Wat zijn de basisprincipes van GDPR voor de VME?

Wat zijn de basisprincipes van GDPR voor de VME?

De verwerking van persoonsgegevens dient te voldoen aan onderstaande basisprincipes.

Principe 1 : Rechtmatigheid

De verwerking van persoonsgegevens is enkel rechtmatig (lees ‘toegelaten’) indien ten minste aan 1 van onderstaande 6 rechtsgronden is voldaan.

6 RECHTSGRONDEN VOOR HET VERWERKEN VAN PERSOONSGEGEVENS :

  • Burger heeft toestemming gegeven (bv. gehandtekende infofiches);
  • Gegevens zijn noodzakelijk voor de uitvoering van het contract  (bv. contactgegevens van iemand ter plaatse nodig om een leverancier verder te helpen);
  • Gegevens verwerken is een wettelijke verplichting (bv. aanwezigheidslijsten algemene vergadering);
  • Gegevens verwerken is van vitaal belang (niet van toepassing op VME’s, enkel in medische sector);
  • Gegevens verwerken is van algemeen belang of openbaar gezag (niet van toepassing op VME’s, voor overheidsdiensten);
  • Gegevens verwerken uit gerechtvaardigd belang (bv. huurders dringend contacteren in geval van nood).

Toepassing op de VME:

Enkel rechtsgrond 4 en 5 zijn niet van toepassing op VME’s, alle overige rechtsgronden wel. Hoe deze rechtsgronden gehanteerd worden bij de verwerking van persoonsgegevens wordt gedetailleerd beschreven in het verwerkingsregister van de VME.

Principe 2: Behoorlijkheid

De verwerking van de persoonsgegevens moet behoorlijk zijn (gestructureerd, transparant, digitaal afleverbaar en machine-leesbaar).

Toepassing op de VME :

De VME dient gestructureerde lijsten digitaal en machine-leesbaar (word, pdf, excel) te kunnen afleveren. Aan welke partijen welke lijsten kunnen doorgegeven worden, wordt eveneens gedetailleerd beschreven in het verwerkingsregister van de VMR.

Principe 3 : Welbepaalde doeleinde

Persoonsgegevens mogen enkel worden verwerkt voor een welbepaald doeleinde.

Toepassing op de VME :

Het algemeen doel voor de verwerking van persoonsgegevens voor de VME is heel duidelijk ‘Het beheren van de mede-eigendom zoals bedoeld in B.W artikel 577).

Principe 4 : Minimale gegevensverwerking

Enkel die persoonsgegevens die nodig zijn voor welbepaalde doeleinden mogen verwerkt worden. Er mogen niet meer gegevens verwerkt worden dan nodig om het doeleinde te bereiken.

Toepassing op de VME :

Enkel de persoonsgegevens die via de geijkte kanalen de VME (via haar syndicus) bereiken (formulieren, eigenaarsnet,…) worden verwerkt in de database van de VME. Zowel de formulieren als de database zijn ontworpen naar minimale benodigde gegevens voor het welbepaalde doel. (= beheer van de VME). Irrelevante gegevens die via ‘andere’ kanalen worden aangeboden (bv. social media, telefonisch,enz….) worden niet verwerkt.

Principe 5 : Juistheid en volledigheid

De verwerkte persoonsgegevens dienen juist en volledig zijn. Indien ze foutief of onvolledig zijn dienen ze onverwijld te worden geregulariseerd.

Toepassing op de VME :

Persoonsgegevens die via de geijkte kanalen worden aangeboden aan de VME (formulieren, eigenaarsnet,…) zullen onverwijld via haar syndicus (afdeling administratie) worden bijgewerkt.

De bijwerking van de gegevens is echter een ‘passief’ gebeuren. Hiermee wordt bedoeld dat  de verantwoordelijkheid over het (actief) doorgeven van de juiste persoonsgegevens (bv. adreswijzigingen e.d..) ligt bij de betrokkenen. M.a.w. de syndicus zal (in haar hoedanigheid als gegevensverwerker van de VME geen actieve gegevenscontroles (bv. mailings) doen om de database van de VME up to date te houden. Elke betrokkene is bij wet verplicht (B.W. artikel 577) om gegevenswijzigingen aan de VME (via de syndicus) door te geven.

Principe 6 : Integriteit en vertrouwelijkheid

De nodige maatregelen moeten worden getroffen zodat de persoonsgegevens worden beveiligd en beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging op beschadiging.

Toepassing op de VME :

De VME heeft een verwerkingsovereenkomst afgesloten met de syndicus (verwerker). Deze heeft op haar beurt een verwerkingsovereenkomst afgesloten met haar sub-verwerkers (bv. software support, hosting dataservers, freelance datamanagers e.d…) alsook met de personeelsleden bij haar in dienst. Elke gecontracteerde partij engageert zich ertoe het nodige te doen m.b.t. de integriteit en vertrouwelijkheid van de gegevens van de VME zoals opgesteld in de desbetreffende overeenkomsten.

Principe 7 : Verantwoordingsplicht

De VME moet op elk moment kunnen aantonen dat deze zich bewust is van GDPR en het nodige doet om de GDPR na te leven

Toepassing op de VME :

  1. Via deze informatiebrochure;
  2. Via de informatieve agendapunten dewelke vanaf september 2018 in elke vergadering aan bod zullen komen;
  3. Via informatie op de website van de syndicus;
  4. Via de verwerkingsovereenkomst dewelke is afgesloten tussen de VME (verwerkingsverantwoordelijke) en de syndicus (verwerker) en beschikbaar is in het ‘GDPR Compliancy Dossier’ van de VME;
  5. Via het verwerkingsregister dewelke eveneens beschikbaar is in het ‘GDPR Compliancy Dossier’ van de VME;
  6. Via de privacy policy dewelke aan elke betrokkene werd bezorgd / consulteerbaar is;
  7. Via het ‘GDPR-compliant’ watermerk / logo, dewelke zichtbaar is in de communicatiemiddelen van de VME (briefhoofd, mails, etc….).

Principe 8 : Transparantie- en informatieplicht

De VME moet de betrokkenen (eigenaars, huurders) actief informeren over de verwerking van de persoonsgegevens en de rechten van de betrokkenen. Het moet voor de betrokkene duidelijk zijn dat diens persoonsgegevens verwerkt worden en waarvoor de verwerking dient.

De betrokkene moet eveneens op de hoogte zijn van zijn rechten en plichten indien deze bezwaar wil indienen tegen de verwerking van zijn persoonsgegevens.

Toepassing op de VME :

  • De VME dient de betrokkene(n) in te lichten over de verwerking van zijn persoonsgegevens
  • via de informatieve agendapunten die aan bod zullen komen op de eerstvolgende Algemene Vergadering
  • Via het verwerkingsregister dewelke deel uitmaakt van het GDPR dossier en consulteerbaar is bij de syndicus
  • Via de Privacy Policy dewelke aan elke betrokken zal afgeleverd of beschikbaar gesteld worden.
  • De VME dient elke betrokkene in te lichten over zijn rechten en plichten : via de Privacy Policy
  • De Privacy Policy is beschikbaar op de website van de syndicus en het digitaal platform van de VME
  • De Privacy Policy wordt afgeleverd aan elke eigenaar vanaf de eerstvolgende Algemene Vergadering
  • De Privacy Policy is beschikbaar en consulteerbaar in het ‘GDPR Compliancy dossier’ van de VME, beschikbaar bij de syndicus.
  • Indien de betrokkene geen eigenaar maar huurder is, wordt deze informatie aangeboden via verwijzing op het syndicusbord dat uithangt in de gemene delen van het gebouw. Tevens ligt de verantwoordelijkheid bij de eigenaars om hun huurder(s) in kennis te stellen van dit document. .

Principe 9 : Bewaartermijn

Persoonsgegevens mogen slechts gedurende een beperkte termijn bewaard worden en niet langer dan nodig is.

Toepassing op VME :

Hoe lang is dat voor VME’s ?

  • 7 jaar indien er een wettelijke bewaartermijn bestaat (bv. voor boekhoudkundige stukken VME). De syndicus is bij wet verplicht om boekhoudkundige stukken van de VME gedurende 7 jaar te bewaren.
  • Onbepaald indien er geen wettelijke bewaartermijn bestaat: indien er geen wettelijke bewaartermijn is voorzien, dient de VME zelf in eer en geweten te bepalen hoe lang deze de persoonsgegevens bijhoudt.
  • Waar rekening mee houden? Aansprakelijkheidsvorderingen verjaren na 10 jaar zodat het aangewezen is dat bepaalde documenten gedurende een termijn van 10 jaar bewaard blijven.

Conclusie : Er wordt geopteerd om voor alle persoonsgegevens de maximale bewaartermijn van 10 jaar aan te houden. Dit is de verjaringstermijn voor aansprakelijkheidsvorderingen.

In de praktijk zullen ‘inactief geworden’ persoonsgegevens (bv. contactgegevens van ex-eigenaars, ex huurders, enz….) na 10 jaar uit de database van de VME verwijderd of geanonimiseerd worden.