Persoonsgegevens, het is een veelgebruikte term sinds de komst van GDPR. Maar wat is nu precies een persoonsgegeven? Dit begrip gaat veel verder dan je zou denken, dus jouw data bevatten sneller persoonsgegevens dan je eerste instantie zou denken. Daarbij ben je dus ook onderworpen aan de GDPR wetgeving. Isha Upadhyaya legt dit helder uit in deze Sirius.Talks.
Transcript
Persoonsgegevens zijn alle stukjes informatie die iets zeggen of kunnen zeggen over een persoon, ongeacht de vraag of we die persoon bij naam kunnen aanduiden. In tegenstelling tot wat vaak nog gedacht wordt, gaat het dan niet alleen om je naam, geslacht, e-mailadres of telefoonnummer. Maar ook je IP-adres, profielinformatie, aankoopgedrag, voorkeuren, hobby’s, locatiegegevens, inkomen of je surfgedrag online zijn persoonsgegevens. Het feit dat je vandaag op een “anoniem” profiel nog geen naam kan plakken, betekent niet dat de profielinformatie geen persoonsgegeven uitmaakt.
Bedrijven die persoonsgegevens verwerken, moeten voldoen aan de voorwaarden uit de GDPR. Als bedrijf mag je zo bijvoorbeeld niet méér persoonsgegevens verwerken dan noodzakelijk voor het bereiken van een bepaald doel, mag je gegevens niet langer bijhouden dan nodig en mag je gegevens niet zomaar gebruiken voor andere doelen dat waarvoor je de gegevens initieel verkregen hebt.
Daarnaast heb je voor élke verwerking van persoonsgegevens een zogenaamde “rechtsgrond” nodig. In heel wat gevallen is dat de voorafgaande toestemming of opt-in van de betrokkene, maar de GDPR kent nog 5 andere rechtsgronden die je kunnen toestaan om persoonsgegevens te verwerken.
Belangrijk is om vooraf steeds de meest aangewezen rechtsgrond te zoeken, die duidelijk te communiceren aan de betrokkene (in je privacy policy) en zeker geen gegevens te verwerken als je geen gepaste rechtsgrond hebt.
De GDPR geeft overigens een speciale status aan een aantal bijzondere categorieën van persoonsgegevens. Dit gaat over gevoelige persoonsgegevens, zoals politieke opvattingen, religieuze overtuigingen, lidmaatschap van een vakbond of medische gegevens. De verwerking hiervan is in principe verboden, tenzij je voldoet aan bepaalde voorwaarden.
Je mag deze gevoelige gegevens bijvoorbeeld wel verwerken als de betrokkene volledig vrij en uitdrukkelijke toestemming geeft of bijvoorbeeld ook om de “vitale belangen van de betrokkene te beschermen” als deze in levensgevaar zou zijn.