Op 25 mei 2018 wordt de nieuwe Europese privacywetgeving van kracht, en dat ingevolge Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, of in het kort ‘de algemene verordening gegevensbescherming’. In het Engels spreken we van de General Data Protection Regulation of de ondertussen alomtegenwoordige ‘GDPR’.
Dit heeft voor alle bedrijven en organisaties die diensten of producten aanbieden aan Europese onderdanen zijn repercussies. In een wereld van snelle technologische vooruitgang, een digitale economie en globalisering worden immers steeds vaker persoonsgegevens verzameld en gedeeld: foto’s, emails, contact- en locatiegegevens,…
Maar het recht op bescherming van persoonsgegevens is een grondrecht en fundamentele vrijheid. De GDPR moet daarom een hogere mate van consistente bescherming garanderen voor alle Europese onderdanen en het vrij verkeer in de unie waarborgen. Elke bezitter van dergelijke persoonsgegevens (de ‘gegevensverwerkers’) dient er vanaf 25 mei 2018 dus voorzichtig mee om te springen en bepaalde basisprincipes in acht te houden opdat de betrokkene meer (rechts-)zekerheid krijgt en controle behoudt. We sommen er hier enkele op.
1. Eerst en vooral, over welke gegevens gaat het?
De bescherming geboden door de GDPR slaat op alle persoonsgegevens van natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, die zich in de Unie bevinden. Het gaat dus niet over de gegevens van rechtspersonen. Ze is andersom evenmin van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die geen enkel verband houdt met een beroeps- of handelsactiviteit.
Bovendien is het toepassingsveld technologieneutraal: zowel de geautomatiseerde als de handmatige verwerking van persoonsgegevens vallen onder het toepassingsgebied van de richtlijn. Anderzijds zijn dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, expliciet uitgesloten van het toepassingsgebied.
Uitgesloten zijn (uiteraard) ook de instanties die zich met de desbetreffende bescherming, nationale veiligheid,… bezighouden.
2. Informatieplicht en transparantie
Slaat men bepaalde persoonsgegevens op, dan dient men de betrokkene daarvan in kennis te stellen. Bovendien moeten de gebruiksregels die de onderneming of organisatie in kwestie hanteert met betrekking tot die verzamelde informatie volledig en duidelijk zijn:
Waarom worden gegevens opgeslaan?
Over welke data gaat het?
Met welk doel worden die opgeslaan? Wat is de juridische grondslag (bv. toestemming van de betrokkene, wettelijke verplichting,…)?
Hoelang worden die bewaard? Een vaste termijn of is de duurtijd voor het houden van dergelijke informatie gebaseerd op bepaalde criteria en welke zijn dat dan?
Wie heeft daar toegang toe? Zijn ook partijen buiten de Europese Unie, kan dan een gelijkaardige bescherming worden geboden?
Wie kan binnen de organisatie gecontacteerd worden omtrent de verwerking van deze informatie?
Welke rechten heeft de betrokkene (bv. recht op inzage en correctie, vraag tot verwijderen van deze informatie,…)?
Is de betrokkene verplicht zijn persoonsgegevens te verstrekken, en wat zijn de gevolgen als hij dat niet doet?
De vereiste transparantie gebiedt de gegevensverwerkers bovendien om haar gebruiksregels zo te formuleren dat ze verstaanbaar zijn voor de doelgroep die de onderneming wenst te bereiken, en dat deze regels makkelijk te consulteren vallen.
Het belang van een degelijke ‘privacyverklaring’ op de website wordt daarmee onderstreept en ze dient dus ook vanaf elke pagina op de website na te lezen te zijn.
De betrokkene kan zich desgevallend steeds wenden tot de Privacy-commissie, wiens taken en competenties eveneens duidelijk zijn omschreven in de voormelde verordening.
3. Gerechtvaardigd belang
Men dient geen gegevens op te slaan die niet nodig zijn, en wat wel wordt opgeslaan mag dat enkel zijn voor de duur dat dit werkelijk nodig is. Er moet dus sprake zijn van een gerechtvaardigd belang dat de verwerking van bepaalde persoonsgegevens noodzakelijk maakt én dat bovendien opweegt tegenover andere grondrechten van de betrokkene.
4. Degelijke beveiliging
De gegevensverwerker moet een passende beveiliging en vertrouwelijkheid van de verkregen persoonsgegevens waarborgen, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt. Bijzondere persoonsgegevens, bv. medische informatie, vereisen uiteraard een andere aanpak en bescherming. In sommige gevallen is zelfs een voorafgaandelijke toetsing vereist.
Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft een verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de verordening wordt uitgevoerd.
Dit houdt eveneens in dat, indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de verwerkingsverantwoordelijke dit zonder onredelijke vertraging meldt en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan bevoegde toezichthoudende autoriteit.
Kortom, elke onderneming die diensten levert of producten verkoopt aan Europese onderdanen, gaat best eens met de rode pen door de eerder vaak verwaarloosde privacyverklaring. Ook intern dient de organisatie onder de loep te worden genomen opdat de verwerking van persoonsgegevens strikt GDPR compliant gebeurd.