Eerste richtsnoeren GDPR gepubliceerd

De nieuwe Privacy Verordening (GDPR/AVG), die in mei 2018 in werking treedt is een bijzonder lijvig, maar op veel vlakken ook abstract document waarvan de nodige preciseringen ontbreken. Een voorbeeld is de bepalingen omtrent het aanstellen van een “Data Protection Officer”. De Verordening bepaalt op abstracte wijze in welke gevallen een DPA dient aangesteld te worden en bepaalt ook op algemene wijze zijn taken maar deze bepalingen zijn nog voor veel interpretatie vatbaar en worden nergens gedefinieerd.

Teneinde hieraan tegemoet te komen werden door de “Working Party 29” – dit is een orgaan samengesteld uit vertegenwoordigers van de nationale privacybescherming autoriteiten, de Europese Toezichthouder  voor gegevensbescherming en de Europese Commissie- “Richtsnoeren” of “Guidelines” uitgevaardigd.

Richtsnoeren gepubliceerd

In december 2016 werden volgende Richtsnoeren gepubliceerd:

1) Richtsnoeren Functionaris voor de gegevensbescherming

Deze richtsnoeren strekken ertoe de bepalingen van de Verordening omtrent een “Functionaris voor Gegevensbescherming” of “Data Protection Officer” die in bepaalde gevallen zal vereist zijn, concreet uit te leggen en te interpreteren.

Bijvoorbeeld: de Verordening voorziet dat een DPA dient aangesteld te worden bij de grootschalige verwerking van bijzondere categorieën van persoonsgegevens zoals medische gegevens, gegevens omtrent ras/etnie,…  De richtsnoeren bepalen nu meer concreet wat dient begrepen te worden onder “grootschalig” en hoe het concept van bijzondere categorieën dient geïnterpreteerd te worden.

2) Richtsnoeren overdraagbaarheid van gegevens

The right to data transportability” werd geïntroduceerd door de Verordening en impliceert het recht van individuen om een kopie te verkrijgen van de data die iemand van hem/haar heeft verzameld, evenals de mogelijkheid om deze gegevens te transfereren naar bijvoorbeeld een andere IT-omgeving.

De richtsnoeren van de WP29 trachten te verduidelijken hoe dit begrip dient geïmplementeerd te worden o.a. door het aanreiken van een aantal praktische voorbeelden.

3) Richtsnoeren leidende toezichthoudende autoriteiten

Voor wat betreft bedrijven die “cross-border” persoonsgegevens verwerken en in verschillende lidstaten actief zijn, dient er op basis van de Verordening slechts 1 “lead authority” te worden aangeduid, die verantwoordelijk zal zijn in geval van bijvoorbeeld klachten over schending van de Verordening.

Deze richtsnoeren geven meer duiding over hoe deze bepalingen van de Verordening dienen gelezen worden aan de hand van concrete voorbeelden.

More to come

De komende maanden worden er nog gelijkaardige Guidelines van de WP29 verwacht, die meer duiding moeten geven over nieuwe termen en concepten die door de Verordening worden geïntroduceerd. Sirius Legal blijft u hierover uiteraard informeren.

Vragen over de nieuwe Verordening of over Privacy in het algemeen?

Contacteer Sirius Legal op info@siriuslegal.be of 02/ 721 13 00.