Wat u moet weten.
De GDPR geldt niet alleen in de relaties tussen ondernemingen en hun werknemers en (B2C) klanten. Ook in de B2B relaties met leveranciers en (B2B) klanten speelt de GDPR een belangrijke rol. In die relaties zal er immers steeds een doorgifte van persoonsgegevens zijn. Denk bijvoorbeeld aan e-mail correspondentie die het professioneel e-mailadres en de functie van de betrokken medewerkers vermeldt. De doorgifte van persoonsgegevens kan ook een direct gevolg zijn van de samenwerking, bijvoorbeeld wanneer een beroep wordt gedaan op een sociaal secretariaat voor loonsadministratie of een IT bedrijf voor de ontwikkeling van software.
Welke verplichtingen de GDPR koppelt aan deze doorgiften, is afhankelijk van de hoedanigheid van de betrokken ondernemingen (zie, GDPR Toolkit 09). Tussen een verwerkingsverantwoordelijke en een verwerker vereist artikel 28 GDPR dat partijen een verwerkersovereenkomst afsluiten. Tussen gezamenlijke verwerkingsverantwoordelijken vereist artikel 26 GDPR een onderlinge taakverdeling. Doorgiften buiten de EER zijn verder onderworpen aan bijzondere mechanismen met als doel er een gelijkwaardig beschermingsniveau te bieden aan de betrokken persoonsgegevens. Houd onze volgende Privacy Talks zeker in de gaten voor praktisch tips hieromtrent.
Voor de verwerking van persoonsgegevens van contactpersonen bij leveranciers, klanten en andere partners (bijvoorbeeld als gevolg van e-mailcorrespondentie) zijn geen specifieke regels voorzien in de GDPR. Vanzelfsprekend gelden wel de “algemene” verplichtingen zoals het vereiste van een rechtmatige grondslag, transparantie, etc. Deze verplichtingen krijgen nu vaak een praktische vertaalslag in B2B overeenkomsten. Het is immers belangrijk dat ondernemingen de “passende maatregelen” treffen voor de doorgifte van persoonsgegevens (artikel 24 GDPR).
Wat u moet doen.
Telkens wanneer uw onderneming een nieuwe B2B overeenkomst sluit, is het belangrijk om na te gaan welke persoonsgegevens zullen worden doorgegeven in het kader van die overeenkomst, in welke hoedanigheid uw onderneming en de andere contractspartij(en) handelen (afzonderlijke verwerkingsverantwoordelijke, verwerker en/of gezamenlijke verwerkingsverantwoordelijke) en waar de partijen gevestigd zijn (binnen of buiten de EER).
In functie van die analyse moeten de nodige gegevensbeschermingsclausules worden opgenomen in de B2B overeenkomst:
- In elke B2B relatie zal er minstens een (wederzijdse) doorgifte zijn van persoonsgegevens van contactpersonen (professionele contactgegevens, functie, …). Dit is in principe een doorgifte tussen afzonderlijke verwerkingsverantwoordelijken. Dit betekent dat de ondernemingen elk langs hun kant de verplichtingen van de GDPR moeten naleven. Het is zinvol om dit uitdrukkelijk in de overeenkomst op te nemen.
- Hieraan kunnen verdere beperkingen en verplichtingen inzake het gebruik van deze persoonsgegevens door de “ontvangende” onderneming worden toegevoegd. Dit kan onder meer door de doeleinden waarvoor de persoonsgegevens mogen worden gebruikt, uitdrukkelijk te omschrijven.
- Daarnaast is het nuttig om ook een wederzijdse bijstandsverplichting op te nemen, bijvoorbeeld, in het kader van de transparantieverplichting en verzoeken van betrokkenen. Denk op dit vlak ook zeker aan uw algemene voorwaarden.
Auteurs:
Anouk Focquet - anouk.focquet@contrast-law.be
Laurence Vanhyfte - laurence.vanhyfte@contrast-law.be