Ieder van ons heeft heel wat persoonlijke gegevens: naam, adres, telefoonnummer, het IP-adres van onze computer, onze surfgeschiedenis op het internet, wat we delen of liken op sociale media enzovoort. Zodra die gegevens worden verwerkt in een bestand (elektronisch of op papier) geldt de nieuwe Algemene Verordening Gegevensbescherming (AVG).
Sinds 25 mei 2018 is in heel de Europese Unie ter zake nieuwe wetgeving van toepassing. Deze nieuwe wetgeving beoogt een uniformere aanpak van de gegevensbescherming in de lidstaten van de Unie.
De belangrijkste vernieuwing is, dat elkeen voortaan altijd actief toestemming moet geven vooraleer diens gegevens verzameld en verwerkt mogen worden. Elkeen heeft tevens het recht om te vragen welke gegevens een bedrijf, organisatie of instelling van hem bewaart. Deze bedrijven, organisaties of instellingen zijn verplicht daarop helder te antwoorden. Iedereen kan ook vragen zijn gegevens te verbeteren of te laten wissen.
Persoonlijke gegevens verzamelen mag slechts voor specifieke doeleinden. Er moet bovendien kunnen aangetoond worden dat dat zorgvuldig, veilig en verantwoordelijk gebeurt. En steeds moet er een privacyverklaring opgesteld worden die duidelijk informeert wat wordt verzameld, waarom, of die gegevens doorgegeven worden aan derden en hoe lang deze gegevens worden bewaard.
Extra beschermd worden bijzondere categorieën van persoonsgegevens. Dat zijn de gevoelige gegevens zoals die over gezondheid. Ook informatie over de godsdienstige overtuiging valt daaronder.
Artikel 9 van de Algemene Verordening Gegevensbescherming (AVG) bepaalt dat verwerkingen waaruit religieuze overtuigingen blijken, in principe verboden zijn. Het verbod wordt opgeheven onder de volgende voorwaarden:
- als de verwerking wordt uitgevoerd door een stichting, vereniging of andere non-profitorganisatie die een religieus doel nastreeft in het kader van haar legitieme activiteiten;
- op voorwaarde dat de verwerking uitsluitend betrekking heeft op leden, voormalige leden of personen die regelmatig contact onderhouden met de organisatie in verband met haar doelstellingen;
- dat de gegevens niet buiten deze organisatie worden gecommuniceerd zonder toestemming van de betrokken personen.
Artikel 91 van de AVG bepaalt dat kerken, verenigingen of religieuze gemeenschappen die vanaf 24 mei 2016 uitgebreide regels betreffende de bescherming van natuurlijke personen in verband met verwerking toepassen, dezelfde regels mogen blijven toepassen op voorwaarde dat ze aangepast worden aan deze verordening.
Kerken, religieuze verenigingen of gemeenschappen zijn onderworpen aan de controle van een onafhankelijke toezichthoudende autoriteit.
De lidstaten moeten een of meer toezichthoudende autoriteiten oprichten. Deze toezichthoudende autoriteiten zijn verantwoordelijk voor het toezicht op de toepassing van de verordening.
Het Belgisch Staatsblad publiceerde op 10 januari 2018 de wet van 3 december 2017 betreffende de oprichting van de gegevensbeschermingsautoriteit.
Deze gegevensbeschermingsautoriteit vervangt de Commissie voor de bescherming van de persoonlijke levenssfeer.
Bisdommen moeten zich houden aan de bepalingen van de verordening en in het bijzonder aan de artikelen 9 en 91
1. De pastoor of deken is de verantwoordelijke voor de verwerking van de persoonsgegevens. Hij
- moet zijn identiteit bekend maken aan de betrokken persoon (zijn contactgegevens meedelen). De ‘betrokken persoon’ is de natuurlijke persoon die in leven is van wie de persoonsgegevens verwerkt worden;
- moet de ‘betrokken persoon’ op de hoogte brengen van het doel van de verwerking en van zijn rechten (toegang tot de gegevens, recht om deze te laten corrigeren, om de gegevens te laten bijwerken, de gegevens te laten verwijderen, of de link te verwijderen) zie Bijlage 1;
- kan alleen de gegevens opvragen die nodig zijn voor het doel;
- moet de vertrouwelijkheid en veiligheid van de gegevens waarborgen;
- mag de gegevens niet langer bewaren dan voorzien is voor het doel.
De persoonsgegevens opgenomen in de parochieregisters worden ad vitam aeternam bewaard.
2. Om de gegevens te verzamelen, moet de toestemming van de betrokkene worden verkregen en ook moet de betrokken persoon zijn toestemming geven indien de verzamelde gegevens aan een derde (al dan niet verplicht) worden doorgegeven.
Toestemming van de betrokkene is niet vereist wanneer er een wettelijke basis is voor de verwerking van de persoonsgegevens, zoals b.v. een arbeidsovereenkomst of een wettelijk statuut.
3. De functionaris voor gegevensbescherming (artikel 37 1. c van de AVG)
De verantwoordelijke voor de verwerking wijst een functionaris voor gegevensbescherming aan wanneer de kernactiviteit van de verantwoordelijke voor de verwerking bestaat uit grootschalige verwerking van gegevens waaruit religieuze overtuigingen blijkt.
De gegevensbeschermingsfunctionaris wordt aangesteld op basis van zijn professionele kwaliteiten, zijn kennis van de wet en de gegevensbeschermingspraktijken.
Voor de Kerk in België is de secretaris-generaal van de rooms-katholieke Bisschoppenconferentie van België de functionaris voor de bescherming van persoonsgegevens (Interdiocesaan Centrum vzw, Guimardstraat 1, 1040 Brussel, tel: 02 507 05 93, e-mail: ce.belgica@interdio.be).
4. Register van activiteiten voor de verwerking van persoonsgegevens - artikel 30 van de verordening - (het betreft hier een soort interne regels).
Model van register van de verwerkingsactiviteiten
Het register kan op papier of in elektronische vorm bestaan en moet de in artikel 30 van de verordening vereiste gegevens bevatten.
- Contactgegevens van de verantwoordelijke en de functionaris voor gegevensbescherming;
- Gedetailleerde beschrijving van de doeleinden van de verwerking – zie voor voorbeelden zie Bijlage 2;
- Categorieën van betrokken personen (man, vrouw, kind enz.);
- Categorieën van persoonsgegevens van betrokkenen (naam, adres telefoonnummer, foto enz.);
- Overdracht van persoonsgegevens (bijv. aan het bisdom);
- Hoe lang moeten de gegevens bewaard worden? (bijvoorbeeld 10 jaar of ad vitam aeternam);
- Een beschrijving van de technische en organisatorische maatregelen die zijn genomen om de veiligheid en vertrouwelijkheid van de verwerking te waarborgen (bijv. Toegangscode);
- Het recht om vergeten te worden – binnen een redelijke termijn (op dit moment kan nog niet gezegd worden hoe dit recht in België in de praktijk vorm krijgt. Deze vraag wordt opnieuw voorgelegd aan de gegevensbeschermingsautoriteit na 25 mei 2018).
Suggesties
- Wij raden aan de contactgegevens van de verwerkingsverantwoordelijke in uw parochie of dekenaat, van de functionaris voor gegevensbescherming en van de toezichthoudende autoriteit (zie Bijlage 1) duidelijk op de website van de parochie of het dekenaat te plaatsen.
- Wij raden eveneens aan om aan alle natuurlijke personen die in uw adresbestanden voorkomen de ingevulde Bijlage 1 toe te sturen met het verzoek deze te ondertekenen en terug te sturen naar de parochie of het dekenaat.
Download Bijlage 1
Download Bijlage 2
Lees ook 'Veelgestelde vragen in verband de Algemene Verordening Gegevensbescherming'.