Zijn er uitzonderingen?
De verplichting een Register bij te houden, soms ook vermeld als de 'interne documentatieplicht', is niet van toepassing op ondernemingen met minder dan 250 werknemers, onder bepaalde voorwaarden (art. 30.5. van de AVG). Het toepassingsgebied van deze uitzondering is echter zeer beperkt.
Ondernemingen en organisaties met minder dan 250 personen in dienst, zijn immers wel verplicht een Register bij te houden in de volgende gevallen:
- Als de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen (zie punt 18 van de CBPL-aanbeveling);
- OF als de verwerking betrekking heeft op gevoelige gegevens. Dit betreft de verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (artikel 9 van de AVG);
- OF als de verwerking betrekking heeft op gerechtelijke gegevens. Dit betreft persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen (art. 10 van de AVG);
- OF als de gegevensverwerking gewoonlijk is, bv. bij verwerkingsactiviteiten gelinkt aan het klantenbeheer, het personeelsbeheer (human resources) of het leveranciersbeheer.
Slechts als ze zich niet in een van deze 4 gevallen bevinden, moeten ondernemingen met minder dan 250 werknemers geen Register aanhouden. De GBA stelt een schema ter beschikking om u op eenvoudige wijze duidelijk te maken of u voor deze zeer beperkt toepasbare uitzondering in aanmerking komt.
Als een kleine organisatie met minder dan 250 personen, gewoonlijk persoonsgegevens verwerkt (dus niet incidenteel (bij gelegenheid, toeval of onvoorzien)) zoals meestal het geval is voor het personeelsbeheer – kan ze haar Register beperken tot haar gewoonlijke gegevensverwerking. De strikt incidentele verwerkingen hoeven niet in het Register te worden opgenomen. Deze beperking is echter alleen mogelijk als deze incidentele verwerkingen geen risico's inhouden of gevoelige gegevens betreffen.
Algemeen beschouwd beveelt de GBA alle verwerkingsverantwoordelijken en verwerkers aan een Register aan te houden omdat het een overzicht biedt van de verwerkingen.