Als syndicus heb ik per ongeluk een e-mail verstuurd aan een leverancier van de vereniging van mede-eigenaars (VME) waarin alle persoonsgegevens staan van de mede-eigenaars die tegenover de VME een achterstal hebben. Wat moet ik nu doen?
De Algemene Verordening Gegevensbescherming (AVG)
Om de persoonlijke gegevens van Europese burgers te beschermen, waaronder zij die in België wonen, geldt sinds 25 mei 2018 de Europese privacyverordening, de zogenaamde General Data Protection Regulation (GDPR) of in het Nederlands, de Algemene Verordening Gegevensbescherming (AVG).
De GDPR is van toepassing op de gehele of gedeeltelijke geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Bij een gedwongen mede-eigendom met een vereniging van mede-eigenaars worden tal van persoonsgegevens bezorgd en uitgewisseld.
Ook van toepassing op een VME?
Binnen de VME worden tal van gegevens van natuurlijke personen verwerkt. Dit maakt dat de GDPR-regelgeving ook op een VME van toepassing is.
De grootte van het gebouw (klein, middelgroot of groot) dan wel of om een groep van gebouwen gaat, speelt daarbij geen enkele rol. Het maakt evenmin uit of de VME voor het beheer beroep doet op een professionele of op een mede-eigenaar syndicus.
Elke VME moet via de zogenaamde verwerkingsverantwoordelijke (= degene die de verantwoordelijkheid draagt) er dus voor zorgen dat zij in regel is met deze Europese privacywetgeving. Dat ze m.a.w. GDPR-compliant is.
Dit houdt in dat de VME aan tal van (administratieve) verplichtingen moet voldoen. Het is aan de verwerker van de gegevens (de syndicus) om ervoor te zorgen dat de VME in regel is.
Gebeurt dit niet, dan kan zowel aan de VME als aan de syndicus een administratieve sanctie onder de vorm van een (zeer hoge) boete worden opgelegd.
En wat als men per ongeluk persoonsgegevens naar de andere mede-eigenaars mailt?
Wanneer er per ongeluk ongeoorloofde toegang werd verkregen door onbevoegden door middel van doorgezonden verwerkte gegevens, bijvoorbeeld door het verzenden van e-mailberichten naar foutieve e-mailadressen, dan is er volgens de inhoud van de GDPR-wetgeving sprake van een datalek of van een inbreuk in verband met persoonsgegevens.
In dat geval moet de verwerker inschatten of de inbreuk al dan niet een hoog risico inhoudt voor de rechten en vrijheden van de betrokken natuurlijke persoon of personen.
In voorkomend geval moet de verwerkingsverantwoordelijke, via haar syndicus, zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, de Gegevensbeschermingsautoriteit (GBA) op de hoogte brengen van de inbreuk.
De syndicus moet de betrokkenen tevens onmiddellijk informeren dat er zich een datalek heeft voorgedaan en hen op de hoogte brengen van de getroffen maatregelen.
Het opmaken van een GDPR-dossier, waardoor de VME in regel is met de Europese Privacywetgeving, alsook het op een correcte manier informeren van alle betrokken partijen over hun rechten en plichten binnen de mede-eigendom, hoe klein deze ook is, mag niet licht worden opgevat.
Gelet op het belang ervan, wordt daarvoor best beroep gedaan op een expert.
JULLIE VME IS NOG NIET IN ORDE MET DEZE VERPLICHTING? WIJ REGELEN DIT VOOR JULLIE VME.
CONTACTEER ONS VIA HET ONLINE FORMULIER OP ONZE WEBSITE OF STUUR EEN E-MAIL NAAR: INFO@DEVRIJWILLIGESYNDICUS.BE