Eén van de centrale begrippen van de GDPR is het begrip ‘persoonsgegevens’. Dit begrip bepaalt namelijk of de GDPR van toepassing is op de verwerking van gegevens of niet. Enkel indien het om persoonsgegevens gaat moet de verwerking conform de GDPR gebeuren. Daarom is het belangrijk dit begrip juist in te vullen.
De GDPR definieert persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische economische, culturele of sociale identiteit van die natuurlijke persoon.”
Deze definitie is bewust zo ruim mogelijk opgesteld. Hierdoor vallen vele verwerkingen onder de GDPR, aangezien snel kan besloten worden dat het om persoonsgegevens gaat. Elke vorm van informatie die naar een natuurlijke persoon kan leiden, is een persoonsgegeven. Het is dan ook onvermijdelijk dat uw organisatie persoonsgegevens verwerkt, en dat u dus in overeenstemming dient te zijn met de GDPR.
Er zijn twee verschillende categorieën persoonsgevens, namelijk de “gewone” persoonsgegevens en de “gevoelige” persoonsgegevens. Gevoelige persoonsgegevens zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen blijken. Maar ook de verwerking van genetische en biometrische gegevens en gegevens waaruit iemands seksueel gedrag kan worden afgeleid, vallen hieronder. De verwerking van deze gegevens is in principe verboden. De GDPR voorziet slechts enkele strikte toelaatbaarheidsvoorwaarden zoals de uitdrukkelijke toestemming van de betrokkene, noodzakelijke verwerking in het kader van het arbeids- en sociale zekerheidsrecht, bescherming van vitale belangen van de betrokkene…
Wanneer u twijfelt of de verwerking die uw organisatie wil uitvoeren een verwerking van persoonsgegevens is, dient u te bekijken of u de gegevens kan herleiden tot een natuurlijke persoon. Indien dit mogelijk te herleiden valt, is de verwerking een verwerking van persoonsgegevens en dient u de regels uit de GDPR te volgen.