Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (GDPR) op 25 mei 2018 is elke organisatie die persoonsgegevens verwerkt onderworpen aan strikte verplichtingen om de bescherming van de persoonlijke levenssfeer van de betrokken personen te waarborgen.
De verenigingen van mede-eigenaars (VME) vallen rechtstreeks onder deze regelgeving. Het dagelijks beheer van een gebouw in mede-eigendom impliceert immers noodzakelijkerwijs de verwerking van talrijke persoonsgegevens, onder meer van mede-eigenaars, bewoners, leveranciers, aannemers en dienstverleners.
Een van de fundamentele verplichtingen die door de GDPR worden opgelegd, is het bijhouden van een register van de verwerkings-activiteiten van persoonsgegevens. Dit document vormt een essentieel conformiteitsinstrument dat een overzicht biedt van de uitgevoerde gegevensverwerkingen en toelaat aan te tonen dat de GDPR-beginselen worden nageleefd.
De analyse van het verwerkingsregister vergt bovendien een duidelijke afbakening van de respectieve rollen van de actoren binnen de mede-eigendom, in het bijzonder die van de vereniging van mede-eigenaars als “verwerkingsverantwoordelijke” en die van de syndicus, die hoofdzakelijk optreedt als “verwerker”.
Kort samengevat is het principe eenvoudig: elke VME moet verplicht beschikken over een register van de verwerking van persoonsgegevens, een document dat op eerste verzoek moet kunnen worden voorgelegd bij een controle door de Gegevensbeschermingsautoriteit.
Hoewel deze wettelijke verplichting bijzonder duidelijk is, moet worden vastgesteld dat slechts weinig VME’s daadwerkelijk over een dergelijk register beschikken, en dat ook slechts weinig syndici kennis hebben van, of zich zelfs bewust zijn van, het bestaan van deze verplichting. In enkele lijnen behandelen wij deze problematiek, waarbij wij de ernstige risico’s benadrukken van aansprakelijkstelling van de syndicus die nalaat de initiatieven te nemen die in dit verband van hem worden verwacht. Kortom: een “wake-upcall”.
HET JURIDISCH KADER VAN TOEPASSING OP VERENIGINGEN VAN MEDE-EIGENAARS
De GDPR is van toepassing op elke entiteit die de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt. Naar Belgisch recht is de vereniging van mede-eigenaars een rechtspersoon met een eigen rechtspersoonlijkheid, belast met het behoud en het beheer van de gemeenschappelijke delen, alsook met de uitvoering van de beslissingen van de algemene vergadering.
In die hoedanigheid bepaalt de VME de redenen waarom persoonsgegevens worden verwerkt (administratief, financieel en technisch beheer van het gebouw) en de algemene middelen van deze verwerking.
Hieruit volgt dat de vereniging van mede-eigenaars wordt beschouwd als verwerkingsverantwoordelijke in de zin van de GDPR. Deze kwalificatie brengt belangrijke verplichtingen met zich mee, zoals het vaststellen van een geldige rechtsgrond voor elke verwerking, het informeren van de betrokken personen, het naleven van de beginselen van gegevensminimalisatie en proportionaliteit, alsook het treffen van passende beveiligingsmaatregelen.
HET REGISTER VAN VERWERKINGSACTIVITEITEN: DEFINITIE EN VERPLICHTING
Artikel 30 van de GDPR verplicht de verwerkingsverantwoordelijke tot het bijhouden van een register van de verwerkingsactiviteiten. Dit register vormt een verplichte interne documentatie, behoudens enkele uitzonderingen die in de praktijk zelden van toepassing zijn op VME’s. Het register moet schriftelijk worden bijgehouden, ook in een duurzame elektronische vorm, en moet bij een controle ter beschikking worden gesteld van de Gegevensbeschermingsautoriteit.
Het register van verwerkingsactiviteiten moet een reeks nauwkeurig omschreven gegevens bevatten, waaronder de identiteit van de verwerkingsverantwoordelijke, de doeleinden van de verwerkingen, de categorieën van verwerkte persoonsgegevens, de categorieën van betrokken personen, de ontvangers van de gegevens, eventuele doorgiften buiten de Europese Unie, de bewaartermijnen en een algemene beschrijving van de genomen beveiligingsmaatregelen. Het register beantwoordt aldus de kernvragen: wie verwerkt welke gegevens, waarom, gedurende welke termijn, waar en hoe worden zij beschermd.
In de context van een mede-eigendom zal het register bijvoorbeeld betrekking hebben op verwerkingen in verband met het bijhouden van de lijst van mede-eigenaars, de organisatie van algemene vergaderingen, het boekhoudkundig beheer, de inning van lasten, het beheer van contracten met leveranciers of, in voorkomend geval, het gebruik van bewakingscamera’s in de gemeenschappelijke delen.
DE VERENIGING VAN MEDE-EIGENAARS ALS VERWERKINGSVERANTWOORDELIJKE
Als verwerkingsverantwoordelijke draagt de vereniging van mede-eigenaars de hoofdverantwoordelijkheid voor de naleving van de GDPR. Zij moet erop toezien dat elke verwerking steunt op een geldige rechtsgrond, zoals de uitvoering van een wettelijke verplichting of de uitvoering van een overeenkomst.
In tal van gevallen wordt de verwerking van persoonsgegevens binnen een mede-eigendom opgelegd door het Burgerlijk Wetboek, met name wat betreft het bijhouden van de lijst van mede-eigenaars en het meedelen van bepaalde informatie aan mede-eigenaars of aan de notaris.
De VME moet er tevens over waken dat uitsluitend de strikt noodzakelijke gegevens voor het beheer van de mede-eigendom worden verwerkt. Het beginsel van gegevensminimalisatie houdt in dat gegevens zoals het rijksregisternummer, een gedetailleerde burgerlijke staat of de samenstelling van het gezin enkel mogen worden verzameld indien zij daadwerkelijk noodzakelijk en wettelijk gerechtvaardigd zijn. Bij gebreke daaraan hebben mede-eigenaars het recht te weigeren deze gegevens mee te delen.
Tot slot moet de vereniging van mede-eigenaars de rechten van de betrokken personen waarborgen, zoals het recht op inzage, verbetering of verwijdering, binnen de wettelijke grenzen, en ervoor zorgen dat deze rechten daadwerkelijk kunnen worden uitgeoefend.
DE ROL VAN DE SYNDICUS ALS VERWERKER
De syndicus bekleedt een centrale positie in het dagelijks beheer van de mede-eigendom. Hij is belast, krachtens zijn mandaat, met de uitvoering van de beslissingen van de algemene vergadering en met het administratief beheer van het gebouw. In dat kader verwerkt hij talrijke persoonsgegevens voor rekening van de vereniging van mede-eigenaars.
In de zin van de GDPR treedt de syndicus hoofdzakelijk op als verwerker, aangezien hij persoonsgegevens verwerkt op instructie van de VME en voor de door haar bepaalde doeleinden. Deze verhouding moet worden vastgelegd in een overeenkomst of een andere rechtshandeling, zoals het reglement van mede-eigendom, het reglement van interne orde (RIO) en/of de syndicusovereenkomst, waarin onder meer het voorwerp en de duur van de verwerking, de aard van de verwerkte gegevens, de verplichtingen van de syndicus en de genomen beveiligingsmaatregelen worden bepaald.
De syndicus mag persoonsgegevens uitsluitend gebruiken binnen het strikte kader van zijn wettelijke en contractuele opdracht. Elk gebruik voor doeleinden die vreemd zijn aan het beheer van de mede-eigendom, bijvoorbeeld voor eigen commerciële doeleinden, is verboden. Daarnaast moet de syndicus erop toezien dat de gegevens correct en actueel zijn en de mededeling ervan beperken tot enkel de daartoe gemachtigde personen.
HET PRAKTISCHE BELANG VAN HET VERWERKINGSREGISTER VOOR DE SYNDICUS
Hoewel de syndicus wettelijk niet de “verwerkingsverantwoordelijke” is, is hij als verwerker niet alleen verplicht om over een eigen register van verwerkingsactiviteiten te beschikken voor zijn eigen professionele activiteiten, maar ook om het register van de VME waarvan hij het beheer voert op te stellen en periodiek bij te werken.
Aangezien het verwerkingsregister wettelijk verplicht is voor de VME, behoort het tot de adviesplicht van de syndicus ten aanzien van zijn medecontractant (de VME) om deze correct te informeren over haar verplichtingen ter zake, in het bijzonder over het bestaan en het bijhouden van het register. Indien nodig dient dit punt op de agenda van een algemene vergadering te worden geplaatst, zodat hierover een beslissing kan worden genomen en het RIO kan worden aangepast.
Het hoeft nauwelijks te worden benadrukt dat dit register een essentieel instrument vormt om de conformiteit van de VME met de GDPR aan te tonen en te voldoen aan de vereisten inzake transparantie en verantwoordingsplicht.
Indien de syndicus hierin nalatig blijft, stelt hij zich — los van de administratieve sancties die bij een controle door de Gegevensbeschermingsautoriteit streng kunnen worden opgelegd — bloot aan een duidelijke aantasting van zijn beroepsaansprakelijkheid, zowel contractueel ten aanzien van de VME wegens schending van zijn adviesplicht, als buitencontractueel ten aanzien van derden, waaronder mede-eigenaars die door deze professionele fout schade zouden lijden. Het zij eraan herinnerd dat de administratieve sancties op dit vlak bijzonder zwaar kunnen zijn.
Zoals aangegeven kan het ontbreken van een register of het bijhouden van een ontoereikend register leiden tot aanzienlijke administratieve sancties, die theoretisch kunnen oplopen tot meerdere honderdduizenden euro’s. Los van het sanctierisico laat het register ook toe om gevoelige punten in het gegevensbeheer te identificeren, zoals de toegang tot documenten van de mede-eigendom, de uitwisseling van informatie tussen mede-eigenaars, en de bewaring en beveiliging van gegevens in de tijd.
Naast het loutere bestaan van het register vormt ook het dagelijkse beheer van persoonsgegevens door de syndicus een bijzonder delicate problematiek, die vaak een aanpassing vergt van de statutaire bepalingen en het RIO, beslissingen van de algemene vergadering, diverse stappen om de uitdrukkelijke toestemming van de betrokken personen te verkrijgen en uiteraard een conforme syndicusovereenkomst.
CONCLUSIE
Het register van verwerkingsactiviteiten vormt een essentiële pijler van de GDPR-conformiteit voor verenigingen van mede-eigenaars. Het laat niet alleen toe te voldoen aan een wettelijke verplichting, maar vooral om het beheer van persoonsgegevens binnen de mede-eigendom te structureren en te beveiligen.
Hoewel de vereniging van mede-eigenaars als “verwerkingsverantwoordelijke” formeel de verantwoordelijkheid draagt voor de naleving van het wettelijk kader, rust in de praktijk op de syndicus, in zijn hoedanigheid van verwerker, de taak om de VME tijdig en correct te informeren over haar verplichtingen, het proces voor de opmaak van het register te implementeren en te zorgen voor een correcte opvolging ervan in de tijd. Door zijn operationele rol bevindt de syndicus zich in de voorste lijn.
In een steeds veeleisender juridisch kader en bij toenemende waakzaamheid van de toezichthoudende autoriteiten, blijkt een rigoureus bijgehouden verwerkingsregister een onmisbaar instrument van goed bestuur. Het draagt bij tot meer transparantie, voorkomt geschillen en waarborgt de eerbiediging van de fundamentele rechten van mede-eigenaars en andere betrokken personen.
Het spreekt voor zich dat de syndicus er alle belang bij heeft zich bewust te zijn van zijn verplichtingen ter zake als zorgvuldig beroepsbeoefenaar, en van de risico’s die hij loopt bij een eventuele aansprakelijkstelling.
Info
Marc Tordoir
Advocaat aan de Balie van Brussel