news

Nieuwe Privacyverordening een feit

01
07
‘16

Nieuwe Privacyverordening een feit

Op 4 mei 2016 werd een nieuwe Privacyverordening gepubliceerd, namelijk de ‘Verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming’, AVG). Ter informatie geven wij ook mee dat de Europese Commissie, tevens een nieuwe Privacyrichtlijn uitvaardigde, namelijk de ‘Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27  april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ, (richtlijn gegevensbescherming opsporing, de hierna: “Privacyrichtlijn”)’. 

De nieuwe regelgeving is welgekomen. De oude dateerde immers al  van 1995 en was achterhaald, al was het maar o.w.v. de resem nieuwe technologieën.

Het doel van de Privacyverordening is te zorgen voor een betere bescherming van de persoonsgegevens van individuen en de verbetering van het vertrouwen van individuen in de digitale omgeving.  De richtlijn daarnaast moet zorgen voor een verbetering van het niveau van bescherming van de persoonsgegevens van individuen wanneer die worden gebruikt bij misdaadpreventie en is ook bedoeld om het onderlinge vertrouwen tussen wetshandhavingsautoriteiten te bevorderen, zodat ze persoonsgegevens kunnen uitwisselen in het kader van misdaadpreventie.

Wij nemen in wat volgt concreet de Privacyverordening onder de loep door een overzicht te maken van 10 belangrijke elementen. Let wel, deze Verordening zal pas van toepassing zijn vanaf 25 mei 2018.

  • Beginselen
  • De Privacyverordening definieert de basisbeginselen die van toepassing moeten zijn op elke verwerking van persoonsgegevens van Europese burgers:
    (a) transparantie (“rechtmatigheid, behoorlijkheid en transparantie”)
    (b)  doelgebondenheid van de verwerking (voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden),
    (c) minimale gegevensverwerking (in die zin dat de gegevens toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt),
    (d) juistheid van de persoonsgegevens (en actualisatie)
    (e) opslagbeperking (opslag in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens werden verstrekt noodzakelijk is).
    (f) integriteit  en vertrouwelijkheid  (passende technische en organisatorische maatregelen met het oog op een passende beveiliging)
    (g) verantwoordingsplicht van de verwerkingsverantwoordelijke

    Zo introduceert de Privacyverordening onder andere een uitgebreide mededelingsplicht t.a.v. de betrokken Europese burger. Deze zal uitvoerig geïnformeerd moeten worden over de opslagtermijn,  het recht een klacht in te dienen, internationale doorgiften en de bron waaruit de gegevens afkomstig zijn.

    Belangrijk verder is dat de Privacyverordening van toepassing is op de verwerking van persoonsgegevens van Europese burgers (“betrokkenen die zich in de Unie bevinden”),  en dit ook voor de niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker  zodra de verwerking verband houdt met het aanbieden van goederen of diensten in de Unie, of het monitoren van het gedrag van de betrokkene (dat in de Unie plaatsvindt).

  • Toestemmingsvereiste
  • Vanzelfsprekend blijft de toestemmingsvereiste dewelke vroeger ook al gold, bestaan. Die vereiste wordt wel aangevuld door de Privacyverordening m.b.t. de verwerking van persoonsgegevens van minderjarigen tot 16 jaar. Zo moeten onderneming de toestemming van de wettelijke vertegenwoordiger of de ouder verkrijgen, vooraleer ze de persoonsgegevens gebruikt voor  bepaalde doeleinden.

  • Profilering
  • Het proces waarbij persoonsgegevens worden verzameld en gebruikt om er profielen mee te bouwen (“profilering”), wordt in haar uitvoering door de Privacyverordening beperkt. De betrokkene heeft het recht om niet onderworpen te worden aan een maatregel op basis van profilering, behoudens in het kader van het sluiten of het uitvoeren van een overeenkomst, in het kader van Europese of nationale wetgeving, of indien de betrokkene zijn uitdrukkelijke toestemming heeft gegeven.

  • Het recht om vergeten te worden
  • Ook het recht om vergeten te worden en het recht van uitwissing wordt in deze Privacyverordening verder uitgewerkt.  Hoewel de betrokkene onder de Richtlijn 95/46/EG al het recht had om zijn persoonsgegevens op verzoek te laten verwijderen, verbindt de nieuwe Privacyverordening nu een aantal voorwaarden aan het recht om vergeten te worden.  De verwerker zal derhalve derden op de hoogte moeten stellen van het verzoek ingesteld door de betrokkene, zodat zij elke koppeling naar de persoonsgegevens kunnen uitwissen.

    Bij de onderhandelingen omtrent deze Privacyverordening hebben sommige leden van het Parlement gepoogd om dit recht uit de regelgeving te halen. Het zou volgens hen een tal van moeilijkheden impliceren op het gebied van naleving en handhaving. Het is inderdaad zo dat het recht om vergeten te worden in de praktijk onder meer invloed zal hebben op de wijze waarop bedrijven persoonsgegevens verwerken en nieuwe producten en diensten ontwikkelen en implementeren (“privacy by design”). Het recht om vergeten te worden kan immers hoge (administratie)kosten met zich meebrengen.

  • Recht op overdraagbaarheid van gegevens
  • De betrokkene zal het recht hebben de hem betreffende persoonsgegevens die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen. Hij heeft tevens het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt.

  • Relatie verwerker-verantwoordelijke voor de verwerking
  • Verder heeft de nieuwe Privacyverordening de positie en de verplichtingen van de verwerker uitgebreid. Zo zal de verwerker, die niet louter op instructie van de verantwoordelijke handelt, als een ‘gezamenlijke voor de verwerking verantwoordelijke’ beschouwd worden. Daarnaast zal nu elke verwerker, ongeacht zijn contract met de verantwoordelijke voor verwerking, passende maatregelen moeten treffen ter beveiliging van de verwerking.

  • Meldplicht datalekken
  • Aanvullend op de bepalingen omtrent de positie van de verwerker, heeft de Privacyverordening de meldplicht vervangen door een documentatieplicht. Voor ondernemingen zal dit betekenen dat ze verplicht worden om de toezichthouder binnen de 72 uur op de hoogte te stellen van een data lek.  Indien het data lek een nadeel betekent voor de betrokken burger, in de vorm van schade aan de persoonlijke levenssfeer, moet die eveneens ingelicht worden.

  • Data protection officer
  • De Privacyverordening introduceert ook de data protection officer, oftewel de functionaris gegevensbescherming. De data protection officer moet worden aangesteld door de verwerkingsverantwoordelijke en de verwerker in de hierna genoemde gevallen:
    – de verwerking door overheidsinstantie of overheidsorgaan wordt verricht;
    – in het geval de verwerkingen een observatie op grote schaal van de betrokkenen vereisen bv. bij bewaking van openbaar toegankelijke ruimten;
    – bij de verwerking van persoonsgegevens m.b.t. strafrechtelijke veroordelingen;
    – profilering.

    Zijn functie bestaat uit het verlenen van advies over de verplichtingen inzake de gegevensbeschermingsbepalingen, het toezicht op de naleving van de verordening, advies verlenen over de privacyeffectbeoordeling en toezien op de uitvoering ervan, de samenwerking met de toezichthoudende autoriteit en het optreden als contactpunt voor de laatstsgenoemde.

  • Privacyeffectbeoordeling (Data protection impact assessment)
  • Wat nog relevant kan zijn voor ondernemingen is het gegeven dat de verantwoordelijke voor de gegevensverwerking een voorafgaande privacyeffectbeoordeling moet uitvoeren. Dit is een beoordeling van de oorsprong, de aard, het specifieke karakter en de ernst van de risico’s in verband met de rechten en vrijheden van natuurlijke personen  die bij de verwerking optreden. Aan de hand van het resultaat moet de verwerkingsverantwoordelijke of de verwerker passende maatregelen nemen om aan te tonen dat deze Verordening nageleefd zal worden. Indien de verwerking hoge risico’s inhoudt zal de onderneming vóór de verwerking de toezichthoudende autoriteit raadplegen.

  • Boetes door de toezichthouder
  • Het is ondernemingen aangeraden om na te gaan of ze wel conform de nieuwe Privacyverordening handelen, teneinde de hoog oplopende boetes te vermijden. De rol van de toezichthouder zal namelijk door de Privacyverordening versterkt worden, waardoor deze  nu de bevoegdheid heeft om boetes op te leggen die variëren in functie van de aard van de inbreuk kunnen oplopen tot € 10.000.000,- of voor een onderneming tot 2 procent van de totale wereldwijde jaaromzet in het vorig boekjaar, indien dit cijfer hoger is.

    Voor zeer ernstige inbreuken kan de boete zelfs oplopen tot € 20.000.000,- of voor een onderneming tot 4 procent van de totale wereldwijde jaaromzet in het vorig boekjaar, indien dit cijfer hoger is. Dit is het geval bij:
    – inbreuken op de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9;
    – de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22;
    – de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 44 tot en met 49,;
    – alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteld recht;
    – niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit.

  • Vragen
  • De veranderingen zijn voor de ondernemingen ingrijpend, en een privacycheck lijkt ons dan ook van groot belang. Indien u hieromtrent vragen hebt, staan wij uiteraard ter beschikking. We geven hierbij graag mee dat ons advies in verband met uw privacypolitiek – indien u als KMO kwalificeert – recht kan geven op een subsidie in het kader van de KMO portefeuille.  

    Auteur: Corbus advocaten