De meeste wetgeving inzake gegevensbescherming, waaronder de Algemene Verordening Gegevensbescherming (AVG), biedt geen bescherming aan de persoonsgegevens van een rechtspersoon.
Kunnen we de persoonlijke informatie van een rechtspersoon niet rechtmatig beschermen of verwerken als we niet weten wat telt als hun persoonlijke informatie. Deze vraag lijkt niet te worden gesteld in de Algemene Verordening Gegevensbescherming (AVG).
In sommige gevallen zal het relatief eenvoudig zijn, om bepaalde soorten persoonlijke informatie van een rechtspersoon te achterhalen. Deze zijn ofwel relatief eenvoudig te identificeren of er is jurisprudentie om dit standpunt te ondersteunen.
Wat zijn persoonlijke gegevens van een rechtspersoon, elk identificatienummer (bijvoorbeeld het registratienummer), symbool, e-mailadres, fysiek adres, telefoonnummer, locatie-informatie, online identificator of andere specifieke toewijzing aan de rechtspersoon.
rekeningnummers;
vertrouwelijke mondelinge of schriftelijke mededelingen van bestuurders en medewerkers van een rechtspersoon;
informatie die particuliere en openbare instanties gebruiken om belangrijke beslissingen met betrekking tot hen te nemen;
religieuze overtuigingen; en
werknemersinformatie (zoals het aantal werknemers, hun identiteit, hun beloning en hun status binnen hun organisatie).
Dit zijn slechts enkele voorbeelden. De definitie van persoonlijke informatie staat open voor interpretatie.
Sommige soorten persoonlijke informatie zijn zinvol om te beschermen voor een rechtspersoon. Rekeningnummers zijn daarbij een duidelijke winnaar.
Rechtspersonen lopen net zo veel, zo niet meer risico, voor zakelijke e-mailcompromissen en rekeningnummers spelen hierbij vaak een grote rol.
Aan de andere kant zijn er soorten persoonlijke informatie die een rechtspersoon gewoonweg niet kan hebben of die geen zin zou hebben om te proberen deze te beschermen.
ras;
identificerende informatie – bijvoorbeeld webadres;
juridische status (ongeacht of de rechtspersoon handelingsbekwaam is); of
de informatie van de natuurlijke personen die ze beheren en controleren.
Cruciaal is dat de informatie van de natuurlijke personen die verbonden zijn met een rechtspersoon niet de persoonlijke informatie van een rechtspersoon zou zijn. Die informatie is veeleer de persoonsgegevens van de natuurlijke persoon en de natuurlijke persoon is in die context de betrokkene.
We hebben allerlei soorten persoonlijke informatie opgesomd die waarschijnlijk van toepassing zijn en soorten die waarschijnlijk niet van toepassing zijn. Maar er zijn andere waar we niet zeker van zijn. De volgende soorten persoonlijke informatie tonen deze grijze gebieden.
Openbaar beschikbare persoonlijke informatie van een rechtspersoon
Het feit dat persoonlijke informatie openbaar beschikbaar is, versoepelt niet de verplichting van een verantwoordelijke partij om deze te beschermen. Zo moet bijvoorbeeld de persoonlijke informatie van werknemers, als natuurlijke personen, worden beschermd en het feit dat zij (werknemers) ervoor kunnen kiezen om hun persoonlijke informatie openbaar op LinkedIn of Facebook te delen, betekent niet dat die bescherming versoepeld kan worden.
De meeste potentieel persoonlijke informatie van een rechtspersoon is openbaar beschikbaar. De vraag is nu of dezelfde principes gelden voor rechtspersonen als voor natuurlijke personen. Helaas is dit niet helemaal duidelijk.
Of een rechtspersoon al dan niet over bijzondere persoonsgegevens kan beschikken, is een ander grijs gebied. De wetgeving inzake gegevensbescherming behandelt bijzondere persoonlijke informatie anders.
Het is dus belangrijk om te weten of een rechtspersoon over bijzondere persoonsgegevens kan beschikken, aangezien er andere regels zullen gelden voor de manier waarop u deze verwerkt.
Een rechtspersoon kan een religie hebben en het is mogelijk dat andere voorkeuren kunnen worden bepaald doormiddel van openbaar beschikbare informatie. En toch lijken we bij het beschermen van persoonlijke gegevens alleen te kijken naar natuurlijke personen. Wat als we buiten rechtspersonen ook kijken naar de digitale kopie van natuurlijke personen ondergebracht in rechtspersonen. Welke rechten zijn dan van toepassing voor het beschermen van persoonsgegevens van deze digitale kopieën.
Vinden we het kunnen dat onze gegevens vrij kunnen worden gedeeld, doorzocht en opgeslagen. Zonder dat er sprake is van enige wettelijke bescherming van de persoonsgegevens van deze digitale kopieën van een natuurlijk personen.
Grote techreuzen hopen erop dat we deze vraag niet stellen en ons richten op de rechten die gelden voor natuurlijk persoon. En sluizen zo onze gegevens door naar een digitale kopie, die een autonoom bestaan lijdt buiten het zichtveld. En zoveel verteld over onze voorkeuren, religie en status in de maatschappij.