De Algemene Verordening Gegevensbescherming (AVG of GDPR) is inmiddels 8 maanden in werking, maar nog steeds hebben niet alle lidstaten hun eigen implementatiewet klaar. In België is dat wel het geval sinds afgelopen september en net voor Kerstmis heeft ook Spanje zijn “organieke wet 3/2018 inzake de bescherming van persoonsgegevens en de garantie van digitale rechten (“LOPDGDD”)“, die de GDPR implementeert in Spanje, gepubliceerd.
Net als de meeste andere lidstaten, maakt Spanje gebruik van een aantal mogelijkheden in de GDPR die ruimte laten aan de lidstaten om individuele invulling te geven aan bepaalde aspecten van gegevensverwerking. Het gevolg hiervan is dat de verschillen tussen de onderlinge lidstaten steeds blijven toenemen en dat van het initiële idee om in gans Europa voor een ééngemaakt regime rond het omgaan met persoonsgegevens te zorgen steeds minder overeind blijft.
In het geval van Spanje zijn de meest in het oog springende afwijkingen ten opzichte van de GDPR de volgende:
Gevoelige persoonsgegevens
De verwerking van gevoelige persoonsgegevens (bijv. gezondheidsgegevens, etniciteit, ras) is verboden op grond van artikel 9, lid 1, van de GDPR, tenzij aan een van de voorwaarden voor het verwerken van dergelijke gegevens is voldaan krachtens artikel 9, lid 2 van de verordening.
De LOPDGDD bepaalt nu enigszins tot onze verrassing dat toestemming géén geldige rechtvaardigingsgrond is wanneer het primaire doel van de verwerking is om bijvoorbeeld de etniciteit van het individu te identificeren. In plaats daarvan moet een beroep worden gedaan op een andere rechtvaardigingsgrond van artikel 9, lid 2, van de AVG. Met andere woorden: mensen kunnen geen toestemming geven om hun ras of etnische achtergrond te laten noteren en gebruiken door bedrijven.
De Spaanse wet is hiermee aanmerkelijk strenger dan de verordening zelf, aangezien onder de verordening de facto toestemming zowat de enige bruikbare rechtsgrond voor verwerking van dergelijke gegevens is, behoudens zeer uitzonderlijke situaties. Het gevolg zal zijn dat gegevens over ras of etnische achtergrond de facto enkel in zeer specifieke en uitzonderlijke gevallen nog bijgehouden kunnen worden.
Bedrijfscontactgegevens
Erg interesant in de Spaanse wetgeving is het wettelijk regeling van een probleem dat zich in gans Europa stelt voor bedrijven, met name te weten hoe men moet omgaan met visitekaartjes van potentiële zakelijke contacten of met gekochte, gehuurde of zelf gemaakte lijsten van zulke potentiële contacten.
Heel vaak heeft men geen toestemming van de betrokkene en is er (nog) geen sprake van een contractuele band, waardoor men moet terugvallen op het “gerechtvaardigd belang” als rechtsgrond. De vraag daarbij is altijd op welke wijze men dat gerechtvaardigd belang kan motiveren en onderbouwen.
De Spaanse overheid lost dat probleem op door in haar wetgeving een wettelijk vermoeden in te schrijven dat de verwerking van persoonsgegevens van zakelijke contacten, waar het enige doel is om een relatie met het bedrijf tot stand te brengen, altijd in de legitieme belangen van de verantwoordelijke voor de verwerking zal zijn. Bij ons weten is Spanje op heden de engie lidstaat die zo’n vermoeden inbouwt in zijn nationale wetgeving en daarmee heel wat onzekerheid bij ondernemingen wegneemt.
DPO
De spaanse wet bevat, net als in vele andere landen, een lijst van organisaties die een DPO zullen moeten benoemen. De lijst vernoemt bijvoorbeeld verzekeraars, beleggingsinstituten en aanbieders van diensten van de informatiemaatschappij.
Organisaties hebben tien dagen vanaf de datum van aanstelling van een DPO om de Spaanse gegevensbeschermingsautoriteit op de hoogte te stellen van de benoeming.
Gegevens van minderjarigen
De GDPR zet de leestijdsgrens voor minderjarigen om toestemming te kunnen geven voor verwerking van hun persoonsgegevens in het kader van online diensten op 16 jaar, maar staat de lidstaten toe om dat individueel te verlagen tot minimaal 13 jaar (wat in België het geval is).
Spanje kiest ervoor de leeftijdsgrens op 14 jaar te zetten.
Deze grens loopt inmiddels in gans de EU uiteen van 13, over 14 en 15 tot 16 jaar, wat eengemaakte digitale marketing en dienstverlening gericht op minderjarigen zeer moeilijk maakt.
Digitale rechten
De Spaanse wet bevat nóg een nieuwigheid die aanzienlijk verder gaat dan wat de GDPR voorschrijft.
Spanje introduceert een aantal nieuwe digitale rechten voor personen die verder gaan dan die voorzien in de GDPR, bijvoorbeeld het recht op privacy bij het gebruik van digitale apparaten op de werkplek. Dit omvat een recht op “digitale ontkoppeling” dat zowel voor werknemers in de publieke als voor de particuliere sector geldt.
De precieze details over hoe deze ontkoppelingsrechten zullen worden uitgeoefend worden overgelaten aan het interne beleid van werkgevers en aan collectieve onderhandelingen met de sociale partners. Het is dus even afwachten wat een en ander i nde praktijk zal betekenen, maar dit is niettemin een belangrijke ontwikkeling voor de digitale economie en een unicum in Europa op heden.
Vragen over GDPR in België of Europa?
Neem gerust contact op met ons team op info@siriuslegal.be of op +32 2 721 13 00
Bart
Van den Brande
Ik ben de oprichter en Managing Partner van Sirius Legal. In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...