De GDPR-wetgeving: hiermee dien je als syndicus en VME rekening te houden

De GDPR-wetgeving: hiermee dien je als syndicus en VME rekening te houden

De GDPR-wetgeving: hiermee dien je als syndicus en VME rekening te houden

Sinds 25 mei 2018 geldt de GDPR-wetgeving in België. Deze wetgeving is erop voorzien om de privacy van Europese burgers te vrijwaren en de burgers meer rechten te geven over wat er met hun persoonsgegevens gebeurt.

Ook voor syndici en verenigingen van mede-eigenaars heeft de GDPR gevolgen. Zo zijn beide partijen sinds de komst van deze nieuwe wetgeving verplicht om nog voorzichtiger om te springen met de verwerking van de persoonsgegevens van mede-eigenaars.

Hoe dit zich concreet vertaalt, leggen we hieronder voor jou uit.

VME en syndicus: wie is verwerker en wie is verwerkingsverantwoordelijke?

In de GDPR-wetgeving spreekt men van een verwerker en een verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke is degene die eindverantwoordelijkheid draagt en ervoor moet zorgen dat de verwerking van de persoonsgegevens conform de GDPR gebeurt. In het verhaal van de mede-eigendom is de VME de verwerkingsverantwoordelijke.

De verwerker daarentegen is degene die persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke, en dus geen eindverantwoordelijkheid heeft. In dit geval is dit de syndicus.

Verwerking van persoonsgegevens door de syndicus

De VME en de syndicus mogen van de GDPR-wetgeving enkel persoonsgegevens verwerken, indien ten minste aan één van onderstaande rechtsgronden is voldaan:

  • de burger heeft zijn toestemming gegeven (bv. gehandtekende infofiches);
  • de gegevens zijn noodzakelijk voor de uitvoering van het contract (bv. contactgegevens van iemand ter plaatse zijn nodig om een leverancier verder te helpen);
  • de gegevens verwerken, is een wettelijke verplichting (bv. aanwezigheidslijsten algemene vergadering);
  • de gegevens dienen verwerkt te worden uit gerechtvaardigd belang (bv. huurders dringend contacteren in geval van nood).

Daarnaast moeten de verwerkte persoonsgegevens steeds juist, volledig en actueel zijn. Let wel, hiervoor ligt de verantwoordelijkheid deels bij de betrokkene zelf! Zo dient hij of zij bij de wijziging van zijn of haar persoonsgegevens, namelijk zelf de VME (via de syndicus) hiervan op de hoogte te brengen. Dit is zelfs bij wet bepaald!

Gebeurt dit niet? Dan zijn noch de VME, noch de syndicus hiervoor verantwoordelijk.

Ten slotte dient de syndicus de verwerkte persoonsgegevens gestructureerd, transparant, digitaal afleverbaar en machine-leesbaar af te leveren. Op deze manier kan elke mede-eigenaar op elk moment zijn of haar gegevens opvragen.

Verplichte documenten volgens de GDPR

Een andere regelgeving waar de syndicus volgens de GDPR-wetgeving aan moet voldoen, is de aanmaak en het onderhoud van een GDPR Compliancy Dossier“.

Dit GDPR compliancy dossier dient volgende documenten te omvatten:

  • De privacy policy
  • Een datalekprocedure
  • Een register van inbreuken
  • Een register van audits en inspecties

Verder is elke VME in het kader van de GDPR verplicht om een verwerkingsovereenkomst met haar syndicus af te sluiten.

Het gevolg van de GDPR voor mede-eigenaars

Zoals hierboven reeds vermeld, behoort niet alleen de aanmaak van het GDPR compliancy dossier, maar ook het onderhoud ervan tot de vereisten om in orde te zijn en te blijven met de GDPR-wetgeving.

Het GDPR-conform houden van de VME is met andere woorden dus een activiteit die gedurende de ganse looptijd van het beheer van de syndicus dient uitgevoerd te worden.

Hieronder enkele voorbeelden die onder “het GDPR-conform houden van de VME” vallen:

  • De gegevens van de VME hebben een dynamisch karakter. Zo komen er eigenaars bij, gaan er eigenaars weg, wijzigen er contactgegevens, wisselt men van huurder, enzovoort. Al deze wijzigingen dienen in het GDPR compliancy dossier opgenomen te worden.
  • Conform het verwerkingsregister dient er op regelmatige tijdstippen een sanering van de persoonsgegevens te gebeuren en dit op basis van een “vervaldatum”.
  • De GDPR-registers dienen systematisch aangevuld te worden (register van inbreuken, inspecties, verwerkingsregisters, enzovoort).

Gezien dit onderhoud heel wat inspanningen van de syndicus vraagt en niet onder het standaard takenpakket valt, zal er een zogenaamde, jaarlijkse “onderhoudskost” worden aangerekend aan de VME.

Net zoals dit het geval is met andere onderhoudskosten (denk aan bv. liftonderhoud, verzekeringspremies), zal ook deze kost aan het begin van een periode worden aangerekend aan de VME. Deze heeft dan betrekking op de periode van 12 maanden die erop volgen.