Wetgeving Richtlijn Gegevensbescherming
De Europese Richtlijn 95/46/EC bestuurt het verwerken van de persoonsgegevens in de EU en zal nu worden vervangen door de AVG vanaf 25 mei 2018. De Verordening introduceert minimale normen, welke geïmplementeerd hadden moeten zijn door afzonderlijke wetgeving in elke EU lidstaat. Dit gaf de lidstaten de optie het toepassingsgebied van de Richtlijn uit te breiden of bestaande hogere normen te behouden, of te besluiten niet het volledige voordeel van afwijkingen te nemen, welke de verschillende gegevensbeschermingsnormen toepasselijk over Europa verklaren. Het kan online worden gevonden: https://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_nl.pdf
EU AVG
De Algemene Verordening voor Gegevensbescherming (AVG) werd aangenomen als Verordening (EU) 2016/679 van het Europese Parlement en van de Raad op 27 april 2016.
In tegenstelling tot de Richtlijn is de AVG bedoeld om rechtstreeks toepasselijk is in elke EU lidstaat zonder de noodzaak voor het invoeren van wetgeving, en om een raamwerk te creëren waarbinnen meer gedetailleerde regels kunnen worden gemaakt. Dit harmoniseert de wetgeving over Europe [zie Territoriale toepassingsgebied]. Bijvoorbeeld, het vereiste de DPA op de hoogte te stellen [zie GBA] of nieuwe verwerking word afgeschaft (behalve in een beperkt aantal gevallen) en worden vervangen door een verplichting om alle processen te documenteren. Verwerkingsverantwoordelijke [zie Verwerkingsverantwoordelijke] en -verwerkers [zie gegevensverwerker] dienen overeen te stemming te bereiken over hun onderlinge verantwoordelijkhedenanders, zij worden gezamenlijk en zwaar aansprakelijk. De Verordening kan online worden gevonden: https://eur-lex.europa.eu/legal-content/NL/TXT/
e-Privacy Richtlijn
De e-Privacy Richtlijn was eerst aangenomen als Richtlijn 2002/58/EC van het Europese Parlement en van de Raad. Het bestuurt momenteel de privacy-rechten toepasselijk op elektronische communicatietechnologie en inhoud. De Richtlijn kan online worden: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do
e-Privacy Verordening
Volgend op het aannemen van de AVG, the e-Privacy Verordening zal worden gereviseerd om te voldoen met de AVG en adresseert de technische innovaties gecreëerd sinds de invoering van de laatste amendement van de Richtlijn in 2009. Een ontwerpvoorstel van de Verordening getiteld “Richtlijn over Privacy en Elektronische Communicatie” was vrijgegeven op 10 januari 2017. De Verordening zal toepasselijk zijn op elke leverancier van elektronische communicatiediensten of tot elke entiteit dat elektronische communicatiegegevens verwerkt. Het zal gevolgen hebben op de manier waar organisaties elektronisch interacteren met EU inwoners, user tracking inbegrepen, gegevensverzameling in gebruikersapparaten, en direct marketing. Het ontwerpvoorstel van de Verordening en gerelateerde documenten kan online worden gevonden: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications
AVG instanties
EDPS
De Europese Toezichthouder voor gegevensbescherming (EDPS) is opgericht in 2004 met het doel zijnde dat EU intituten en instanties te waarborgen dat de rechten van mensen op privacy gerespecteerd worden wanneer hun persoonsgegevens worden verwerkt. In z’n hoofdfuncties, houdt de EDPS (1) toezicht op de verwerking van persoonsgegevens van de EU administraties om compliance te waarborgen met de privacy-regels, handelt klachten af, en voert onderzoeken uit; en (2) adviseert EU instituten en instanties op alle aspecten van het verwerken van persoonsgegevens en gerelateerd beleid en gerelateerde wetgeving.
De Artikel 29-werkgroep
De Artikel29-werkgroep (“artikel 29 WP”) is een niet regelgevende gegevensbeschermend adviesorgaan. De belangrijkste functie is om deskundig advies te leveren en aanbevelingen te doen aan de lidstaten en het publiek ten aanzien van bescherming van persoonsgegevens. De instantie zelf bestaat uit vertegenwoordigers uit de EU’ nationale autoriteiten gegevensbescherming, De Europese Toezichthouder voor gegevensbescherming (“EDPS”), en de Europese Raad. Het is getransformeerd in de “Europese Raad voor gegevensbescherming” (“EDPB”) onder de AVG.
EDPB
De Europese Raad voor gegevensbescherming vervangt de Artikel 29 werkgroep, en hun functie zal inhouden om de consistentie te waarborgen in de toepassing van de AVG, het adviseren van de Europese Commissie, accrediteren van toezichthoudende instanties, en opinies geven ten aanzien van concept besluiten van toezichthoudende autoriteiten.
GBA / Toezichthoudende Autoriteit / Bevoegde Autoriteit
GBA’s zijn nationale gegevensbeschermingsautoriteiten belast met privacy en bescherming persoonsgegevens. Elke lidstaat heeft een GBA instantie aangewezen om de lokale gegevensbeschermingswet te implementeren en uit te voeren, en om begeleiding te bieden. GBA’s zijn significante uitvoerende krachten, inclusief het vermogen om substantiële boetes op te leggen.
AVG Begrippen
Datasubject
Een datasubject is een natuurlijk persoon. Voorbeelden van een datasubject kunnen een individu, een klant, een potentiële klant, een werknemer, een contactpersoon, etc. zijn.
Persoonsgegevens
Alle informatie gerelateerd aan een geïdentificeerde/ te identificeren individu, of het nu gerelateerd aan zijn of haar, privé, professionele en/of publieke leven is. Het kan alles zijn van een naam, foto, e-mailadres, bankdetails, posts op social medianetwerken, medische informatie, IP-adres, of een combinatie van de data die rechtstreeks of indirect de persoon identificeren.
Gevoelige persoonsgegevens
De AVG refereert aan gevoelige persoonsgegevens als “speciale categorieën van persoonsgegevens.” De speciale categorieën van persoonsgegevens omvatten ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijk opvattingen, lidmaatschap van een vakbond, seksuele gerichtheid, en gezondheid, genetische en biometrische gegevens waar verwerkt tot een uniek te identificeren individu. Persoonsgegevens gerelateerd tot criminele veroordelingen en overtredingen zijn niet inbegrepen, maar verglijkbare waarborgen zijn hier van toepassing.
Verwerkingsverantwoordelijke
Elke organisatie, persoon, instantie die het doel en de middelen van het verwerken van persoonsgegevens bepaalt, stuurt de gegevens, en is er verantwoordelijk voor, alleen of gezamenlijk. Voorbeelden wanneer de verwerkinsverantwoordelijke een individu is omvatten huisartsen, apothekers, en politici, waar deze individuen persoonsinformatie bewaren over hun patiënten, cliënten, kiezers, enz. Voorbeelden van organisaties kunnen verwerkingsverantwoordelijken zijn voor profit of not-profit zijn, privé- of overheidsbedrijven zijn, groot of klein, waar deze organisaties hun persoonsinformatie bewaren over hun werknemers, cliënten, enz.
Verwerker
Een gegevensverwerker verwerkt de gegevens uit naam van de verwerkingsverantwoordelijke. Voorbeelden omvatten, bedrijven voor salarisverwerking, accountants, en martonderzoekende bedrijven.
FG
De benoeming van een Functionaris voor de Gegevensbescherming is verplicht indien: (1) verwerking wordt uitgevoerd door een publieke autoriteit; of (2) de “kernactiviteiten” van een verwerkings-verantwoordelijke of vereist “de reguliere en systematische monitoring van datasubjects op een grote schaal,” of bestaat uit het verwerken van speciale categorieën van gegevens of gegevens over criminele veroordelingen “op een grote schaal.”
Verantwoording
Verantwoording (accountability) is het vermogen compliance aan te tonen met de AVG. De Verordening verklaart expliciet dat dit de verantwoordelijkheid is van de organisatie. Teneinde compliance aan te tonen, moeten afdoende technische en organisatorische maatregelen zijn geïmplementeerd. Best practice-instrumenten zoals de gevensbeschermingseffectbeoordeling (PIA) en ontwerp van gegevensbescherming zijn nu wettelijk vereist in bepaalde omstandigheden.
Toestemming
Toestemming is alle “vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige” indicatie van de wensen van het individu bij welke het datasubject, of door een verklaring of door een heldere actieve handeling, te kennen geeft in te stemmen met de persoonsgegevens verbonden aan hen om te worden verwerkt voor een of meerder doelen.
De actieve handeling, of een positieve opt-in, betekent dat de toestemming niet kan worden afgeleid van stilte, voor aangekruiste hokjes, of inactiviteit. Het dient eveneens afgescheiden te zijn van de voorwaarden, en een eenvoudige wijze van herroepen hebben. Publieke autoriteiten en werknemers zullen bijzondere aandacht moeten schenken aan het feit dat de toestemming vrijelijk is gegeven.
De bestaande toestemming hoeft niet automatisch te worden vernieuwd in de voorbereiding op de AVG, maar ze dienen aan de AVG-norm te voldoen als het gaat om specifiek zijnde, granulair, helder, opt-in, gedegen gedocumenteerd, en makkelijk te herroepen. Indien niet, verander uw toestemmings- mechanismen en zoek een frisse AVG GDPR-compliant toestemming, of een anternatief om toe te stemmen.
One-stop-shop concept
Indien een bedrijf is gevestigd in meer dan een lidstaat, dan zal het een “bevoegde autoriteit,” bepaald door de plaats of z’n “hoofdvestiging” in de EU hebben. Een toezichthoudende autoriteit die niet een bevoegde autoriteit is kan ook een wetgevende rol hebben, bijvoorbeeld waar verwerking gevolgen heeft voor datasubjects in het land waar de toezichthoudende autoriteit de nationale autoriteit is.
Gevensbeschermingseffectbeoordeling (PIA)
De AVG beschikt over een nieuwe verplichting rond de verwerkingsverantwoordelijken en gegevensverwerker een gevensbeschermingseffectbeoordeling uit te voeren (ook als bekend als een privacy impact assessment, of PIA) alvorens het uitvoeren van enige verwerkig dat een specifiek gegevensrisico toont kracht z’n aard, toepassingsgebied, of doelen.
Verwerking
Verwerking is elke handeling uitgevoerd op persoonsgegevens (sets), zoals creatie, verzameling, opslag, inzien, transport, gebruik, wijziging, overdracht, verwijdering, enz., ongeacht door geautomatiseerde middelen of niet.
Profilering
Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens bedoeld om bepaalde persoonsaspecten te relateren aan een individu, of om te analyseren of voorspellen in het bijzonder het presteren van de persoon op het werk, economische situatie, locatie, gezondheid, persoonlijke voorkeuren, betrouwbaarheid, of gedrag.
Toegang subject
Dit is het recht van de het datasubject om van de verwerkingsverantwoordelijke, op verzoek, bepaalde informatie ten aanzien aan het verwerken van zijn/haar persoonsgegevens, te krijgen.
Territoriaal toepassingsgebied
Het territoriale toepassingsgebied van de AVG omvat het Europese Economische Gemeenschap (EEG – alle 28 EU lidstaat), IJsland, Liechtenstein, en Noorwegen, en Zwitserland is niet inbegrepen.
Derde partij
Een derde partij is een natuurlijk persoon of rechtspersoon, overheidsinstantie, of elke ander dan het datasubject, de verwerkingsverantwoordelijke, de gegevensverwerker, en de personen wie, onder de rechtstreekse bevoegdheid van de verwerkingsverantwoordelijke of de gegevensverwerker valt, bevoegd zijn om de gegevens te verwerken.
Overdracht
De overdracht van persoonsgegevens zijn landen buiten de EEG of naar internationale organisaties is onderhevig aan beperkingen. Als met de Richtlijn Gegevensbescherming, gegevens hoeven niet fysiek vervoerd te worden om overgedragen te worden. Inzien van gegevens gehost in een andere locatie telt als een overdracht voor AVG doeleinden.