De GDPR en de syndicus

Men moet wel buitengewoon slecht geïnformeerd zijn om niet over de General Data Protection Regulation (hierna de “GDPR) te hebben gehoord.

Sinds 25 mei 2018 is de GDPR verplicht en algemeen van toepassing.

In het algemeen en niet uitputtend schrijft de verordening voor dat de verwerking van persoonsgegevens aan een aantal strenge voorwaarden moet voldoen.

Zo moeten persoonsgegevens:

  • op geoorloofde wijze, loyaal en transparant worden verwerkt; 
  • voor welbepaalde, legitieme en expliciete doeleinden worden verzameld; 
  • passend, relevant en noodzakelijk zijn voor de beoogde doeleinden; 
  • exact zijn en in voorkomend geval worden verbeterd; 
  • worden bewaard in een vorm die de identificatie van de betrokken slechts gedurende een beperkte tijd mogelijk maakt, of slechts zo lang als nodig is om de doeleinden van de verwerking te bereiken; 
  • zodanig worden verzameld en verwerkt dat hun veiligheid gewaarborgd is.

De GDPR legt niet alleen de bovenstaande verplichtingen op maar kent ook de betrokkenen een aantal rechten toe ...

Elke persoon van wie gegevens worden verwerkt, beschikt met name over de volgende rechten:

  1. Een recht op toegang: de betrokkene heeft het recht om ween begrijpelijke kopie van zijn verzamelde en verwerkte persoonsgegevens te ontvangen.
  2. Een recht op rectificatie: de betrokkene kan onjuiste, onvolledige of niet relevante gegevens zonder kosten laten rechtzetten.
  3. Een recht van bezwaar: de betrokkene heeft het recht om op ernstige en legitieme gronden bezwaar te maken tegen de verwerking van zijn persoonsgegevens. Het recht van bezwaar geldt niet als de verwerking van de gegevens noodzakelijk is voor het afsluiten of de uitvoering van een overeenkomst. Maar let op, de betrokkene kan zich zonder rechtvaardiging tegen de verwerking van zijn persoonsgegevens verzetten als die met het oog op direct marketing (dus voor reclamedoeleinden) verzameld zijn.

De betrokkene heeft ook in bepaalde door de wet opgesomde gevallen een recht op gegevenswissing (of “recht op vergetelheid”), dus het recht om zijn persoonsgegevens te laten
verwijderen. Zo kan hij van de verwerkingsverantwoordelijke de onverwijlde verwijdering eisen van zijn persoonsgegevens, met name in de volgende gevallen:

  • De gegevens zijn niet langer nodig voor de doeleinden waarvoor ze werden verzameld of verwerkt;
  • De betrokkene heeft zijn toestemming waarop de verwerking gebaseerd is ingetrokken en er bestaat geen andere rechtsgrond voor de verwerking;
  • De betrokkene doet zijn recht van bezwaar gelden en er bestaat geen dwingende legitieme reden die de verwerking rechtvaardigt, of de betrokkene verzet zich specifiek tegen de verwerking van zijn persoonsgegevens met het oog op direct marketing;
  • De persoonsgegevens worden ongeoorloofd verwerkt;

Ook de vastgoedwereld is onderworpen aan de General Data Protection Regulation en de professionals kunnen daar soms op verbazende manieren aan worden herinnerd.

Op het contractuele vlak ontsnapt de syndicus niet aan de nieuwe verplichtingen, zodat hij in zijn contract een clausule moet opnemen over het “lot” van de persoonsgegevens die hij verwerkt ...

Men mag evenmin vergeten dat de syndicus een “schakel in de keten” is van alle personen die over informatie beschikken ... De VME en haar leden horen daar ook bij zodat het, om te vermijden dat de syndicus aansprakelijk wordt gesteld voor een “gebrek aan delicaatheid” van sommige mede-eigenaars, aanbevolen is om in het reglement van mede-eigendom een clausule op te nemen die de leden dwingt om de verplichtingen van de GDPR na te leven ...

Praktisch gezien, is een concreet geval (geen fictie) beter dan een lange uiteenzetting ...

“Een mede-eigenaar beslist het systeem voor de toegang tot de gemene delen van het gebouw te wijzigen door de traditionele sleutels door badges te vervangen.

Iedereen is tevreden over het gebruiksgemak en het comfort van dat nieuwe systeem, behalve een huurder van een van de appartementen van het gebouw ...

Die laatste spreekt de syndicus aan en vraagt of het “elektronische” toegangssysteem, dat gepersonaliseerd is voor de bewoners van het gebouw, persoonsgegevens verzamelt, registreert en/of bewaart.

Onze vastgoedprofessional kan niet anders dan bevestigend antwoorden, waarna de huurder hem uitlegt dat het systeem, ingevoerd door een beslissing waaraan hij niet heeft deelgenomen, in strijd is met de GDPR en hij dus eist dat het onmiddellijk wordt verwijderd ...”

Naar mijn gevoel heeft de huurder niet helemaal ongelijk ...

De GDPR legt een transparantieplicht op voor de gegevens, en een rechtmatigheidsplicht voor hun verwerking.

De rechtmatigheidsplicht impliceert dat de gegevensverwerking aan een van de volgende voorwaarden moet voldoen: de betrokkene heeft toegestemd met de verwerking, de verwerking is noodzakelijk voor de uitvoering van een overeenkomst, of de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, behalve wanneer grondrechten zwaarder wegen ...

Men zou kunnen denken dat dit laatste criterium van de GDPR de huurder zou kunnen dwingen om het toegangssysteem toch te aanvaarden ... maar dat is buiten de transparantieplicht gerekend!

Die verplichting impliceert dat de gegevens worden verzameld NA de mededeling aan de betrokkenen van een volledige informatie over de verwerking ... die in ons geval niet heeft plaatsgevonden.

Om aan de transparantieplicht te voldoen, hebben onze syndicus en de VME alle belang bij een mededeling, bijvoorbeeld in de vorm van:

  • een e-mail aan alle bewoners;
  • een kennisgeving die systematisch bij de aankomst van elke nieuwe bewoner wordt overhandigd

Deze informatie moet ook blijvend aanwezig zijn op het intranet/in het reglement van interne orde, in de rubriek “Gegevensbeschermingsbeleid”, tab “Toegang met badge”, om de bewoners de mogelijkheid te geven hun rechten uit te oefenen. Als er geen toegankelijk intranet is, moet de informatie op elk ogenblik kunnen worden verstrekt na een verzoek van de bewoners aan het adres GDPR@xxx.be

Tot slot moet u erop waken, uw activiteit in regel te brengen met ALLE eisen van de GDPR, VOOR u te maken krijgt met een geschil, een controle en/of ... een boete van 4%. En pas de onderstaande filters toe op elke situatie die u ontmoet, om de reikwijdte van uw verplichtingen te kennen.

INFO

Dhr Gilles TIJTGAT
Juridisch Consultant
T 0476 97 86 54
www.legisconsult.be

Onze blogs

DELEN


 



Nieuws uit Frankrijk ... Een belangrijke overwinning van de Bemiddeling in Frankrijk!