Wie moet een dataregister bijhouden?
De GDPR verplicht de verwerkingsverantwoordelijke (of zijn vertegenwoordiger) en de verwerkers om een interne documentatie bij te houden van de verwerkingsactiviteiten die onder hun verantwoordelijkheid worden verricht [1]. Dit is het register van verwerkingsactiviteiten of het dataregister.
Deze verplichting vervangt de vroegere aangifte bij de Gegevensbeschermingsautoriteit (hierna “GBA”).
Bijna elke onderneming moet dataregister bijhouden
Ondernemingen met meer dan 250 personen in dienst moeten sowieso een dataregister bijhouden. Kleinere ondernemingen moeten slechts een register bijhouden indien:
- De onderneming bijzondere categorieën van gegevens of gegevens over strafrechtelijke veroordelingen en strafbare feiten verwerkt OF
- De onderneming een riskante verwerking doorvoert waarin er een risico kan schuilen voor de rechten en vrijheden van de betrokkenen OF
- De verwerking regelmatig is
Deze laatste uitzondering zorgt ervoor dat bijna alle werkgevers toch een dataregister zullen moeten bijhouden, aangezien personeelsbeheer volgens de GBA een regelmatige verwerking is.
Tenslotte raadt de GBA aan om steeds een dataregister bij te houden, zelfs al zou het niet verplicht zijn.
Wat staat er in het dataregister?
Dit dataregister geeft een overzicht van de persoonsgegevensverwerkingen die in de onderneming verricht worden en dient als verantwoordingsdocument voor de verwerkingen inzake persoonsgegevens van de onderneming.
Het register moet schriftelijk (of elektronisch), helder en begrijpelijk zijn en bevat volgende gegevens:
- Wie? De naam en contactgegevens van de verwerkingsverantwoordelijke, en van eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van zijn vertegenwoordiger en van de functionaris voor gegevensbescherming (DPO)
- Waarom? De verwerkingsdoeleinden
- Wat? Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens
- Waar? De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in voorkomend geval, de documenten inzake de passende waarborgen
- Tot wanneer? Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist
- Hoe? Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
In dit dataregister staan er dus ook andere verwerkingen dan administratie van het personeel en de tussenpersonen en beheer van het personeel en de tussenpersonen en werkplanning, zoals klantenbeheer, leveranciersbeheer, camerabewaking, …
U vindt hierover meer info, alsook een gratis model van dataregister op de website van de GBA.
Sanctie op het niet-bijhouden van een dataregister
Een schending van deze verplichting kan aanleiding geven tot een administratieve geldboete tot 10.000.000 euro of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is [2].
Bovendien kan de toezichthoudende autoriteit al haar bevoegdheden uitoefenen ten aanzien van de verwerkingsverantwoordelijke en de verwerker als zij hun verplichting om een register te houden niet nakomen[3].
[1] Artikel 30 GDPR.
[2] Artikel 83.4 GDPR.
[3] Artikel 58 GDPR.