Sinds 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) van toepassing op de verwerking van persoonsgegevens. De bescherming van natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens is een grondrecht. In artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie alsook artikel 16, lid 1 van het Verdrag betreffende de werking van de Europese Unie is bepaald dat eenieder recht heeft op gegevensbescherming ten aanzien van zijn persoon.
Maar dit recht is geen absoluut recht; het moet worden bezien in relatie tot zijn functie in de samenleving en worden afgewogen tegen andere grondrechten, in overeenstemming met het evenredigheidsbeginsel.
De GDPR is per definitie van toepassing op elke organisatie, publiek en privaat, die al dan niet namens haar persoonsgegevens verwerkt. De GDPR gaat ook over verwerkers die persoonsgegevens verwerken in opdracht van andere organisaties.
Om welke persoonsgegevens gaat het?
Het begrip “persoonsgegevens” moet zeer ruim opgevat worden. "Persoonsgegevens" is "elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon". We kunnen de persoon dus rechtstreeks identificeren (bijvoorbeeld: achternaam, voornaam), of onrechtstreeks (bijvoorbeeld: door een identificatie (klantnummer), een nummer (telefoon), biometrische gegevens, verschillende specifieke elementen die eigen zijn aan zijn fysieke identiteit, fysiologische, genetische, psychisch, economisch, cultureel of sociaal, maar ook stem of beeld).
In mede-eigendom zijn de betrokken categorieën per definitie de mede-eigenaars, de bewoners en de derden betrokken bij het leven van de mede-eigendom.
Welk behandelingen zijn relevant in mede-eigendom?
Een "verwerking van persoonsgegevens" is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, ongeacht het gebruikte proces (verzameling, opname, organisatie, opslag, aanpassing, wijziging, opvraging, raadpleging, gebruik, communicatie door middel van verzending, verspreiding of elke andere vorm van voorziening, verzoening).
Het verzamelen van deze gegevens is hoofdzakelijk gebaseerd op contractuele rechtmatigheid. Maar het kan ook gebaseerd zijn op een wettelijke grondslag of toestemming. Voorbeeld: het bijhouden van een dossier van mede-eigenaars of leveranciers, versturen van voorschotaanvragen, verdelen van stookkosten, enz.
Verwerking is dan ook de basistaak van het verzamelen en gebruiken van persoonsgegevens ten behoeve van het administratief, financieel en technisch beheer waarbij de syndicus de mede-eigenaars aanspreekt.
Het verwerkingsregister: een essentieel document
Het register is voorzien in artikel 30 van de RGPD. Hij is een deel aan de documentatie ter naleving van de reglementering. Het register is daarom verplicht voor elke VME. Bij een klacht zal dit document met voorrang worden opgevraagd tijdens de controle door de Gegevensbeschermingsautoriteit (GBA).
Als inventarisatie- en analysedocument moet het register de realiteit van de verwerking van persoonsgegevens weerspiegelen en u in staat stellen nauwkeurig te identificeren:
- de belanghebbenden (vertegenwoordiger, onderaannemers, medeverantwoordelijken, enz.) die betrokken zijn bij de gegevensverwerking,
- de categorieën van verwerkte gegevens,
- waarvoor deze gegevens gebruikt worden (wat u ermee doet), wie toegang heeft tot de gegevens en aan wie ze worden meegedeeld,
- Î combien de temps vous les conservez,
- Î comment elles sont sécurisées.
Daarnaast dient voor elke verwerkingsactiviteit minimaal de volgende elementen te bevatten:
- indien van toepassing, de naam en contactgegevens van de betrokken verwerkingsverantwoordelijke
- de doeleinden van de verwerking, het doel waarvoor u deze gegevens heeft verzameld
- de betrokken categorieën van personen (mede-eigenaars, leveranciers, enz.)
- de categorieën van persoonsgegevens (voorbeelden: identiteit, familie, economische of financiële situatie, bankgegevens, verbindingsgegevens, locatiegegevens, enz.)
- de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden meegedeeld, inclusief de onderaannemers die u inschakelt
- de voorziene termijnen voor het wissen van de verschillende categorieën gegevens, d.w.z. de bewaartermijn, of bij gebrek daaraan, de criteria om deze te bepalen
- waar mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u treft
Is een DPO (Data Protection Officer) verplicht bij mede-eigendom?
De DPO heeft vooral een opdracht van informatie, advies en controle. Hij is niet verantwoordelijk voor de conformiteit van de organisatie of the bijhouden van het register. De DPO is als enige belast met het toezicht op de naveling van de GDPR.
De aanstellling van een DPO is verplicht in de volgende gevallen: wanneer het een overheidsinstantie is, in het geval van een bedrijf waarvan de activiteit bestaat uit het uitvoeren van regelmatige en systematische monitoring van mensen op grote schaal, of het verwerken van "gevoelige" gegevens op grote schaal.
We kunnen dus concluderen date de DPO niet verplicht is in mede-eigendom; het wordt gewoon ten zeerste aanbevolen in grote flatgebouwen.
Controle en verantwoordelijkheden
De Gegevensbeschermingsautoriteit (GBA) is een onafhankelijk toezichthoudend orgaan dat verantwoordelijk is voor de naleving van de fundamentele beginselen van de bescherming van persoonsgegevens. De Autoriteit werd binnen de Belgische Kamer van volksvertegenwoordigers opgericht bij de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit en volgt de Commissie voor de bescherming van de persoonlijke levenssfeer op.
De GBA kan de evenredigheid nagaan van de genomen maatregelen met betrekking tot de gevoeligheid van de verwerkte gegevens en de risico's die de betrokken personen lopen.
De GBA kan een informatieve rol spelen bij het opvolgen van een verzoek of repressief bij het opvolgen van een klacht met nalevingsverplichtingen of forse boetes.
Is de syndicus verantwoordelijk
voor de verwerking?
In een mede-eigendom is de syndicus in feite de verwerkingsverantwoordelijke. Hij moet ervoor zorgen dat de GDPR wordt nageleefd door zijn syndicuskantoor, de medewerkers die de dossiers beheren en de VME’s.
Als verwerkingsverantwoordelijke moet hij er ook voor zorgen dat de leveranciers zelf voldoen aan de GDPR. Deze verplichtingen moeten expliciet terug te vinden zijn in leverancierscontracten. Deze contracten moeten met name bepalen dat in geval van hacking of verlies van gegevens de leverancier de syndicus binnen de 72 uur moet informeren.
Vraag en Antwoord
Beveiligingscamera's: vergeet het pictogram niet
Wanneer de VME besluit om bewakingscamera's in het gebouw te plaatsen, is de syndicus verplicht een pictogram te plaatsen. Het pictogram dient als toestemming en de aanwezigheid van camera’s de ingang van een bewaakte locatie.
Naast de huidige vermeldingen op het pictogram dat het bestaan van cameratoezicht aangeeft, wordt sinds de wet van 11 december 2018 ook het telefoonnummer van de syndicus toegevoegd, indien nodig, de contactgegevens van uw DPO, en de website waar mensen ten alle tijden alle wettelijke informatie over de verwerking van beelden kunnen raadplegen.
Opgelet: bij afwezigheid van een pictogram is er sprake van een dubbele inbreuk: afwezigheid van pictogram en afwezigheid van toestemming.
Overdracht van gegevens van mede-eigenaars
De syndicus is verplicht de lijst en de persoonsgegevens bij te werken van wie gerechtigd is deel te nemen aan de beraadslagingen van de algemene vergadering, en de mede-eigenaars op hun eerste verzoek en de notaris indien hij de syndicus hiertoe verzoekt in het kader van de overschrijving van akten die overeenkomstig artikel 1, eerste lid, van de hypotheekwet van 16 december 1851 op het hypotheekkantoor worden overgeschreven, de naam, het adres, de aandelen en de referenties van de kavels van de andere mede-eigenaars te bezorgen (art 3.89 §5 -14°). De bestemmeling van deze informatie kan deze gegevens niet opnieuw doorgeven zonder toestemming van de betrokken personen.
Sinds de beslissing 27/2020 van 29 mei 2020 door de Geschillenkamer kan de syndicus onder bepaalde voorwaarden, de telefoonnummers en e-mailadressen toevoegen. Zodra aan deze wettelijke verplichting is voldaan, is de syndicus ontheven van verdere verantwoordelijkheid met betrekking tot deze specifieke verwerking.
De motivering van de beslissing 27/2020 van 29 mei 2020 door de Geschillenkamer die de mogelijke uitbreiding van de contactgegevens die naar de telefoon en naar het e-mailadres bevestigt luidt als volgt:
https://www.gegevensbeschermingsautoriteit.be/publications/zonder-gevolg-nr.-27-2020.pdf
"Gezien het wijdverbreide gebruik van zowel e-mail als (mobiele) telefoon als communicatiemiddel acht de Geschillenkamer het echter niet disproportioneel dat de syndicus dergelijke contactgegevens (van de ene en/of de andere mede-eigenaar) doorgeeft aan een nieuwe mede-eigenaar, op voorwaarde dat de mede-eigenaren toestemming hebben gegeven aan de syndicus om als contactpunt op te treden en dat deze laatste dit aanvaardt en op voorwaarde dat de mede-eigenaren er ook mee hebben ingestemd dat hun contactgegevens worden meegedeeld aan de mede-eigenaren die daarom vragen"
E-mails met iedereen in cc
E-mails zijn snelle communicatiemiddelen; maar opgelet, de inhoud van sommige mails zijn niet altijd bestemd voor alle mede-eigenaars. Bijvoorbeeld in het geval van een rechtszaak, of onbetaalde schulden van een mede-eigenaar… enz. Best is nooit alle mede-eigenaars in kopie van bepaalde e-mails te plaatsen.
Tip:
Plaats een disclaimer onder uw e-mails om mensen die per abuis een e-mail van u ontvangen te vragen u te verwittigen en de e-mail direct te verwijderen. Zie voorbeeld hieronder:
"Dit bericht kan persoonlijke en vertrouwelijke informatie bevatten. Als het per abuis naar u is verzonden, antwoord dan om de afzender op de hoogte te stellen van de fout en verwijder dit bericht onmiddellijk. Ga naar https://www.uvsyndici.be/nl/disclaimer/91 voor andere belangrijke informatie met betrekking tot dit bericht."
Website van de syndicus en/of de mede-eigendom
De website moet altijd de disclaimer en cookies vermelden. Dit zal nu worden gecontroleerd door de APD wiens strategie voor 2023 is om zowel het cookiebeleid als de rol van de DPO te controleren.
Advies van UVS aan syndici
- Pas het syndicus-contract door gebruik te maken van clausules inzake gegevensbescherming voor alle taken en verplichtingen in verband met de AVG (beschrijving van de verwerking met de doeleinden, de grondslagen van de rechtmatigheid, de duur van de bewaring van gegevens, de procedures voor de uitoefening van rechten door individuen, enz.).
- Vermeld een specifiek tarief voor de taken die betrekking hebben tot de GDPR
- Controleer de contracten van alle leveranciers op de GDPR conformiteit
- Stel een register op per VME (een modeldocument zal binnenkort beschikbaar zijn voor de leden van UVS op het intranet)
- Plaats een informatief agendapunt over de GDPR op elke AV en vraag welke gegevens u mag overmaken in het kader van art 3.89-§5-14°.
INFO
Dominique Krickovic
Directrice UVS
(Unie van Syndici vzw)
Voorzitter UDS
(Union des Syndics asbl)
Beëdigd Expert in Medeeigendom (vzw Kavex)
In samenwerking met
Jean-Pierre Heymans
Privacy Praxis srl
Chaussée de Louvain 498 - C5
1380 Lasne
jp@privacypraxis.com
https://www.privacypraxis.com/