Privacy en GDPR: wat mag de syndicus delen?

Sinds de invoering van de Europese privacywetgeving (GDPR of AVG) in 2018 is de omgang met persoonsgegevens een serieus aandachtspunt voor elke Vereniging van Mede-Eigenaars (VME). Als vrijwillige syndicus beheert u immers een schat aan informatie: namen, adressen, bankrekeningnummers en aandelen van uw medebewoners.

Het is cruciaal om te weten dat een VME wettelijk wordt beschouwd als de verwerkingsverantwoordelijke, terwijl u als syndicus de verwerker van die gegevens bent. Dit brengt specifieke plichten met zich mee om de privacy van de eigenaars te beschermen.

Wat moet een VME verplicht op orde hebben?

Om in regel te zijn met de GDPR-wetgeving, moet een gebouw over een aantal documenten beschikken. Dit wordt vaak het “GDPR Compliancy Dossier” genoemd:

  • Een verwerkingsregister: Een lijst waarin staat welke gegevens u bijhoudt, waarom u dat doet en hoe lang u ze bewaart.
  • Een Privacy Policy: Een duidelijke tekst (bijvoorbeeld op de website van de VME of als bijlage bij het RIO) waarin u de eigenaars informeert over hun rechten.
  • Een verwerkingsovereenkomst: Indien de VME samenwerkt met externe partijen (bijv. softwareplatformen of een externe boekhouder), moet er een contract zijn dat de veiligheid van de data garandeert.

Wat mag u delen met mede-eigenaars?

Een veelvoorkomende vraag is of een eigenaar de lijst van zijn buren mag opvragen. De wet op de mede-eigendom (Artikel 3.92) is hier duidelijk over: iedere mede-eigenaar heeft het recht om de lijst van de andere eigenaars in te kijken.

Echter, omwille van de privacy mag u niet alles zomaar doorsturen:

  1. Toegestaan: Naam, officieel adres (voor bijeenroepingen) en het aandeel (quotiteiten) in het gebouw.
  2. Twijfelgeval: Het e-mailadres. Veel experts beschouwen dit tegenwoordig als een “gewoon” adres voor beheer, maar de Gegevensbeschermingsautoriteit (GBA) raadt aan hier voorzichtig mee te zijn.
  3. Verboden: Private telefoonnummers en gsm-nummers mogen nooit zonder expliciete toestemming aan andere eigenaars worden gegeven.

Delen met externe partijen

Als syndicus mag u gegevens delen met derden, mits dit noodzakelijk is voor de uitvoering van uw wettelijke taken:

  • Leveranciers: U mag het telefoonnummer van een eigenaar aan een loodgieter geven als die een lek in diens appartement moet komen herstellen.
  • Notarissen: Bij een verkoop bent u verplicht de nodige info over de koper en verkoper te verwerken.
  • Hulpdiensten: In noodsituaties mogen alle relevante gegevens worden gedeeld met politie of brandweer.

Veelgestelde vragen (Q&A)

Moet elke VME een “DPO” (Data Protection Officer) aanstellen? Nee. Voor de meeste kleine en middelgrote VME’s is dit niet verplicht, omdat de verwerking van gegevens niet de hoofdbedrijvigheid is en het niet gaat om grootschalige monitoring van personen.

Mag ik de lijst van eigenaars gebruiken voor commerciële doeleinden? Absoluut niet. De gegevens mogen enkel gebruikt worden voor het beheer en behoud van het gebouw. Het is verboden om de lijst bijvoorbeeld door te verkopen aan een verzekeringsmakelaar of immobiliënkantoor.

Wat als een eigenaar eist dat al zijn gegevens worden gewist? Onder de GDPR bestaat het “recht om vergeten te worden”, maar dit is niet absoluut. Zolang iemand eigenaar is, heeft de VME een wettelijke verplichting om zijn gegevens bij te houden voor het beheer en de Algemene Vergadering. U kunt dit verzoek dus gemotiveerd weigeren.

Mogen de namen van wanbetalers vermeld worden in de notulen? Ja. De mede-eigenaars hebben er een rechtmatig belang bij om te weten wie de financiële stabiliteit van het gebouw in gevaar brengt. De GBA heeft bevestigd dat dit toegestaan is, zolang de informatie beperkt blijft tot de leden van de VME en niet publiekelijk online wordt geplaatst.

Zijn wij aansprakelijk bij een datalek? Indien u als syndicus nalatig bent geweest (bijv. door wachtwoorden onbeveiligd te laten slingeren), kan de VME aansprakelijk worden gesteld voor schade. Het is daarom verstandig om te controleren of uw aansprakelijkheidsverzekering ook dekking biedt voor cyberincidenten en GDPR-inbreuken.