Algemeen – Op 25/05/2018 treedt de Algemene Verordening Gegevensbescherming van het Europees Parlement – beter bekend als de General Data Protection Regulation (GDPR) – definitief in werking.
De GDPR betreft een verordening van het Europees Parlement, is bijgevolg rechtstreeks van toepassing in elke lidstaat van de Europese Unie en zorgt op deze manier voor een eenmaking van de verschillende nationale privacy-regelgevingen van alle Europese lidstaten.
De rechtstreekse toepassing van de GDPR houdt voor België concreet in dat de GDPR in de plaats zal treden van de zgn. “Privacywet”, zijnde de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.
De GDPR scherpt de in de “Privacywet” naar voren geschoven basisprincipes aan en legt verschillende nieuwe verplichtingen op voor de gegevensverwerker – en de verwerkingsverantwoordelijke – van persoonsgegevens.
Op zijn zachtst gezegd is het gezegde “het venijn zit hem in de staart” ook van toepassing op de GDPR en diens artikel 82 e.v., nl. de administratieve geldboeten n.a.v. inbreuken welke kunnen oplopen tot 20 miljoen euro of tot 4% van de totale wereldwijde omzet én het recht van de “betrokkene” op schadevergoeding.
Wat zijn persoonsgegevens – Persoonsgegevens kunnen worden omschreven als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. De GDPR heeft geen gevolgen voor de gegevens betreffende rechtspersonen.
Een natuurlijk persoon kan worden geïdentificeerd a.d.h.v. verschillende (persoons)gegevens, bv. rijksregisternummer, telefoonnummer, adres, online profielen, zgn. “internetcookies”, IP-adres, irisscan, vingerafdruk, gezichtsherkenning, etc.
Wat is “verwerking” van persoonsgegevens – Wanneer persoonsgegevens worden “verwerkt”, al dan niet op geautomatiseerde wijze, gaat men over tot het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, etc. van persoonsgegevens.
Het komt gepast voor om te besluiten dat de definitie van “gegevensverwerking” zeer ruim is.
In een onderneming zal er bijgevolg steeds sprake zijn van gegevensverwerking, m.n.:
- “monitoren” van het gedrag van (particuliere) klanten om aan stock-control te doen (bv. gebruik maken van zgn. internetcookies op hetzij website van onderneming hetzij webwinkel);
- Het voeren van personeelsadministratie;
- Camerabewaking;
- Informatie van (ex-)werknemers bijhouden;
- …
Belangrijkste innovaties GDPR – Algemeen – De GDPR handhaaft de naar voren geschoven basisprincipes van de “Privacywet” en scherpt deze verder aan d.m.v. het opleggen van enkele nieuwe verplichtingen, m.n.:
- Voor de betrokkene (natuurlijke) persoon
- Recht van inzage en kopie;
- Recht om onjuiste persoonsgegevens te laten corrigeren (recht op rectificatie);
- Recht op vergetelheid (right to be forgotten);
- …
- Voor de “gegevensverwerker”
- Verstrekken van informatie;
- Inschrijving in Register van de verwerkingsactiviteiten;
- Aanstellen Data Protection Officer (afhankelijk van bepaalde voorwaarden);
- Melden van inbreuken;
- …
Belangrijkste innovaties GDPR – “Actieve” toestemming – Een verwerking van persoonsgegevens is slechts rechtmatig wanneer deze verwerking voldoet aan minstens één van de zes voorwaarden van art. 6, 1 GDPR. De eerste voorwaarde betreft de toestemming van de betrokkene.
Daar waar de toestemming onder de Privacywet op een vrije, specifieke en ondubbelzinnige wijze diende te worden gegeven, vereist de GDPR dat deze toestemming slechts kan blijken uit een duidelijk actieve handeling en op generlei wijze kan worden afgeleid worden uit vooraf aangevinkte vakjes of het nalaten van enige vorm van protest te voeren.
Het moet voor de betrokkene steeds mogelijk zijn diens toestemming in te trekken en zulks op een even eenvoudige wijze als waarop de toestemming is gegeven.
Belangrijkste innovaties GDPR – Omkering bewijslast bij inbreuk – De GDPR keert de bewijslast om wanneer er sprake is van een inbreuk op de GDPR, de “gegevensverwerker” of de “gegevensverantwoordelijke” zal steeds dienen aan te tonen dat er geen inbreuk heeft plaatsgevonden.
Conclusie – De Europese Unie zet met de GDPR alle zeilen bij om de privacy van de betrokken natuurlijke personen te garanderen, te uniformiseren over zijn gehele grondgebied, de inbreuken te beperken en zo nodig te bestraffen.
Gelet op ingrijpende en omvangrijke nieuwe verplichtingen en de hiermee gepaard gaande omgekeerde bewijslast, het recht op schadevergoeding van de betrokkene en de torenhoge administratieve geldboeten, is het aangewezen om u als onderneming zo goed als mogelijk voor te bereiden op de inwerkingtreding van de GDPR op 25/05/2018.
Men dient voor ogen te houden dat de GDPR zich niet enkel uitstrekt naar toekomstige cliënteel doch ook naar reeds bestaand cliënteel en de reeds verkregen en verwerkte persoonsgegevens.
Juridisch advies van een advocaat met expertise van de privacywetgeving is aangewezen om het hoofd te bieden aan alle nieuwe verplichtingen en de mogelijke implicaties op de reeds verkregen en verwerkte persoonsgegevens ten einde monsterboetes te vermijden.
Copyright © 2017 Mattijs Voet & Co Overname zonder schriftelijke toestemming is verboden.
Disclaimer Deze gratis nieuwsbrief is bedoeld als bron van informatie. De nieuwsbrief beoogt op geen enkele wijze de volledigheid en kan niet worden gelezen of gebruikt als advies. Hoewel de auteurs de grootste zorg besteden aan hun teksten, kan op geen enkele wijze enige aansprakelijkheid voortvloeien uit de inhoud van de nieuwsbrief.