Europees Parlement keurt privacyverordening goed

We berichten al afgelopen oktober over de laatste evoluties in de totstandkoming van de nieuwe Europese privacyverordening, die binnen afzienbare tijd de nu bestaande privacyrichtlijn moet vervangen.  we hebben over het topic de voorbije maanden ook een aantal presentaties gegeven, o.m. bij de CRM Insipration Days van The Reference, op de E-legal sessie van SafeShops.be en zopas nog op ons eigen Sirius Friday seminarie. 

We gaven toen al mee dat de nogal moeizame totstandkoming van de nieuwe verordening ernstige vertragingen had opgelopen op en dat de origineel voorziene timing van juni 2014 niet gehaald zou worden. 

Opnieuw schot in de zaak…

Vandaag zit er toch opnieuw wat beweging in het dossier met de goedkeuring door het Europese Parlement van de voorliggende tekst, inclusief de wijzigingen aangebracht door het “Civil Liberties, Justice and Home Affairs” comité in oktober (ter herinnering de toevoegingen van dit LIBE comité, zoals het vaak genoemd wordt, houden een hele reeks verstrengingen in voor bedrijven die persoonsgegevens verwerken).  De verordening werd massaal aangenomen door het Europese Parlement met 621 stemmen voor, 10 tegen en 22 onthoudingen.

Is dit het einde van de rit?

Dit betekent echter niet dat de nieuwe privacyverordening nu definitief is geworden en dat deze binnenkort in werking zou treden. daarvoor zijn de wetgevende wegen van Europese iets te ondoorgrondelijk en bochtig.  De volgende fase bestaat er nu in om ook binnen de Raad van Ministers een consensus te vinden, waarna de consensustekst van de Raad naast het ontwerp van het Parlement geplaatst wordt en beiden op zoek gaan naar een uiteindelijke compromistekst.  Een en ander kan nog lang op zich laten wachten als men weet dat de Raad nu al twee jaar intern discussieert over haar mogelijke consensustekst…

Wat vindt de sector van het ontwerp?

Op dit ogenblik is vooral het bedrijfsleven ongerust over de mogelijke inhoud van de uiteindelijke verordening.  de vandaag voorliggende tekst houdt immers heel wat erg zware en kostelijke verplichtingen in voor bedrijven.  Bedrijven krijgen heel wat extra plichten, zullen extra personeel in huis moeten halen, krijgen extra verantwoordelijkheden en aansprakelijkheden ook en als het fout loopt zullen de boetes exponentieel veel hoger zijn dan vandaag.

Om die reden trachten Europese sectororganisaties zoals FEDMA, IAB, Digitaleurope of The Software Alliance alsnog tot gesprekken met Europa te komen over voor hen meer evenwichtige teksten, die er -dixit hun overkoepelend orgaan “The Industry Coalition for Data Protection”- voor moeten zorgen data bescherming van burgers en hun persoonsgegevens beter hand in hand gaat met technologische vernieuwing, jobcreatie en innovatie.

Consumentenorganisaties en burgerrechtenverenigingen zullen meer tevreden zijn.  Met de aanvaarding van alle LIBE amendementen is de voorliggende tekst erg beschermend voor Europese burgers.

Nog even pro memorie

We geven nog even zeer kort samengevat mee wat er in de vandaag goedgekeurde verordeningstekst voorzien is (maar waarvan de definitieve opname in de eindtekst dus afhangt van de Raad van Ministers):

  • One stop shop principe in gans Europa: één loket voor bedrijven die in gans Europa actief zijn
  • Verordening van toepassing voor iedereen die diensten aanbiedt in EU (in plaats van wie zetel of server heeft in EU)
  • Toestemming van consument moet overal expliciet zijn
  • Geen prechecked boxes meer (kan al niet in Belgiê)
  • Verdergaande infoplichten voor bedrijven over rechten consument
  • Meldingsplicht aan overheid en aan elke betrokkene (!) bij data breach
  • aanstellen data protection officer in bedrijf als + 5.000 data records per jaar verwerkt worden
  • “Data protection by design” en “by default”
  • Sancties bij inbreuken: tot 5+ jaarlijkse omzet of 100 miljoen euro (hoogste bedrag van beide)
  • Recht op verwijdering (in plaats van recht om vergeten te worden, zoals eerst voorzien)
  • Recht op data portability (meenemen van je gegevens als je bijvoorbeeld van telefoonprovider verandert)
  • Verbod op profiling (niet duidelijk hoe dit in praktijk eruit zou zien)

Praktische tips in afwachting van de verordening

Heel wat wijzigingen dus en nog heel wat vraagtekens.  Sirius Legal volgt in elk geval van dichtbij alle evoluties op en houdt u op de hoogte.  We geven nu al mee dat wie ervoor wil zorgen dat hij bij invoering van de verordening binnen afzienbare tijd niet voor verrassingen komt te staan, best volgende tips al in acht neemt:

  • Hou de verdere evolutie van de verordening en de timing in de gaten (bijvoorbeeld via onze kantoorblog)
  • Herzie tijdig al uw privacy policies, disclaimers, opt-in formulieren, etc…
  • Herzie tijdig de contracten met dienstenleveranciers in data processing (data brokers, vetting, …)
  • Voer al preventief een data processing audit uit en documenteer de wijze waarop persoonsgegevens verwerkt worden (hoe, wie heeft toegang, externe partijen, …)
  • Werk vanaf nu al aan data protection by design en by default bij nieuwe projecten
  • Zorg voor voldoende beveiliging van persoonsgegevens
  • Implementeer nu al “data breach alert” procedures (wie is verantwoordelijk, wie communiceert, hoe wordt er gecommuniceerd, …)

Heeft u meer vragen over privacy in het algemeen of beheer van persoonsgegevens, direct mailing, cookies, databankrecht, … dan staan we graag voor u klaar via info@siriuslegal.be.