GDPR voorziet een uitzondering op haar toepassingsgebied voor zuiver persoonlijke of huishoudelijke activiteiten. Een diepere analyse van het artikel wijst evenwel uit dat deze bepaling niet altijd even glashelder is. In dit artikel zetten we een aantal belangrijke punten uiteen.
1. Wat valt niet onder GDPR?
We kunnen ervan uitgaan dat de volgende zaken niet onder het toepassingsgebied van GDPR vallen:
- het voeren van correspondentie binnen de privésfeer;
- het bijhouden van een adresbestand van familie, vrienden en kennissen;
- het uitvoeren van online-activiteiten, en;
- het beheren van een sociaal netwerken.
2. Eerste kanttekening
Bij de laatste twee punten, namelijk online-activiteiten en sociaal netwerken, dienen we een belangrijke kanttekening te maken. Het is namelijk niet zo dat alles wat een natuurlijke persoon op sociale media publiceert, automatisch buiten het toepassingsgebied van GDPR valt. Het dient immers te gaan om “besloten” sociale media accounts. Dit betekent dat slechts een beperkte groep personen (het “sociaal netwerk”) toegang mag hebben tot de persoonsgegevens.
Indien iemand persoonsgegevens van één of meerdere personen publiceert, waardoor deze gegevens openbaar worden, valt dit niet meer onder de uitzondering van “zuiver persoonlijke of huishoudelijke activiteit”. Op dat moment valt die natuurlijke persoon onder het toepassingsgebied van GDPR. Bovendien is er ook sprake van een overtreding: dit alleen al omdat deze persoon niet over een privacybeleid beschikt.
Ook wanneer u bijvoorbeeld een post op Facebook publiceert waarin u meedeelt dat u duimt op de goede afloop van een operatie van een geïdentificeerd persoon (en u deze persoon gaat taggen), bent u eigenlijk persoonsgegevens aan het verwerken. Het gaat in dit geval zelfs om persoonsgegevens over de gezondheid van die betrokken persoon. Dit is een bijzondere categorie van persoonsgegevens die schade zou kunnen berokken aan de betrokken persoon. Wat als een toekomstige werkgever deze post ziet tijdens een rekrutering? Of wat als een verzekeraar voor hospitalisatie deze persoonsgegevens zou vinden?
3. Tweede kanttekening
Een bijkomende vraag die wij ons stellen, is: wat wordt verstaan onder een “besloten” sociale media account? Op bepaalde sociale media kunnen bijvoorbeeld “vrienden van vrienden” ook posts raadplegen. Wat als zij op hun beurt de post delen met hun netwerk en de “vrienden van hun vrienden” deze posts ook kunnen raadplegen?
En waar ligt de grens van een “besloten” sociale media account? We stellen het als volgt voor: een eerste persoon heeft een privé account met 200 vrienden op sociale media. Een tweede persoon heeft echter 5.000 vrienden. Bij beide personen geldt dat hun posts enkel zichtbaar zijn voor hun eigen vrienden. Kunnen we bij de tweede persoon nog steeds spreken van een “besloten” account?
Auteurs: Marc D'hoore en Liesbet Demasure, advocaten bij Marlex