De GDPR vanaf 25 mei 2018 van toepassing
Privacy is een fundamenteel mensenrecht. Dit wordt erkend door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens, die het recht geeft om het “privé- en familieleven, zijn huis en zijn correspondentie”’ te respecteren.
Evenzeer definieert het Handvest van de grondrechten van de Europese Unie het “respect voor privé- en familieleven” (artikel 7) en voegt een specifiek artikel over “bescherming van persoonsgegevens” toe (artikel 8).
Bovendien beschermt artikel 12 van de Universele Verklaring van de Rechten van de Mens een persoon van “willekeurige inmenging met zijn privacy, familie, huis of correspondentie” en “inbreuk van eer en reputatie”.
Bescherming van de persoonlijke levenssfeer is niet alleen te beschouwen als een individuele waarde, maar ook als een essentieel element in het functioneren van de democratische samenlevingen.
1. Context en draagwijdte
Na vier jaar voorbereiding heeft het Europees Parlement op 14 april 2016 de regels goedgekeurd van de nieuwe privacy verordening. Op 4 mei 2016 is de Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) gepubliceerd in het Europees Publicatieblad.
Deze verordening harmoniseert de bestaande privacyregelgeving. Op Europees niveau bestaat er al sinds 1995 een richtlijn die door alle lidstaten is omgezet in nationaal recht en die bepaalt hoe en wanneer bedrijven persoonsgegevens mogen verzamelen, verwerken en doorgeven aan derden. Het nieuwe pakket maatregelen vervangt de privacyrichtlijn 95/46/EG, die niet meer aansluit bij het huidige digitale tijdperk.
Naast de harmonisering van de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten, wil de GDPR burgers meer controle geven over het gebruik van hun persoonlijke gegevens en de administratieve lasten verlagen voor organisaties.
Belangrijk is dat het gaat om een verordening en niet om een richtlijn. Waar richtlijn 95/46/EG moest worden omgezet in elke lidstaat naar nationale wetten, is de algemene verordening gegevensbescherming rechtstreeks geldig. Er zal bijgevolg in heel de EU een gelijke regelgeving zijn. De GDPR biedt wel de lidstaten nog steeds de mogelijkheid om eigen accenten te leggen en de nationale wetgeving aan te passen aan de eigen gebruiken omtrent de bescherming van de persoonsgegevens. Persoonsgegevens is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, naam, volgnummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
2. Toepassingsgebied
Een belangrijke wijziging is de uitbreiding van het territoriale toepassingsgebied van de verordening. Het territoriale toepassingsgebied is ingrijpend geherdefinieerd.
De verordening is van toepassing voor alle activiteiten van een vestiging van de verwerkingsverantwoordelijke (controller) of een verwerker (processor) in de EU, ongeacht of het verwerken van de gegevens op zich in de EU plaatsvindt.
De GDPR is echter ook van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een verwerkingsverantwoordelijke of verwerker buiten de Unie, indien de verwerking verband houdt met:
- het aanbieden van goederen of diensten aan betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist;
- het monitoren van hun gedrag.
Verwerkingsverantwoordelijke:
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van de middelen voor de verwerving van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unie-recht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
Verwerker:
Onder verwerker wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.
- Bv. Externe hosting, extern systeembeheer/bewaking;
- Taken die toegewezen kunnen worden aan externe dienstverleners zij o.a. software-ontwikkeling, data-archivering, data-vernietiging, onderhoud en beheer vanop afstand van hard en software (incl. printers en multifunctionals,…)
De GDPR is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie ie gevestigd, maar op en plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is.
Deze bepaling is een aanzienlijke uitbreiding van het toepassingsgebied van de EU-regelgeving tot partijen buiten de Unie.
3. Herneming bestaande principes
De verordening herneemt in grote mate de beginselen van de huidige richtlijn 95/46/EG.
Zo wordt het beginsel dat persoonsgegevens rechtmatig en eerlijk moeten worden verwerkt, vervolledigd met de verduidelijking dat de persoonsgegevens voor de betrokkene op een transparante wijze moeten worden verwerkt.
Onder verwerken of verwerking, verstaan we een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Naast het verwerken van gegevens zijn er aansluitende bepalingen voor “beperken van de verwerking”, “profilering” en “pseudonimisering” van de persoonsgegevens.
Ook wordt in de verordening toegevoegd dat slechts een minimum aan gegevens noodzakelijk voor een bepaald doeleinde mogen verwerkt worden (‘gegevensminimalisatie’).
De GDPR haalt ook aan dat de persoonsgegevens door het nemen van passende technische of organisatorische maatregelen op een manier moeten worden verwerkt die:
- een passende beveiliging waarborgt;
- beschermt tegen ongeoorloofde of onrechtmatige verwerking;
- beschermt tegen onopzettelijk verlies, vernietiging of beschadiging.
4. Belangrijke verplichtingen voor bedrijven
De verordening brengt heel wat belangrijke nieuwe verplichtingen met zich mee voor bedrijven. Er worden nieuwe vereisten inzake gegevensbescherming ingevoerd.
De GDPR zal pas vanaf 2018 van toepassing zijn. Toch is het aangeraden om als onderneming nu al actie te ondernemen. De beveiliging is niet slechts een technische maar ook een organisatorische kwestie. De verordening eist dat in organisaties op alle relevante niveaus aandacht wordt besteed aan bewustwording op het gebied van privacy en beveiliging van gegevens. Het is aan te raden ruim vóór 2018 aandacht te besteden aan deze bewustwording en de overige eisen die de Verordening aan gegevensverwerking stelt. Implementatie van de GDPR vereisten in een organisatie zijn van dien aard dat deze op basis van een Data Processing Register gebeuren, op basis van dit register zullen de nodige maatregelen opgesteld worden.
4.1. Aanstellen van een data protection officer, functionaris voor gegevensbescherming
Bepaalde bedrijven zullen een data protection officer (DPO) moeten aanstellen.
Een DPO heeft deskundigheid:
- op het gebied van de wetgeving:
- verwerkingsgrond
- finaliteit
- proportionaliteit
- bewaartermijn
- transparant
- rechten betrokkene
- praktijk inzake gegevensbescherming:
- confidentialiteit
- integriteit
- beschikbaarheid
- algemeen:
- toezien en bevorderen van de verantwoordelijkheden
- samenwerking met de DPA (Data Protection Authority)
De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in volgende gevallen:
- de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
- een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, omvang en/of doelstellingen regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
- de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van gegevens (bijvoorbeeld persoonsgegevens waaruit ras, politieke opvattingen of religieuze overtuigingen blijken) en van persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.
Andere bedrijven kunnen een DPO aanwijzen maar zijn hiertoe niet verplicht.
Deze functionaris voor gegevensbescherming moet erop toezien of het privacy beleid in overeenstemming is met de GDPR en is een adviseur van de verwerkingsverantwoordelijke of de verwerker. Verder moet hij ook optreden als contactpersoon voor de toezichthouder.
Een concern kan één DPO benoemen mits hij makkelijk te contacteren is vanuit elke vestiging.
Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan één functionaris voor gegevensbescherming worden aangewezen voor verschillende dergelijke instanties of organen, met inachtneming van hun organisatiestructuur en omvang.
Een DPO kan een werknemer van de verwerkingsverantwoordelijke of de verwerker zijn maar kan de taken ook op grond van een dienstverleningsovereenkomst verrichten.
De verwerkingsverantwoordelijke of de verwerker moet de contactgegevens van de DPO bekend maken en meedelen aan de toezichthoudende autoriteit (in België is dit de Privacy Commissie).
4.2. Striktere toestemming
De verwerking is onder andere rechtmatig wanneer de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden.
Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens. Het verzoek om toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig zijn gepresenteerd dat een duidelijk onderscheid gemaakt kan worden met andere aangelegenheden.
De toestemming moet door een duidelijke actieve handeling worden gegeven. Daaruit moet blijken dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Dit kan bijvoorbeeld door het klikken op een vakje op een internetwebsite. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit geldt niet als toestemming.
Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend.
De betrokkene kan bovendien zijn toestemming ten allen tijden intrekken. De intrekking moet even eenvoudig zijn als het geven ervan.
Voor de toestemming van kinderen gelden specifieke regels. Wanneer het kind jonger is dan 16 jaar, is de verwerking alleen dan rechtmatig wanneer de toestemming of machtiging tot toestemming wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.
4.3. Privacy by design en by default, GDPR: art. 25
“Privacy by Design”, wil zeggen dat met de privacy in het gehele engineeringproces vanaf de vroegste ontwerpfase tot en met de werking van het productieve systeem rekening moet worden gehouden.
De privacy-by-design-aanpak, wil zeggen dat gegevensbeschermingsmaatregelen in de vroegste fase van ontwikkeling van producten en diensten moeten worden ingebouwd, de Europese Commissie heeft dit in hun voorstel voor een algemene gegevensbeschermingsverordening (GDPR) aangepakt. Dit voorstel gebruikt de termen “privacy by design” en “data protection by design” als synoniemen.
Artikel 23 (“Gegevensbescherming door ontwerp en standaard”) verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen en procedures te implementeren, zowel bij de bepaling van de verwerkingsmiddelen als tijdens de verwerking zelf.
De GDPR definieert een lijst van principes met betrekking tot de verwerking van persoonsgegevens artikel 5 (“Beginselen inzake verwerking van persoonsgegevens”) die in het bijzonder in overweging moeten worden genomen.
‘Privacy by default’ houdt in dat de verwerking als standaardinstelling moet hebben dat privacy zoveel mogelijk wordt gewaarborgd. Mechanismen moeten als uitgangspunt slechts het minimum van noodzakelijke gegevens voor elk doeleinde verzamelen en bijhouden.
De verwerkingsverantwoordelijke moet passende technische en organisatorische maatregelen nemen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Deze verplichting geldt voor:
- de hoeveelheid verzamelde persoonsgegevens;
- de mate waarin zij worden verwerkt;
- de termijn waarvoor zij worden opgeslagen;
- de toegankelijkheid daarvan.
4.4. Impactanalyse of DPIA, Data Protection Impact Assessement, GDPR: art. 35
De verwerkingsverantwoordelijke moet vóór de verwerking een beoordeling uitvoeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens wanneer de verwerking een hoog risico inhoudt. Een hoog risico kan bestaan omwille van de aard, de omvang, de context of de doeleinden van de verwerking.
De GDPR somt een aantal gevallen op waarin zich dergelijke specifieke risico’s voordoen.
Dit is zo bij een grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.
De verordening bepaalt hoe de beoordeling van het effect op de gegevensbescherming moet gebeuren.
De nood aan een DPIA wordt versterkt door de verwerking van persoonsgegevens waarbij nieuwe technologie en of een nieuw type van verwerking wordt toegepast. Bij een latere verwerking van gegevens met een groot tijdsverloop. Gegevens van kinderen, volume verwerking met gevolgen voor een grote groep, wanneer meerdere verwerkingsverantwoordelijken van plan zijn een gemeenschappelijk applicatie- of verwerkingsomgeving in te voeren.
Indien er een DPO in de onderneming is aangewezen, moet de verwerkingsverantwoordelijke bij het uitvoeren van deze beoordeling de DPO om advies vragen.
De beoordeling bevat ten minste volgende topics:
- een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden.
- de noodzaak en de evenredigheid
- een beoordeling van de bedoelde risico’s
- de beoogde maatregelen om de risico’s aan te pakken
4.5. Voorafgaande raadpleging
Wanneer uit de impactanalyse blijkt dat de verwerking een hoog risico kan opleveren, moet de verwerkingsverantwoordelijke de toezichthoudende autoriteit raadplegen voorafgaand aan de verwerking.
Wanneer de toezichthoudende autoriteit (België: Privacy Commissie) van oordeel is dat de voorgenomen verwerking inbreuk zou maken op de verordening, geeft de toezichthoudende autoriteit binnen een maximumtermijn van 8 weken na de ontvangst van het verzoek om raadpleging schriftelijk advies. Deze termijn kan met 6 weken worden verlengd voor complexe verwerkingen.
4.6. Meer transparantie en kennisgeving, GDPR: art. 13
De verwerkingsverantwoordelijke moet passende maatregelen nemen opdat betrokkenen de informatie en communicatie met betrekking tot de verwerking van hun persoonsgegevens in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangen.
Zo moeten betrokkenen volgende informatie krijgen bij het verstrekken van persoonsgegevens:
- de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van diens vertegenwoordiger;
- de contactgegevens van de DPO, als die er is;
- de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking;
- …
4.7. Register verwerkingsactiviteiten vervangt aangifte bij Privacy Commissie
De verplichting om verwerkingen van persoonsgegevens aan te melden bij de nationale toezichthouders (België: Privacy Commissie) verdwijnt.
De verwerkingsverantwoordelijke moet in de plaats daarvan wel een register van de verwerkingsactiviteiten bijhouden. Dit register moet volgende gegevens omvatten:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke en in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de DPO;
- de verwerkingsdoeleinden;
- een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
- …
De verwerkingsverantwoordelijke moet met andere woorden op elk moment een courante inventaris van verwerkingen hebben.
Ook de verwerker moet een register bijhouden van alle categorieën van verwerkingsactiviteiten die ze voor een verwerkingsverantwoordelijke hebben verricht. Dit register moet volgende gegevens bevatten:
- de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt en in voorkomend geval van hun vertegenwoordigers en van de DPO;
- de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
- …
Deze verplichting voor verwerkingsverantwoordelijken en verwerkers is niet van toepassing op ondernemingen die minder dan 250 personen in dienst hebben, tenzij:
- het risico op schending van de privacy reëel is;
- de verwerking regelmatig is;
- of de verwerking bijzondere categorieën van gegevens, zoals bijvoorbeeld persoonsgegevens waaruit ras, politieke opvattingen of religieuze overtuigingen blijken, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten betreft.
4.8. Meldplicht inbreuk
De verwerkingsverantwoordelijke moet een inbreuk in verband met persoonsgegevens melden aan de bevoegde toezichthoudende overheid (België: Privacy Commissie), indien mogelijk binnen de 72 uur. Indien de inbreuk waarschijnlijk geen risico inhoudt voor de privacy van natuurlijke personen, moet de inbreuk niet gemeld worden.
De verwerker moet de verwerkingsverantwoordelijke informeren zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. Hij moet alle inbreuken in verband met persoonsgegevens documenteren, ook de feiten van de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen.
Daarnaast moet de verwerkingsverantwoordelijke de inbreuk ook melden aan de betrokkene wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de privacy van natuurlijke personen tenzij een van volgende voorwaarden is vervuld:
- de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen;
- de mededeling zou onevenredige inspanningen vergen. In dit geval komt er in de plaats een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
5. Rechten voor burgers
Burgers krijgen een heel aantal nieuwe rechten met betrekking tot hun persoonsgegevens. Ze krijgen meer controle over het gebruik van hun persoonlijke gegevens.
5.1. Recht op inzage, GDPR: art. 15
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van zijn persoonsgegevens die verwerkt worden en van de volgende informatie:
- de verwerkingsdoeleinden;
- de betrokken categorieën van persoonsgegevens;
- van het recht van de betrokkene om klacht in te dienen bij een toezichthoudende autoriteit;
- de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- indien mogelijk de periode gedurende welke de persoonsgegevens zullen worden opgeslagen;
- …
5.2. Recht op rectificatie, GDPR: art. 16
De betrokkene heeft het recht onjuiste persoonsgegevens te laten verbeteren en om onvolledige persoonsgegevens te laten vervolledigen.
De verwerkingsverantwoordelijke moet iedere ontvanger aan wie persoonsgegevens verder zijn verstrekt in kennis stellen van een rectificatie van persoonsgegevens.
5.3. Recht om vergeten te worden, GDPR: art. 17
De betrokkene heeft het recht om zijn persoonsgegevens te laten verwijderen. Dit recht is
echter enkel onder bepaalde voorwaarden van toepassing. De verwerkingsverantwoordelijke is verplicht om persoonsgegevens te wissen in volgende gevallen:
- de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld;
- de betrokkene trekt zijn toestemming in waarop de verwerking is berust en er is geen andere rechtsgrond voor de verwerking;
- de persoonsgegevens zijn onrechtmatig verwerkt;
- de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1
- …
Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en verplicht is de persoonsgegevens te wissen, moet hij redelijke maatregelen nemen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken op de hoogte te stellen dat de betrokkene heeft verzocht om zijn persoonsgegevens te wissen.
Dit recht is niet van toepassing indien de verwerking nodig is:
- voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
- voor het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting of voor het vervullen van een taak van algemeen belang of het uitoefenen van openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
- om redenen van algemeen belang op het gebied van volksgezondheid;
- met het oog op archivering in het algemeen belang, wetenschappelijke of historisch onderzoek of statistische doeleinden, voor zover het recht om vergeten te worden de verwezenlijkingen van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
- voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
De verwerkingsverantwoordelijke moet iedere ontvanger aan wie persoonsgegevens verder zijn verstrekt in kennis stellen van elke verwijdering van persoonsgegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Indien de betrokkene hierom verzoekt, moet de verwerkingsverantwoordelijke informatie over deze ontvangers verstrekken.
5.4. Recht op beperking van de verwerking, GDPR: art. 18
De betrokkene heeft het recht om de verwerking van zijn gegevens te beperken indien:
- de betrokkene de juistheid van zijn persoonsgegevens betwist. In dat geval moet de verwerking beperkt worden tot de persoonsgegevens die gecontroleerd zijn door de verwerkingsverantwoordelijke;
- de verwerking onrechtmatig is maar de betrokkene zich verzet tegen het wissen van de persoonsgegevens;
- de persoonsgegevens niet meer nodig zijn voor de verwerkingsdoeleinden maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- de betrokkene bezwaar heeft gemaakt tegen de verwerking. In dat geval moet de verwerking beperkt worden in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
Wanneer de verwerking is beperkt, mogen de persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt worden:
- met toestemming van de betrokkene;
- of voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- of ter bescherming van de rechten van een andere persoon of rechtspersoon;
- of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.
De verwerkingsverantwoordelijke moet iedere ontvanger aan wie persoonsgegevens verder zijn verstrekt in kennis stellen van elke beperking van de verwerking.
5.5. Recht op overdraagbaarheid van gegevens, GDPR: art. 20
De betrokkene heeft het recht zijn persoonsgegevens die hij heeft verstrekt aan een verwerkingsverantwoordelijke, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen indien:
- de verwerking berust op toestemming of op een overeenkomst;
de verwerking via geautomatiseerde procedés wordt verricht.
De betrokkene heeft het recht dat zijn persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden.
De bedoeling van deze bepaling is om betrokkene toe te laten op eenvoudige wijze van dienstverlener te veranderen.
5.6. Recht van bezwaar, GDPR: art 21
De betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens. De verwerkingsverantwoordelijke moet de verwerking van de persoonsgegevens staken tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die:
- zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene;
- verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
5.7. Klacht bij de toezichthoudende autoriteit
Iedere betrokkene heeft het recht om een klacht in te dienen bij de toezichthoudende autoriteit (België: Privacy Commissie) in de lidstaat waar hij gewoonlijk verblijft, waar hij zijn werkplek heeft of waar de beweerde inbreuk is begaan wanneer hij meent dat de verwerking van zijn persoonsgegevens inbreuk maakt op de verordening.
6. Verwerkers nu ook mee verantwoordelijk
In tegenstelling tot de huidige Europese regelgeving voor gegevensbescherming zullen veel van de nieuwe regels ook van toepassing zijn op gegevensverwerkers, terwijl vroeger enkel de verantwoordelijke voor de verwerking aansprakelijk kon worden gesteld.
Eenieder die schade heeft geleden ten gevolge van een inbreuk op de verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te krijgen voor de geleden schade.
Elke verwerkingsverantwoordelijke die bij de verwerking betrokken is, is aansprakelijk voor de schade die veroorzaakt wordt door verwerking die inbreuk maakt op de verordening. Ook de verwerker is aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer:
- bij de verwerking niet is voldaan aan de verplichtingen voor de verwerkers van deze verordening;
- buiten of in strijd met de instructies van de verwerkingsverantwoordelijke is gehandeld.
Indien meerdere verwerkingsverantwoordelijken of verwerkers bij een verwerking betrokken zijn en verantwoordelijk zijn voor de schade die veroorzaakt is door de verwerking, wordt elke verwerkingsverantwoordelijke of verwerker voor de gehele schade aansprakelijk gehouden.
7. Sancties
Een grote wijziging is dat nu ook strenge sancties voorzien zijn voor het niet-naleven van de privacy voorschriften.
Met de nieuwe regels kunnen alle toezichthoudende autoriteiten administratieve boetes opleggen tot 20.000.000 euro of tot 4% van de jaaromzet indien dit cijfer hoger is.
De GDPR geeft wel ruimte om boetes te matigen afhankelijk van de omstandigheden van het geval. Het opleggen van een boete is niet verplicht.
De verordening geeft aan dat bij het opleggen van boetes onder andere rekening gehouden moet worden met het feit of de dader:
- de inbreuk opzettelijk pleegde of nalatig was;
- voldoende aandacht besteedde aan beveiliging;
- voldoende gegevensbescherming door ontwerp (‘by design’) en standaardinstellingen (‘by default’) toepaste.
8. Ten slotte
De verordening is in werking getreden op 24 mei 2016 en zal vanaf 25 mei 2018 rechtstreeks, zonder omzetting in nationale wetgeving, van toepassing zijn in de lidstaten.
Lidstaten en ondernemingen hebben 2 jaar de tijd om zich voor te bereiden. Onze nationale wetgever zal wellicht nog een aantal aspecten verder invullen, concretiseren of verfijnen.
De GDPR zal een belangrijke impact hebben op ondernemingen, in het bijzonder op de werkgever-werknemer relatie. Een bedrijf moet rekening houden met de verplichtingen van de verordening telkens persoonsgegevens worden verwerkt van een werknemer, zoals bijvoorbeeld adresgegevens, loonberekeningen en evaluaties.