Wat is een gegevensverwerking?

Met "gegevensverwerking" wordt bedoeld: elke mogelijke bewerking die op deze persoonsgegevens wordt uitgevoerd, zoals verzamelen, gebruiken, beheren of meedelen.

Enkele voorbeelden:

  • een winkel die een klant vraagt een antwoordstrookje in te vullen, verwerkt gegevens;
  • een hotel dat de mogelijkheid biedt online te reserveren verwerkt eveneens gegevens wanneer het daarvoor de naam van de gast(en), verblijfsdata en een kredietkaartnummer opvraagt.

De informatie- en communicatietechnologieën zijn snel geëvolueerd, wat veel mogelijkheden en talrijke voordelen biedt.

Door het gebruik van computers en van het internet kunnen bedrijven maar ook de overheid een betere dienstverlening garanderen en wordt ons dagelijkse leven vergemakkelijkt.

Het gebruik van die technologieën kan echter ook onze privacy in gevaar brengen. De gegevens die door technologieën worden verspreid zijn immers vaak persoonlijk. Gegevensbanken of bestanden met persoonsgegevens worden aangelegd, gebruikt, meegedeeld en verkocht. Het wordt dan ook steeds moeilijker te weten wie welke gegevens heeft en wat ermee gebeurt; we hebben niet langer de controle over onze gegevens. Het gevaar op misbruik is bijgevolg groot.

Sinds 1992 bestaat in België een wet die ervoor zorgt dat persoonsgegevens niet zomaar kunnen worden verwerkt. Deze wet is beter gekend als de Privacywet. De Belgische Privacywet omschrijft heel precies op welke manier en onder welke omstandigheden persoonlijke gegevens mogen worden verwerkt of doorgegeven. De Privacywet creëert een kader voor het gebruik van persoonsgegevens. Deze wet bepaalt ook de rechten en plichten van de persoon wiens gegevens verwerkt worden, net als de rechten en plichten van de verwerker zelf.

Voor u verder leest, is het belangrijk dat u weet dat de Privacywet niet van tel is als gegevens verzameld worden voor puur persoonlijke of huishoudelijke doeleinden.

Dat is bijvoorbeeld het geval voor een persoonlijke elektronische agenda of privéadressenbestand. Verder zijn journalisten, schrijvers en kunstenaars vrijgesteld van bepaalde verplichtingen opgelegd door de Privacywet in het kader van journalistieke en artistieke vrijheid.
Een gegevensverwerking begint met het verzamelen van gegevens. Maar vóór de gegevens worden verzameld moet de verantwoordelijke voor de verwerking bij de Privacycommissie aangifte doen van die verwerking. U kunt alles over de aangifte lezen in het themadossier aangifte.

De verzameling van gegevens moet eerlijk en dus transparant verlopen. Dit betekent dat de persoon op wie de gegevens betrekking hebben (betrokken persoon) daarover informatie moet krijgen van de persoon die gegevens verzamelt (verantwoordelijke voor de verwerking of zijn vertegenwoordiger).

De verantwoordelijke voor de verwerking moet:

  • aangeven waarom hij persoonsgegevens wil verkrijgen;
  • zijn contactgegevens doorgeven;
  • laten weten wie de gegevens zal krijgen;
  • vermelden dat de betrokken persoon het recht heeft zijn gegevens in te kijken en te verbeteren; 
  • vermelden dat de betrokken persoon zich kosteloos mag verzetten tegen het gebruik van zijn gegevens voor direct marketing, zoals bv. reclameacties.

De verantwoordelijke voor de verwerking mag niet:

  • zeggen dat hij een bepaald doel nastreeft terwijl hij met de verzamelde gegevens andere bedoelingen heeft;
  • handelen zonder medeweten van de betrokken persoon. Als die laatste bv. via een website een bestelling plaatst en u daardoor zijn persoonsgegevens moet meedelen, moet de website in een rubriek voorzien die vermeldt wat er met de gegevens zal gebeuren. Deze rubriek wordt meestal "privacy policy" genoemd. Het is dan ook van belang dat de betrokken persoon deze rubriek op voorhand leest.

Persoonsgegevens mogen enkel worden verzameld als ze noodzakelijk zijn om het aangekondigde doel te bereiken en ze ter zake kunnen dienen.

Zo mag een handelaar de naam en het adres van zijn klanten vragen om hun facturen toe te sturen of hen over zijn commerciële activiteiten te informeren. Hij heeft echter geen geldige reden om de geboortedatum of het beroep van zijn klanten te vragen.

Wie gegevens verwerkt, is niet altijd verplicht om zich rechtstreeks tot de betrokken persoon te richten om zijn gegevens te verkrijgen. Hij kan de gegevens ook bekomen bij een andere persoon of bij instellingen of maatschappijen die over gegevensbanken beschikken.

Twee voorbeelden:

  • een huisarts stuurt de gegevens van een patiënt naar een specialist;
  • een bedrijf kan aan een uitzendbureau vragen om een lijst te sturen met het curriculum vitae van de personen die aan een gewenst beroepsprofiel beantwoorden.

Het principe dat de betrokken persoon op de hoogte moet zijn, blijft echter gelden.

Als het onmogelijk is of onredelijk veel moeite kost om de betrokken personen in te lichten, is de verantwoordelijke voor de verwerking vrijgesteld van die informatieplicht. Hij moet daarover echter altijd verantwoording afleggen bij de Privacycommissie. Hij voegt zijn verantwoording dan bij de aangifte die hij moet doen vóór hij start met de verwerking.