Onterecht beschouwt men de nieuwe GDPR-regeling als ver van zijn bed show. Het toepassingsgebied is immers erg ruim, ook voor Zuid-Afrikaanse bedrijven die op de EU-markt actief zijn. We zetten de belangrijkste punten op een rijtje.
Afgelopen vrijdag was d-day voor de GDPR, vier letters die in Zuid-Afrika wellicht weinig beroering zullen veroorzaken, maar vorige week zorgden ze voor een extra belasting van menig Europese mailbox.
GDPR staat voor General Data Protection Regulation. Algemene Verordening Gegevensbescherming in het Nederlands, maar courant wordt de Engelstalige afkorting gebruikt. De woorden – we blijven nog even bij de Nederlandse afkorting – geven al een indicatie van waar het over gaat. Eerst “Verordening”, een EU-wet dus en geldig in de hele Unie.
Het betreft hier een “Algemene” regeling (begrijp: globaal) en rond de bescherming van persoonsgegevens, en dit in de brede zin van het woord. Anders gesteld: de GDPR draait om de manier waarop personengegevens verzameld, opgeslagen, verwerkt en – en vooral – gedeeld mogen worden. Met persoonsgegevens worden niet alleen de klassieke gegevens zoals naam, adres, telefoonnummer, e-mailadres, en dergelijke bedoeld, maar ook informatie zoals de etnische achtergrond, seksuele geaardheid, politieke overtuiging, ziektes...
EU-klanten
“De regeling valt op door haar breed toepassingsgebied”, legt Frederic Debusseré, partner bij het in privacy- en ICT-recht gespecialiseerde advocatenkantoor time.lex uit Brussel, uit. “Commerciële bedrijven worden geviseerd, wat op zich niet zo verwonderlijk is, maar ook alle organisaties die op één of andere manier met dergelijke persoonsgegevens omgaan. Dus ook sportclubs, culturele organisaties, zelfs Kerken. Zelfs bedrijven die buiten de EU gevestigd zijn, moeten de GDPR naleven zodra ze producten of diensten leveren aan personen die in de EU wonen. Zuid-Afrikaanse bedrijven die natuurlijke personen in de EU als klant hebben, moeten de GDPR dus naleven. ”
Data Protection Officer
Heel wat informatie voor een breed gamma aan organisaties en bedrijven, maar wat verandert nu precies op het vlak van verwerking van persoonsgegevens? “Er zijn talrijke nieuwe voorwaarden die bedrijven en organisaties moeten naleven om persoonsgegevens te mogen verwerken”, antwoordt Frederic Debusseré. “Zo moeten bedrijven de manier waarop ze met persoonsgegevens omgaan, schriftelijk documenteren. Men mag ook niet langer toestemming vragen voor een bundel van verwerkingen, maar een gelaagde toestemming aanbieden.
Men moet ook een zogenaamd. ‘register’ aanleggen van alle verwerkingen van persoonsgegevens die men uitvoert. De contracten met bedrijven die in opdracht persoonsgegevens verwerken, zoals datacenters, sociale secretariaten, marketingbedrijven, moeten aangepast worden. Sommige bedrijven en organisaties moeten een Data Protection Officer aanstellen. Zuid-Afrikaanse bedrijven die aan de GDPR onderworpen zijn en die geen vestiging in de EU hebben, moeten in de EU een vertegenwoordiger aanduiden die namens hen het aanspreekpunt is van de gegevensbeschermingsautoriteiten van de EU-lidstaten. Die vertegenwoordiger kan een natuurlijke persoon of een rechtspersoon zijn.”
Sancties
Bedrijven en organisaties, ook Zuid-Afrikaanse die aan natuurlijke personen in de EU producten of diensten leveren, riskeren administratieve geldboetes wanneer ze de GDPR niet naleven. Die kunnen gaan tot maximaal 20.000.000 EUR of 4% van de wereldwijde jaaromzet (welke van de twee hoger is). Kortom, Zuid-Afrikaanse bedrijven die aan natuurlijke personen in de EU producten of diensten leveren, informeren zich best over hun nieuwe verplichtingen onder deze nieuwe EU-wet en moeten het nodige doen om zich ermee in orde te stellen.
Buro: MV