De onderneming heeft al een database van potentiële klanten of heeft deze nog niet 


Het is belangrijk om een onderscheid te maken tussen ondernemingen die nog geen database hebben van potentiele klanten en tussen ondernemingen die echter wel over e-mailadressen van hun klanten beschikken. 


De onderneming heeft nog geen database van potentiele klanten.


Essentieel hierbij is de identificatie van het doel waarom de onderneming de gegevens nodig heeft.  Het kan bijvoorbeeld gaan over diensten die op afstand geleverd worden of er kunnen louter advertentiemails worden gestuurd.


De AVG verplicht dat het verzamelen van gegevens zoveel mogelijk moet worden beperkt en dat gegevens die niet echt nodig zijn niet mogen worden bijgehouden.


Alle verwerkingen moeten gebaseerd zijn op een rechtsgrond waarvan we de meest gebruikte hierna vermelden: 


  1. Uitvoering van een met een natuurlijke persoon gesloten overeenkomst. 
  2. Rechtmatig belang van de onderneming
  3. Een wettelijke verplichting bv het bewaren van bepaalde gegevens 
  4. Bescherming van de vitale belangen
  5. Toestemming van de betrokkene die vrij, specifiek, geïnformeerd, ondubbelzinnig en expliciet moet zijn en ten allen tijde kan worden ingetrokken


Er dient een register van verwerkingsactiviteiten te worden bijgehouden om bepaalde informatie door te sturen naar de personen van wie ze de gegevens verzamelt. Aan deze personen moet worden uitgelegd welke gegevens worden bijgehouden en waarom deze worden bewaard. Verder dienen de gegevens te worden opgeslagen en beveiligd. Belangrijke gegevens vereisen een hoger beveiligingsniveau. 


De onderneming heeft al een database met e-mails met klantgegevens


De onderneming zal moeten nagaan of het nieuwe doel - bijvoorbeeld de uitvoering van een e-commercedienst of een marketingactie - overeenstemt met het oorspronkelijke doel waarvoor de gegevens zijn verzameld en ook na te gaan onder welke omstandigheden de oorspronkelijke gegevens zijn verzameld.  

Verder dient te worden onderzocht of de onderneming de toestemming van de betrokken personen nodig heeft en of deze regelgeving voldoet aan het Koninklijk Besluit van 4 april 2003 voor de toepassing van de elektronische marketing.


Wanneer is reclame toegelaten zonder voorafgaande toestemming?


Reclame per e-mail is toegelaten zonder voorafgaande toestemming van de personen indien aan de volgende drie cumulatieve voorwaarden is voldaan:


  1. De contactgegevens werden verkregen in het kader van de verkoop van een product of een dienst waarbij er rekening werd gehouden met de regels inzake de bescherming van de persoonlijke levenssfeer.
  2. De reclame heeft betrekking op producten of diensten die te vergelijken zijn met reeds eerder aangekochte producten of die de onderneming zelf levert.
  3. De klanten van de onderneming kunnen zich eenvoudig verzetten tegen het verzenden van e-mails i.v.m. reclame


Bezint dus eer je begint en laat u begeleiden door me legal om na te kijken of u aan de regelgeving inzake de bescherming van persoonsgegevens voldoet. Me legal adviseert u op diverse vlakken inzake de privacywetgeving ook bij de digitalisering van uw bedrijf. Lees verder ook onze nieuwsbrief waar wij advies geven over het aanmaken van een webshop.


 

Copyright © Alle rechten voorbehouden

Advocatenkantoor Aalst

Over me-legal

Me-legal is een dynamisch advocatenkantoor te Aalst, gespecialiseerd in ondernemingsrecht, contractenrecht, bouwrecht en fiscaal recht.

Contacteer ons

+32 476 216 215

info@me-legal.be

Parklaan 13, 9300 Aalst

Juridische informatie

ALGEMENE VOORWAARDEN

PRIVACY POLICY

COOKIE POLICY

TARIEVEN

DISCLAIMER