Ik vind het logisch dat de grondslag van de beheerder alleen “overeenkomst” is. Onze beheerder heeft geen privacyverklaring, althans niet voor de VvE’s die zijn aangesloten. Op mijn vraag waarom niet kwam het antwoord (Rijssenbeek) dat dat niet nodig was. Het past m.i. wel in de logische lijn van verantwoordelijkheden.
De AVG gaat over persoonsgegevens die een individu aan een organisatie afgeeft. De organisatie aan wie de gegevens worden afgestaan moet dan iets gaan doen.
Aan wie geeft een VvE lid die gegevens. Dat is toch echt aan de VvE.
Die heeft de wettelijke plicht tot iets, die heeft gerechtvaardigde belangen, die kan toestemming vragen/krijgen en kan op die grondslagen de gegevens verzamelen.
De VvE is de eerstverantwoordelijke om iets te gaan doen. Die stelt een privacyverklaring op met daarin welke gegevens er verzameld worden etc. en kan ook in die verklaring opnemen dat de verwerking door iemand anders gedaan wordt. Daarvoor wordt een overeenkomst gesloten met die ander, in het algemeen een beheerder. Als de VvE zelf die gegevens niet verwerkt, is voor de VvE ook geen register nodig. De VvE verstrekt de gegevens, c.f. de VvE privacyverklaring/overeenkomst, aan de beheerder.
De beheerder gaat de gegevens gebruiken/verwerken en moet daarvoor een register opstellen. En in deze lijn kan m.i. de grondslag voor de beheerder alleen maar “overeenkomst” zijn.
Dat het in de praktijk allemaal door elkaar loopt (de beheerder vraagt rechtstreeks gegevens op, de VvE krijgt van leden gegevens etc, etc) doet er m.i. niets aan af dat de VvE de organisatie is die de gegevens verzameld, beheerd en ook verantwoordelijk is wat er met die gegevens gebeurd.
In die zin begrijp ik dus de voorbeelden van VvEMetea (wat een verwarrende naam, Metea is dus geen VvE) en PandGarant dus niet. In alle bescheidenheid neig ik naar de mening dat deze VvE beheerders het niet bij het juiste eind hebben.