Vanaf de inwerkingtreding van de GDPR op 25 mei 2018, zullen heel wat ondernemingen de verplichting hebben om een register bij te houden van alle verwerkingsactiviteiten die onder hun verantwoordelijkheid gebeuren. Deze documentatieplicht zal de aangifteplicht bij de Privacycommissie vervangen.
 

1. Voor wie geldt de registerverplichting?

De verplichting om een register met de verwerkingsactiviteiten op te stellen geldt voor:

1. ondernemingen die 250 personen of meer tewerkstellen;
2. ondernemingen die verwerkingen doen die een risico inhouden voor de rechten en vrijheden van de betrokkenen;
3. ondernemingen die gevoelige gegevens verwerken (gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid);
4. ondernemingen die niet incidenteel persoonsgegevens verwerken.

Voor deze laatste categorie rijst de vraag wat verstaan moet worden onder een “niet-incidentele” verwerking van persoonsgegevens. Een ruime interpretatie hiervan zou tot gevolg hebben dat zo goed als elke onderneming onder de registerplicht valt, omdat zo goed als elke onderneming die werknemers in dienst heeft persoonsgegevens op een niet-incidentele manier verwerkt. Denk alleen al maar aan de verwerkingen in het kader van het loon- en personeelsbeleid.

Gelet op deze onduidelijkheid hebben wij naar het standpunt van de Privacycommissie hierover gepolst. De Privacycommissie lijkt op dit punt een onderscheid te maken tussen enerzijds verwerkingen waarvoor vandaag een aangifteplicht bij de commissie geldt, en anderzijds verwerkingen die op basis van de huidige Belgische wetgeving kunnen genieten van een vrijstelling van deze aangifteplicht. Een aantal heel courante verwerkingen, zoals de loonadministratie en de personeelsadministratie, genieten van dit vrijstellingsregime. Een uitzondering hierop zijn verwerkingen in het kader van de personeelsadministratie die betrekking hebben op gegevens betreffende de gezondheid, gevoelige of gerechtelijke gegevens of op gegevens die een beoordeling tot doel hebben. Evaluaties van een werknemer en de gegevens met het oog op de voorbereiding hiervan, kunnen tot deze laatste categorie gerekend worden. Deze gegevens worden als voldoende gevoelig geacht om ze toch te onderwerpen aan de aangifteplicht.

De Privacycommissie verduidelijkt dat enkel verwerkingen die onder het huidige vrijstellingsregime inzake de aangifteplicht vallen, kennelijk geen gevaar inhouden op het gebied van de schending van de persoonlijke levenssfeer van de betrokkene. Op basis van dit standpunt zouden we kunnen verwachten dat - naar analogie met de huidige vrijstellingen van de aangifteplicht - de Belgische wetgever voor deze verwerkingen in het kader van de loon- en personeelsadministratie zal verduidelijken dat zij op zich geen aanleiding kunnen geven tot de registerplicht (voor zover de onderneming minder dan 250 werknemers telt).

Ongeacht of een onderneming al dan niet onder de registerplicht valt, doet elke werkgever er o.i. goed aan om een register op te stellen gelet op de “verantwoordingsplicht” van de verwerkingsverantwoordelijke.
 

2. Wat ?

Alle verwerkingsactiviteiten die onder de verantwoordelijkheid van de onderneming gebeuren, moeten worden opgenomen in een geschreven of elektronisch register.

Dit register moet de volgende verplichte vermeldingen bevatten:

• de naam en contactgegevens van de verwerkingsverantwoordelijke(n), en, in voorkomend geval van de vertegenwoordiger en de functionaris voor de gegevensbescherming (‘data protection officer’);
• de verwerkingsdoeleinden;
• een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
• de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
• indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, en, in voorkomend geval, de documenten inzake de passende waarborgen;
• indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
• indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
   

3. Afschaffing van de aangifteplicht bij de Privacycommissie

Vandaag hebben ondernemingen de verplichting om alle geheel of gedeeltelijk geautomatiseerde gegevensverwerkingen op voorhand te melden bij de Privacycommissie. Deze aangifteverplichting zorgt vandaag voor heel wat administratieve rompslomp binnen ondernemingen, en zal wegvallen vanaf 25 mei 2018. Vanaf de inwerkingtreding van de GDPR zal de aangifteplicht immers worden afgeschaft en vervangen door de bovenstaande documentatieplicht.

Het register, dat de aangifteplicht vervangt, zal op verzoek van de Privacycommissie moeten kunnen worden voorgelegd, zodat de Privacycommissie toezicht kan houden op de verwerkingsactiviteiten.