Europese Verordening Gegevensverwerking

Nieuwe Privacyverordening

Naar aanleiding van gewijzigde feitelijke en economische omstandigheden, zoals de opkomst van sociale media, cloud computing en nieuwe vormen van marketing, drong een moderner wetgevend kader zich op.

Uit de publieke consultatie, reeds gehouden in 2009, werd duidelijk dat de burgers een verhoogd belang toonden in een uniforme bescherming van hun privacyrechten in de huidige technologische realiteit. Tevens werd gewezen op globalisering, de nood aan verdere harmonisatie van privacyrecht in Europa, een vereenvoudiging van administratieve verplichtingen en van datastromen buiten de EU.


Totstandkoming

Een eerste aanzet tot Verordening werd gedaan door de Europese Commissie in 2012. Het eerste ontwerp maakte in het Europese Parlement het voorwerp uit van meer dan 4.000 amendementen en werd vervolgens door de LIBE-commissie aanvaard op 21 oktober 2013. De Europese instellingen kwamen op 15 december 2015 tot een akkoord omtrent de definitieve tekst. De definitieve tekst werd tenslotte formeel goedgekeurd op 8 april 2016 (zie ons blogartikel hier).

Daarmee zal de nieuwe Verordening in werking treden op 25 mei 2018


Territoriaal toepassingsgebied

Het oude wetgevende kader in Europa bestond uit Richtlijn 95/46/EG die door ieder land diende te worden omgezet in nationaal recht. Dit systeem leidde tot verschillen tussen landen, maar ook de verplichting om met de veelheid aan wetgeving rekening te houden en enkele moeilijke vraagstukken bij uitgaande niet-EU gegevens.

Bij het uitdenken van het nieuwe wetgevende kader werd rekening gehouden met de verzuchtingen over de verschillen op de interne markt en werd geopteerd voor een maximale harmonisatie door middel van een verordening. Bij het uitzetten van de toepassingsperimeter werd ook rekening gehouden met het internationaal dataverkeer en recentere fenomenen zoals cloud computing.

Toepassing ook buiten de EU

De nieuwe Verordening is van toepassing op iedere verwerking van persoonsgegevens:

–          in het kader van activiteiten van een vestiging van een verantwoordelijke of een verwerker in de EU, zonder dat het uitmaakt of die verwerking in de EU wordt uitgevoerd; of

–          van betrokkenen aanwezig in de EU wanneer zulks plaatsvindt bij het aanbieden van goederen of diensten in de EU of wanneer hun gedrag in de EU gemonitord wordt.

Met de tweede toepassingsgrond wordt duidelijk buitenlandse aanbieders (op het internet) geviseerd die onder het oude wettelijke kader buiten schot bleven, maar wordt ook het fenomeen van cloud computing ondervangen.

Een laatste toepassingsgrond werd toegevoegd voor diplomatieke of consulaire vestigingen van Europese lidstaten en andere eventuele vestiging waar nationaal recht van een lidstaat toepasselijk is dankzij het internationale recht.

Uitzonderingen

Er wordt wel uitzondering gemaakt voor verwerking van persoonsgegevens door onder meer de overheid omwille van redenen van nationale veiligheid en gerechtelijke vervolging, maar ook de veiligheid van de Unie.

Een laatste uitzondering wordt gemaakt voor het zogenaamde “huis-, tuin- en keukengebruik” voor persoonlijke en huishoudelijke doeleinden.


Persoonsgegevens

Het begrip “persoonsgegevens” werd onder de nieuwe Verordening niet drastisch gewijzigd. Het gaat nog steeds over “informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”.

Het begrip “identificeerbaar” werd wél gevoelig uitgebreid en tijdseigen gemaakt. Naast de bestaande kenmerken zoals de fysieke, fysiologische, culturele en economische eigenheid, werden ook de genetische en mentale kenmerken aan het lijstje toegevoegd.

Belangrijk in het kader van “internet of things” zijn ook namen, locatiegegevens en “online identifiers” aan de lijst met kenmerken toegevoegd.

Pseudonimisatie

Daarnaast erkent de Verordening een soepeler regime voor “pseudonimisatie”. Hoewel de verwerkte data beschouwd worden als persoonsgegevens, kunnen ze niet worden gekoppeld aan de betrokkene in kwestie. Pseudonimisatie is volledig wanneer de koppeling tussen de verwerkte gegevens en de betrokkene wordt weggenomen en wordt afgezonderd van die gegevens.

Pseudonieme data mag niet verward worden met “anonieme” data, die los van de betrokkenen werd verzameld en niet onder de Verordening valt.

Gevoelige gegevens

De categorie van gevoelige gegevens werd uitgebreid. Naast de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, het lidmaatschap van een vakvereniging, of gegevens betreffende de gezondheid of het seksuele leven, worden nu ook genetische en biometrische gegevens beschouwd als gevoelig, alsook de seksuele oriëntatie.

Gegevens betreffende strafrechtelijke veroordelingen en overtredingen vallen onder een specifieke categorie.


Verwerking

Het begrip “verwerking” werd onder de nieuwe Privacyverordening niet specifiek gewijzigd en doelt op iedere bewerking met betrekking tot persoonsgegevens. Hierbij worden enkele voorbeelden gegeven: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

De definitie van “verwerking is bijgevolg zeer ruim.

Technologisch neutraal

De toepassing van de Verordening is technologisch neutraal, waardoor de aangewende middelen in principe van geen tel zijn. Hiermee heeft men een poging gedaan om de Privacyverordening tijdloos te maken.


Correcte gegevensverwerking

Net zoals onder de Richtlijn, legt de Verordening enkele vereisten op om een correcte verwerking van persoonsgegevens te verzekeren. Deze beginselen zijn overwegend ingegeven vanuit een bekommernis voor de burger om de verwerking overzichtelijk te houden en niet ingrijpender te zijn voor diens privacy dan strikt noodzakelijk voor het bereiken van een bepaald doel.

De verwerking van persoonsgegevens moet om voormelde redenen dan ook steeds voldoen aan volgende vereisten:

–          toelaatbaar, eerlijk en transparant zijn;

–          verwerkt worden voor een specifiek omschreven, rechtmatig doel;

–          voor dat doel toereikend, dienend en niet bovenmatige zijn;

–          nauwkeurig zijn;

–          niet langer bewaard worden dan strikt noodzakelijk voor het beoogde doel; en

–          veilig bewaard worden.

Verdere verwerking van de gegevens is enkel toegelaten voor zover het in overeenstemming is met het vooropgestelde doel. Een uitzondering wordt ook gemaakt voor archivering van openbaar belang en voor wetenschappelijke, historische of statistische doeleinden.


Toelaatbaarheid

Een kwaliteitsvolle verwerking moet voldoen aan de toelaatbaarheidscriteria die de wetgeving vooropstelt. De Verordening schuift enkele criteria naar voor die grotendeels overeenkomen met deze vermeld in de Richtlijn: toestemming, uitvoering van overeenkomsten, wettelijke verplichtingen, vitale belangen van de betrokkene (of van derden), het algemene belang of een gerechtvaardigd belang van de verantwoordelijke of van derden.

Toestemming

Eén van de belangrijkste toelaatbaarheidscriteria bij commercieel gebruik van persoonsgegevens is de toestemming van de betrokkene zelf. Volgens de overwegingen van de Verordening moet de toestemming gegeven worden middels een duidelijke, affirmatieve handeling en moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Stilzwijgende toestemming, inclusief technieken zoals de “pre-ticked boxes”, worden niet aanvaard als afdoende toestemming. De verantwoordelijke draagt alleszins de bewijslast van die toestemming.

Een betrokkene heeft te allen tijde het recht de verleende toestemming op gelijkaardige manier in te trekken als ze gegeven werd.

De persoonsgegevens van kinderen onder de 16 jaar kunnen enkel geldig worden verwerkt mits toestemming van de ouderlijk verantwoordelijken.

Duidelijk en begrijpbaar

De Verordening stuurt aan op duidelijke, begrijpbare taal jegens de betrokkene. En wanneer toestemming wordt gevraagd in het kader van een ruimer kader (bijv. algemene verkoopsvoorwaarden), moeten de bepalingen omtrent privacy duidelijk onderscheiden worden van de andere voorwaarden.


Rechten van de betrokkene

Onder de nieuwe Privacyverordening worden de rechten van de betrokkene gevoelig uitgebreid.

Het recht op informatie is nog steeds de hoeksteen van de bescherming van de betrokkene in verband met diens persoonsgegevens. Daarnaast worden bepaalde bestaande rechten uitgebreid en worden ook nieuwe rechten in het leven geroepen die een antwoord moeten bieden op de modernere uitdagingen.


Informatie aan de betrokkene

Om het hoofd te bieden aan de doorgaans uitgebreide en ingewikkelde privacyverklaringen, legt de Privacyverordening de verplichting op om de informatie aan de betrokkene op een duidelijke, transparante en begrijpelijke wijze worden verstrekt, in heldere taal en op een gemakkelijke wijze ter beschikking gesteld. Hierbij wordt de suggestie gegeven om met gestandaardiseerde iconen te werken.

Inhoudelijk moet minstens informatie worden verschaft over:

–          de identiteit en contactgegevens van de verantwoordelijke (en eventueel de functionaris),

–          de doeleinden van de verwerking,

–          de duurtijd van bewaring,

–          het bestaan van de rechten van toegang, verbetering, verwijdering, beperking, verzet en overdraagbaarheid, en

–          de mogelijkheden om klacht neer te leggen.

Indien van toepassing moet ook informatie verstrekt worden over:

–          de ingeroepen gerechtvaardigde belangen,

–          derden die gegevens ontvangen,

–          de waarborgen in geval van doorgifte buiten de EU,

–          het recht om een toestemming in te trekken,

–          een verplichting voor de betrokkene om gegevens aan te reiken,

–          het bestaan en de impact van geautomatiseerde beslissingen en profiling, en

–          eventuele verdere verwerking.

Indien de gegevens niet rechtstreeks van de betrokkene worden verkregen, maar van een derde, moet ook bijkomende informatie worden geleverd over de herkomst van de gegevens.

Het recht op informatie omvat ook het recht van de betrokkene om informatie op te vragen omtrent de verwerking van zijn gegevens dankzij het recht op inzage.


Overige rechten

Het recht op verbetering van de gegevens blijft behouden, maar het recht op verwijdering van de gegevens wordt uitgebreid tot een soort van recht op vergetelheid. Verschillende redenen kunnen aanleiding geven tot een verplichte verwijdering; daarnaast moeten ook redelijke inspanningen geleverd worden om derden-verantwoordelijken te informeren over het verzoek tot verwijdering.

Nieuw is het recht van de betrokkene om beperking van de verwerking te vragen, maar ook om de vlotte overdracht van de eigen gegevens aan een derde. Het recht op verzet blijft in voege voor verwerking in het algemeen belang of voor gerechtvaardigde belangen; voor direct marketingdoeleinden moet bij verzet geen redenen aangetoond worden.

De bescherming van de betrokkene tegen geautomatiseerde beslissingen blijft eveneens behouden en wordt uitgebreid naar profiling.


Verplichtingen van de verantwoordelijke

De voorafgaande melding van de verwerking aan de betrokken Privacycommissie werd beschouwd als een onnodige administratieve last en werd dus afgeschaft onder het nieuwe recht. Anderzijds moet een verantwoordelijke (en de verwerkers) wel een register van verwerkingsactiviteiten bijhouden en medewerking verlenen met de bevoegde Privacycommissarissen.

Verantwoordelijken moeten daarentegen wel de gepaste technische en organisatorische maatregelen nemen om de verwerking conform te maken, zo bijvoorbeeld de implementatie van afdoende interne en externe privacyprotocols. Hierbij moet rekening gehouden worden met de aard, de draagwijdte, context en doelen van de verwerking, alsook de reële risico’s van de verwerking op de rechten van de betrokkene.


Ontwerp en standaardinstellingen

Een belangrijke wijziging in de privacywetgeving is de gegevensbescherming “by design” en “by default”.

In eerste instantie wordt van de verantwoordelijke verwacht dat hij zijn organisatiestructuur zo opzet, met alle redelijke en passende technische en organisatorische maatregelen, om de beginselen van het privacyrecht te waarborgen. In die zin wordt letterlijk verwezen naar het beginsel van “minimale gegevensverwerking”, maar ook het aspect “pseudonimisering” doet zijn intrede.

De verantwoordelijke moet er ook voor zorgen dat de verwerking tot een strikt minimum moet worden beperkt, als absoluut noodzakelijk.


Tussenkomst van derden

Indien meerdere entiteiten verantwoordelijk zijn voor een bepaalde verwerking, zal dit het voorwerp moeten uitmaken van een overeenkomst. Buitenlandse verantwoordelijken moeten binnen de Europese Unie een vertegenwoordiger aanstellen.

De effectieve verwerking van gegevens mag worden uitbesteed, maar deze transactie moet geregeld worden in een bindende overeenkomst conform Europees recht. Voor dergelijke overeenkomsten kunnen standaardclausules worden opgesteld.


Beveiliging en meldingsplicht bij datalekken

Eigen aan persoonsgegevens is dat ze deel uitmaken van de privacy van individuen en dus goed afgeschermd moeten worden. Bij iedere verwerking moeten dus afdoende maatregelen worden genomen om de gegevens te beveiligen, in overeenstemming met de stand van de techniek, de aard van de verwerking zelf en de mogelijke risico’s voor de rechten en vrijheden van de betrokkene.

Van zodra een gegevenslek wordt opgemerkt, moet de betrokken verantwoordelijke hier onmiddellijk melding van doen bij zowel de betrokken Privacycommissaris, als bij de betrokkenen in kwestie.


Audit, raadpleging en functionaris

Voorafgaand aan iedere verwerking legt de wet een auditverplichting op om het effect van de verwerking op de privacy te beoordelen. Deze verplichting geldt voornamelijk in die gevallen waar een verhoogd risico bestaat voor de rechten en vrijheden van de betrokkene. Dit zal op zich al een onderzoek vergen, maar er bestaat er vermoeden van verhoogd risico bij het gebruik van nieuwe technologieën.

Daarnaast is een audit steeds noodzakelijk bij:

–          systematische en extensieve beoordeling gebaseerd op geautomatiseerde verwerking, inclusief profiling,

–          verwerking op grote schaal van gevoelige gegevens, en

–          grootschalige en systematische monitoring van publieke ruimtes.

Het auditrapport moet minstens de verwerking omschrijven, alsook de mogelijke risico’s en de maatregelen genomen om die risico’s te beperken.

Bij vaststelling van een hoog risico, moet de verantwoordelijke de bevoegde Privacycommissaris raadplegen.

Bepaalde entiteiten zijn ook verplicht om een privacyfunctionaris aan te stellen. Deze verplichting geldt voor:

–          overheden (behalve het gerecht),

–          zij die belast worden met regelmatige en stelselmatige observatie van betrokkenen op grote schaal, en

–          zij die de zogenaamde gevoelige gegevens verwerken.

De functionaris heeft een adviserende en informerende functie, maar zal ook instaan voor de naleving van de regels omtrent gegevensbescherming, bekleedt een specifieke rol bij audits en zal de primaire contactpersoon voor de Privacycommissaris.


Gedragscodes & Certificering

De nieuwe Privacyverordening legt een sterke nadruk op sturende maatregelen om de wetgeving na te leven en om de betrokkenen afdoende te informeren.

In die zin wordt een belangrijke rol weggelegd voor overheden en sectorale entiteiten die voorstellen kunnen lanceren voor gedragscodes.

Daarnaast moeten certificeringsmechanismen bijdragen tot kwaliteitszorg en transparantie naar de betrokkenen.


Doorgifte naar buitenland

Net zoals dit vroeger het geval was, zal de doorgifte van persoonsgegevens moeten voldoen aan de wettigheidsvereisten en zal moeten kaderen binnen het bereiken van de doelstellingen van de verwerking. Doorgifte moet ook steeds gecommuniceerd worden aan de betrokkene.

Wanneer gegevens worden doorgegeven buiten de Europese Unie wordt de bescherming van de betrokkene niet meer gegarandeerd. Zolang geen passend beschermingsniveau kan worden aangetoond, kan de doorgifte niet rechtmatig plaatsvinden.


Passend beschermingsniveau

Doorgifte van gegevens binnen de Europese Unie mag in principe geen probleem vormen, aangezien op het Europese grondgebied éénzelfde beschermingsniveau wordt gegarandeerd.

Van bepaalde landen buiten de Europese Unie is geweten dat ook daar een passend beschermingsniveau wordt gegarandeerd. De Europese Commissie is gemachtigd om een beoordeling te maken van het beschermingsniveau in een bepaald land, territorium, regio of zelfs een internationale organisatie. Indien dit beschermingsniveau als passend wordt beschouwd, kan een doorgifte plaatsvinden. Er wordt een lijst gepubliceerd van de als veilig bestempelde bestemmingen. De beoordeling wordt ook steeds geëvalueerd om in te spelen op actuele veranderingen.

Dit geldt voor Zwitserland, Canada, Andorra, Argentinië, Guernesey, het eiland Man, de Faeröereilanden, Jersey, Israël, Nieuw-Zeeland en Uruguay. Ook Australië en de Verenigde Staten bieden een gelijkaardig beschermingsniveau, doch enkel betreffende passagiersgegevens.


Geen passend beschermingsniveau

Landen buiten de Europese Unie zonder adequaatheidsbeoordeling van de Commissie zijn niet “veilig”.

Bij gebrek aan positieve beoordeling vanwege de Europese Commissie, kunnen doorgiftes naar derde landen toch nog rechtmatig plaatsvinden op basis van een akkoord tussen overheden, het gebruik van de “binding corporate rules”, het gebruik van de “standard data protection clauses”, het gebruik van een gevalideerde “code of conduct” of certificaat.


Toezicht & Sancties

Het toezicht op de naleving van de nieuwe Privacyverordening komt toe aan de individuele Privacycommissarissen van de Lidstaten.


Bevoegdheid & Taken

Iedere Privacycommissaris is in principe bevoegd om op te treden binnen zijn respectieve grondgebied.

Voor grensoverschrijdende verwerking wordt steeds een “lead authority” aangesteld. Er werden mechanismen ingebouwd om de samenwerking tussen de verschillende Privacycommissarissen te optimaliseren, zoals de verplichting tot wederzijds steun en de mogelijkheid tot gezamenlijke acties

Om verschillen in toepassing van de wetgeving door verschillende overheden te ondervangen, werd met het “Comité” nieuw coherentiemechanisme in het leven geroepen.


Remedies

Iedere betrokkene heeft het recht om een klacht neer te leggen bij de Privacycommissie van zijn woonplaats, werkplaats of plaats van inbreuk.

Daarnaast beschikt een betrokkene ook over het recht om vorderingen in te stellen tegen de Privacycommissie of tegen een bepaalde verantwoordelijke of verwerker in geval van schending van diens rechten.

Bij deze acties beschikt de betrokkene over de mogelijkheid om zich te laten vertegenwoordigen.

Voor zover de betrokkene schade heeft geleden als gevolg van de inbreuk, heeft deze recht op een schadevergoeding.


Sancties

Een belangrijke wijziging ingevoerd door de Privacyverordening zit in het nieuwe sanctiemechanisme. De Privacycommissarissen beschikken over de mogelijkheid om een onderzoek in te stellen en desgevallend een sanctie op te leggen.

Deze sanctie moet doeltreffend en evenredig zijn en een afschrikkend effect hebben in functie van het individuele geval. Bij het bepalen van de sanctie moet rekening gehouden worden met de verschillende feiten, de aard, oorzaak en ernst van de inbreuk, eventuele recidive, de schade, maar ook de houding en ernst van verantwoordelijke ten opzichte van zijn verantwoordelijkheid, de feiten, de verwerking en de autoriteiten.

Voor inbreuken op de algemene verplichtingen van de verantwoordelijken en de verwerkers kan een administratieve geldboete worden opgelegd tot 10 miljoen euro, en voor ondernemingen tot 2% van de globale jaaromzet van het voorgaande jaar.

Voor inbreuken op de meest essentiële bepalingen, zoals de basisbeginselen, de rechten van betrokkenen en buitenlandse doorgiften, en ook de niet-naleving van verplichtingen opgelegd door de Privacycommissaris, kan een administratieve geldboete worden opgelegd tot 20 miljoen euro, en voor ondernemingen tot 4% van de globale jaaromzet van het voorgaande jaar.


For more information contact

 

[ninja_forms id=6]