Meer en meer bedrijven zien het potentieel van door hen verzamelde gegevens en klantenbestanden en wensen deze te verhuren of te verkopen. Daarenboven doen bedrijven ook steeds vaker beroep op reeds bestaande lijsten. Veelal verwerkt een bedrijf een hele hoop persoonlijke gegevens, van klanten of van werknemers, online via een webshop of offline verkregen. Ook door middel van cookies geplaatst op websites wordt er heel wat informatie verzameld. Bij het verwerken van die persoonsgegevens, op welke basis dan ook, dient men de wet verwerking persoonsgegevens te respecteren. Wij zetten kort de krachtlijnen uiteen.
Wet verwerking persoonsgegevens
Het is belangrijk om op te merken dat deze privacy-bepalingen niet enkel gelden ten aanzien van consumenten. Iedere verwerking van persoonsgegevens valt onder de toepassing van de wet.
Persoonsgegevens mogen maar verwerkt worden in bepaalde gevallen. De belangrijkste zijn: verwerking met toestemming van de betrokkene, het bestaan van een relatie met de klant of werknemer of wanneer er sprake is van een verantwoorde verwerking waarvan het belang sterker doorweegt dan het privacybelang van de betrokkene. Concreet betekent dit dat voor het opstellen van een overeenkomst met klanten of voor de arbeidsrelaties met uw werknemers u de nodige informatie zonder problemen en vaak zelfs zonder toestemming kan verwerken. Deze verwerking valt namelijk binnen de derde categorie. Evenwel zijn er uitzonderingen voor bepaalde gevoelige gegevens zoals gegevens over gezondheid, religie, etnische herkomst en seksuele geaardheid.
Wanneer u gegevens verwerkt, moet u een welbepaald doel voor ogen hebben. U dient dit doel mee te delen aan de betrokkene en nadien kan u de gegevens enkel binnen dat doel verwerken. Gegevens uit een openbare bron mag men dus niet zomaar aanwenden voor bijvoorbeeld direct marketing. Personen maken deze gegevens bekend voor een welbepaald doel (geboorte, ontmoetingen, …) en niet met het oog op het ontvangen van direct marketing. Daartegenover staat dat ook de door u verzamelde gegevens niet zomaar mogen worden doorgegeven aan derden of aangewend worden voor een ander doel.
De gegevens die verzameld worden, moeten ook proportioneel zijn. Men kan niet zomaar bij klanten, bijvoorbeeld van een telecomoperator, informatie vragen over de voedingsgewoonten met het oog op direct marketing.
Bijkomende aandachtspunten
Voor men overgaat tot de verwerking van persoonsgegevens dient men dit aan te geven aan de Commissie voor de bescherming van de persoonlijke levenssfeer. Dit kan onder meer via haar website. Gelukkig zijn er uitzonderingen voorzien voor (potentiële) klanten, leveranciers, loonadministratie, boekhouding en administratie van aandeelhouders en vennoten, wanneer de informatie niet van een derde partij werd verkregen en wanneer de informatie voor het desbetreffende doel wordt gebruikt.
U dient de betrokken personen te informeren over de verwerking van hun gegevens en het beoogde doel. U kan dit als volgt doen: “uw gegevens worden opgenomen in ons klantenbestand.”, “Uw gegevens zijn bestemd voor intern gebruik.” “Uw persoonsgegevens worden gebruikt voor commerciële doeleinden”. Bovendien kan de betrokkene ten allen tijde zijn gegevens opvragen of laten wijzigen.
Als gegevensverwerker dient u ook in te staan voor gepaste technische en organisatorische maatregelen om de gegevens te beschermen tegen incidenten. Het gaat hierbij om een algemene norm waarbij men moet zorgen voor een ‘passend beveiligingsniveau’.
Een inbreuk op de wet verwerking persoonsgegevens kan strafrechtelijk worden beteugeld met boetes tot 600.000 euro en op recidive staan gevangenisstraffen. Bovendien kan de rechter het wissen van bestanden bevelen en kunnen servers en computers worden verbeurdverklaard. De toekomstige Europese initiatieven rond privacy zullen zelfs nog strengere straffen invoeren waarbij, net zoals in het mededingingsrecht, straffen kunnen worden opgelegd tot 5 % van de wereldwijde jaaromzet van de onderneming.
