GDPR toolkit

09

Verwerkers en gezamenlijke verwerkingsverantwoordelijken

Doet u soms beroep op derde partijen voor de verwerking van persoonsgegevens?

Wat u moet weten.

Sommige leveranciers zullen persoonsgegevens gebruiken van uw klanten, werknemers, … om diensten te leveren aan uw onderneming. Zo kan u bijvoorbeeld een sociaal secretariaat inschakelen voor personeelsadministratie of een marketing bureau voor het ontwikkelen en versturen van elektronische nieuwsbrieven. Wanneer deze leveranciers de persoonsgegevens louter ten behoeve van uw onderneming verwerken, worden ze onder de GDPR als “verwerkers” gekwalificeerd. Misschien treedt uw onderneming wel op als verwerker voor andere ondernemingen?

Bedrijven kunnen ook samen persoonsgegevens voor specifieke doeleinden verwerken. Binnen een groep van ondernemingen kan bijvoorbeeld eenzelfde databank gebruikt worden waarin zich de gegevens van alle medewerkers van de verschillende ondernemingen van de groep bevinden. Indien de verschillende vennootschappen binnen de groep gezamenlijk beslissen over de manier waarop de databank wordt gebruikt (bijv. welke personeelsgegevens worden geüpload, hoelang de gegevens worden bewaard en wie deze kan consulteren), moeten zij als “gezamenlijke verwerkingsverantwoordelijken” worden beschouwd.

Wat u moet doen voor 25 mei 2018.

Het is belangrijk om de ondernemingen die persoonsgegevens van uw klanten, werknemers, … gebruiken, te identificeren en te kwalificeren als verwerker of gezamenlijke verantwoordelijke. Als deze ondernemingen de persoonsgegevens gebruiken voor eigen doeleinden, dan zijn zij net als uw onderneming een (afzonderlijke) “verantwoordelijke” voor de verwerking. Ga ook na in welke gevallen uw onderneming zou optreden als verwerker. Voor verwerkers en verantwoordelijken gelden immers andere verplichtingen.

Vervolgens moet u een overeenkomst sluiten met de verwerkers die u hebt geïdentificeerd. In deze overeenkomst moeten minstens de bepalingen worden opgenomen die zijn voorgeschreven door de GDPR.

Ook gezamenlijke verantwoordelijken moeten een onderlinge regeling treffen. Hierin moeten de respectieve verantwoordelijkheden voor de nakoming van de verplichtingen onder de GDPR worden vastgelegd (bijvoorbeeld de manier waarop personen van wie gegevens worden verwerkt, hiervan op de hoogte zullen worden gebracht).

Raadpleeg onze website of contacteer een van onze medewerkers voor vragen of meer informatie: