GDPR en persoonsgegevens: hoe zit het in elkaar?

Je verzamelt als werkgever veel gegevens over je medewerkers. Omdat hieraan enkele (privacy)regels verbonden zijn, is het belangrijk dat je weet wat je precies mag bewaren en hoelang je deze gegevens mag bijhouden volgens GDPR.

Wat is GDPR?

Wat zijn persoonsgegevens?

Wat zijn gevoelige gegevens?

Wat zijn de bewaartermijnen volgens GDPR?

Wat als ik als ondernemer GDPR niet naleef?

Wat is GDPR?

GDPR is een afkorting die staat voor General Data Protection Regulation. Het heeft betrekking op de gegevensbescherming. GDPR is de veelbesproken Europese wetgeving voor het verwerken van persoonsgegevens. Zo legt deze wet vast wat mag gebeuren met zulke gegevens, welke procedures worden toegepast en hoe ze beschermd worden.

Wat zijn persoonsgegevens?

Het gaat over alle informatie waardoor iemand geïdentificeerd kan worden: een naam, adres, leeftijd, e-mailadres, bankrekingnummer, medisch verslag, enzovoort.

Wat zijn gevoelige gegevens?

Gevoelige gegevens zijn gegevens die extra beschermd worden in de wetgeving. Alleen in specifieke omstandigheden mogen dergelijke gegevens gebruikt en verwerkt worden. Denk aan: ras, etniciteit, religieuze overtuiging of politieke opvattingen. Daarnaast vallen ook gegevens over seksuele geaardheid en gezondheid onder deze noemer.

Wat zijn de bewaartermijnen volgens GDPR?

Bepaalde bewaartermijnen zijn bij wet vastgelegd. Dat is het geval bij gegevens omtrent boekhouding of fiscale verwerkingen (de wettelijke bewaartermijn hiervoor is 7 jaar). Tevens voor de meeste sociale verwerkingen is de wettelijke bewaartermijn 5 jaar.

De overige bewaartermijnen dien je per geval te beoordelen en vast te leggen in functie van de verwerkingsactiviteit. Camerabeelden kunnen maximaal één maand bewaard worden, behalve wanneer zulke beelden een bijdrage kunnen leveren bij het bewijzen van een misdrijf, schade of overlast, bij het identificeren van een dader, enzovoort.

Wat als ik als ondernemer GDPR niet naleef?

Sinds de inwerkingtreding ervan in 2018, werden er steeds meer sancties opgelegd in de Europese Unie. In een tijdperk waarin gegevensbeheer een centrale plaats bekleedt in de privacybescherming, kan een vertrouwensbreuk ernstigere gevolgen hebben dan een boete.

Vorig jaar legde de Gegevensbeschermingsautoriteit (GBA) een monsterboete van 15.000 euro op aan een Belgische onderneming waarvan het cookiegebruik niet voldeed aan GDPR en de e-privacyrichtlijn. Voorkom boetes en andere eventuele sancties door de wetgeving hieromtrent goed na te leven.