GDPR – de klok tikt (nog één jaar)

GDPR – de klok tikt (nog één jaar)

Op 27 april 2016 nam het Europees Parlement de Algemene Verordening inzake Gegevensbescherming aan, beter gekend onder “GDPR” (General Data Protection Regulation). 

Deze Verordening vervangt de huidige Richtlijn 95/46/EG inzake de verwerking van persoonsgegevens, die in België werd omgezet door de Wet Verwerking Persoonsgegevens van 8 december 1992 (ook wel de “Privacywet” genoemd). 

In tegenstelling tot de Richtlijn heeft de GDPR rechtstreekse werking in alle lidstaten en is een omzetting in nationaal recht in beginsel niet nodig. Op deze manier tracht het Europees Parlement de regelgeving inzake data protection te uniformiseren. Anderzijds vereist ook de GDPR verordening nog op een aantal punten uitvoering in België. 

De GDPR treedt in werking op 25 mei 2018. We hebben dus nog ongeveer één jaar te gaan. Dit lijkt ver, maar vergis u niet, het merendeel van de ondernemingen zal deze tijd nodig hebben om haar data protection beleid in overeenstemming te brengen met de nieuwe regels. 

De GDPR behoudt in zeker mate de basisbeginselen, maar innoveert toch op een aantal vlakken. In deze nieuwsbrief lichten wij u de algemene krijtlijnen en voornaamste nieuwigheden van de GDPR toe. In volgende nieuwsbrieven gaan wij dieper in op een aantal specifieke topics.

Ruimer territoriaal toepassingsgebied 

Het materieel toepassingsgebied blijft ongewijzigd. De GDPR is, net zoals de huidige Privacywet, van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Het territoriaal toepassingsgebied wordt evenwel verruimd. Niet alleen de verwerkings-verantwoordelijken die een vestiging in een lidstaat hebben moeten de regels van de GDPR naleven. De verordening is evenzeer van toepassing op verantwoordelijken of verwerkers buiten de Europese Unie wanneer persoonsgegevens worden verwerkt van betrokkenen in de Europese Unie, bijvoorbeeld voor de verkoop van goederen of diensten of voor het observeren van een bepaald gedrag van de betrokkene.

Verantwoordingsplicht (“accountability”) 

Eén van de grootste nieuwigheden die de GDPR insluit, betreft de positie van de verantwoordelijke voor de verwerking. Deze is actief verantwoordelijk voor een gegevensverwerking conform de GDPR en moet de naleving ervan ook zelf kunnen aantonen. 

Versterkte toestemming 

Een verwerking van persoonsgegevens is rechtmatig wanneer de betrokkene zijn toestemming hiervoor geeft. De GDPR stelt wel striktere voorwaarden aan deze toestemming. Het moet gaan over een vrije, specifieke, op informatie berustende, ondubbelzinnige toestemming. Een impliciete toestemming is niet langer toegelaten. Er moet een duidelijke positieve actie zijn (bv. aanvinken). 

Rechten van de betrokkenen 

In vergelijking met de bestaande Richtlijn 95/46/EG en de Belgische Privacywet versterkt de GDPR de rechten van de betrokkenen en voert zij nieuwe rechten in. Het gaat o.m. om de volgende rechten: het recht om informatie te ontvangen over de gegevenswerking waarvan de betrokkene het voorwerp is, het recht op toegang tot de gegevens die worden verwerkt, het recht om onjuiste gegevens te laten verbeteren en het recht op een kopie van de persoonsgegevens die worden verwerkt. 

Er wordt tevens voorzien in een recht op de overdraagbaarheid van gegevens (“data portability”). Dit recht moet ervoor zorgen dat een persoon zijn gegevens gemakkelijk kan overdragen naar bijvoorbeeld een andere dienstverlener. 

Het recht dat het meest in het oog springt, is het recht om vergeten te worden. Dit principe vindt zijn oorsprong in het bekende Google-arrest van het Europese Hof van Justitie. Op basis van dit recht kan een persoon onder bepaalde omstandigheden de verantwoordelijke voor de verwerking vragen om zonder enige vertraging zijn persoonsgegevens te wissen. 

One-stop-shop

Het one-stop-shop oftewel het één-loket-mechanisme is een andere nieuwigheid. Een verwerkingsverantwoordelijke die actief is in meerdere Europese lidstaten zal met de inwerkingtreding van de GDPR niet langer met verschillende toezichthoudende autoriteiten moeten communiceren, maar enkel met de leidende toezichthoudende autoriteit. Dit is de autoriteit van de lidstaat waar de verwerkingsverantwoordelijke haar hoofdvestiging heeft, volgens de GDPR de plaats waar de centrale administratie zich bevindt. 

Naar alle waarschijnlijk zal de Privacycommissie in België de rol van toezichthoudende autoriteit op zich nemen, maar hiervoor is het nog wachten op uitvoerende teksten. 

Beveiliging van de verwerkingen en gegevenslekken

De GDPR besteedt veel aandacht aan de beveiliging van de verwerking. Dit is noodzakelijk vermits door de technologische ontwikkelingen persoonsgegevens vaak worden opgeslagen in de cloud en alzo zeer vatbaar zijn voor inbreuken (bv. hacking). 

De verantwoordelijke voor de verwerking moet de gepaste technische en organisatorische maatregelen nemen zodat hij kan instaan voor een beveiligingsniveau dat op de risico’s is afgestemd. Voorbeelden van beveiligingsmaatregelen zijn pseudonimisering en versleuteling. In een aantal gevallen zal een “gegevensbeschermingseffectbeoordeling” verplicht zijn.

Melding van datalekken binnen 72 uur

De GDPR verplicht de verantwoordelijken voor de verwerking om belangrijke inbreuken in verband met persoonsgegevens (datalekken) te melden aan de toezichthoudende autoriteit binnen de 72 uur nadat hij heeft kennisgenomen van de inbreuk. Indien de inbreuk geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen geldt deze meldingsplicht niet. Wanneer deze inbreuk echter een zeer hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moeten deze zelf worden ingelicht. 

Data protection officer 

Vanaf de inwerkingtreding van de GDPR zullen sommige verantwoordelijken voor de verwerking en verwerkers een data protection officer (“DPO”) oftewel een functionaris voor gegevensbescherming moeten aanduiden. Een DPO moet worden aangeduid in drie gevallen: (i) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, (ii) de verwerkingsverantwoordelijke of verwerker is hoofdzakelijk belast met grootschalige verwerkingen van gevoelige gegevens en (iii) verwerking door een verwerkingsverantwoordelijke of verwerker die als kernactiviteit heeft verwerkingsactiviteiten uit te voeren die grootschalige, regelmatige en systematische observatie van betrokkenen vereist.

De DPO zal een belangrijke rol spelen bij de implementatie van de GDPR binnen deze ondernemingen. De DPO moet een deskundige zijn op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.

Register van verwerkingsactiviteiten

Een vernieuwing die wordt toegejuicht, is het wegvallen van de verplichting voor verantwoordelijken voor de verwerking om de geautomatiseerde gegevensverwerkingen aan te geven bij de Privacycommissie. De Belgische wetgeving zal in die zin moeten worden aangepast. 

Vanaf 25 mei 2018 zullen o.a. grote verantwoordelijken en verantwoordelijken die systematisch persoonsgegevens verwerken een geschreven of elektronisch register moeten bijhouden van alle verwerkingsactiviteiten. De toezichthoudende autoriteit zal dit register te allen tijde kunnen opvragen om toezicht te houden op de verwerkingsactiviteiten. 

Doorgifte naar derde landen & bindende bedrijfsvoorschriften 

Het doorsturen van persoonsgegevens buiten de Europese Unie is slechts toegestaan wanneer het ontvangende land een passend beschermingsniveau biedt of een afwijking van toepassing is. De Europese Commissie heeft een aantal landen en regio’s erkend die een passend beschermingsniveau bieden. Voorbeelden zijn Zwitserland en de VS, althans voor zover de onderneming is aangesloten bij de EU-US Privacy Shield (opvolger van de Safe Harbour). Indien een regio/land een dergelijke erkenning niet geniet, moet de verantwoordelijke voor de verwerking voorzien in bijkomende waarborgen. 

Een eerste mogelijkheid die de GDPR biedt is het voorzien in bindende bedrijfsvoorschriften. Deze interne gedragscodes zijn een nuttig instrument voor multinationals die gegevensstromen willen opzetten binnen hun groep. Deze bedrijfsvoorschriften moeten worden goedgekeurd door de toezichthoudende overheid. 

Een andere mogelijkheid is de aansluiting bij een goedgekeurde gedragscode of certificeringsmechanisme. Ook contractuele bepalingen m.b.t. gegevensbescherming kunnen volstaan als deze zijn vastgesteld door de Europese Commissie of door een toezichthoudende overheid. Een afwijking voor een specifieke situatie is wanneer de betrokkene ondubbelzinnig toestemming heeft gegeven voor de doorgifte aan een niet EU-land.

Strenge sancties 

De toezichthoudende autoriteit krijgt de bevoegdheid om administratieve geldboeten op te leggen omwille van inbreuken op de GDPR. De administratieve geldboeten moeten doeltreffend, evenredig en afschrikkend zijn. Bij het opleggen van een boete houdt de toezichthoudende autoriteit rekening met verzachtende of verzwarende omstandigheden (bv. eerdere inbreuken, opzettelijke nalatigheid). 

De maximumbedragen zijn zeer hoog. Voor een aantal inbreuken kan de boete oplopen tot 10 miljoen euro, of ingeval van een onderneming tot 2% van de totale wereldwijde omzet in het voorgaande boekjaar indien dat cijfer hoger is. Dit is bijvoorbeeld het geval indien geen register van verwerkingsactiviteiten wordt bijgehouden of bij de niet-aanstelling van een functionaris voor de gegevensbescherming.

Het overgrote deel van de inbreuken op de GDPR kunnen worden bestraft met een boete tot 20 miljoen euro, of ingeval van een onderneming tot 4% van de totale wereldwijde omzet in het voorgaande boekjaar indien dat cijfer hoger is. Dit is bijvoorbeeld het geval bij een niet beschermde doorgifte van persoonsgegevens aan derde landen of het verwerken van persoonsgegevens zonder dat daartoe een rechtsgrond bestaat. 

Meer over de GDPR in volgende nieuwsbrieven. 

Voor meer info over dit specifieke onderwerp, kan u de auteurs raadplegen, zijnde Dave Mertens, Sara Cockx en Sébastien van Damme