Vanaf 25 mei 2018 is de overgangsperiode van twee jaar voor de invoering van General Data Protection Regulation (Algemene Verordering Gegevensbescherming) voorbij en krijgt zij volle uitwerking in de Belgische rechtsorde.
De Europese regelgever is van oordeel dat de bescherming van persoonsgegevens dient geharmoniseerd te worden doorheen de gehele Europese Unie. Immers, zo stelt men, is de bescherming van persoonsgegevens onderdeel van de mensenrechten en zou een versnippering van de regelgeving tussen de lidstaten zorgen voor een verhindering van het vrij verkeer van persoonsgegevens.
Wie dient te voldoen aan de regelgeving uit de verordening en in welke situaties?
Wanneer men persoonsgegevens geheel of gedeeltelijk geautomatiseerd verwerkt of wanneer men deze gegevens in een bestand verzameld, dient men vanaf 28 mei 2018 rekening te houden met de regelgeving uit de verordening.
Persoonsgegevens worden gedefinieerd als alle informatie van een natuurlijk persoon die geïdentificeerd is of kan worden geïdentificeerd.
Dit is uiteraard een zeer ruime definitie en hetzelfde geldt voor de term “verwerken”. Met die term bedoelt de Europese regelgever zowat alles wat er synoniem mee kan zijn: verzamelen, vastleggen, ordenen, structureren opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Een bestand van gegevens is een gestructureerd geheel van persoonsgegeven die nadien toegankelijk zijn voor consultatie.
Natuurlijke personen die voor huishoudelijk of strikt persoonlijk gebruik gegevens bijhouden, dienen niets te vrezen. Het adressenboekje van oma of het vriendenboekje van de kinderen is dus nog veilig.
Concreet zijn het de bedrijven, verenigingen en de overheid die rekening zullen moeten houden met de verordening wanneer zij gegevens van hun klanten, leden of burgers verwerken of laten verwerken en/of wanneer zij de gegevens bewaren in een databestand. Zij worden de “verwerkingsverantwoordelijken” genoemd. Dit is iedereen die alleen of samen met anderen het doel en de middelen van de gegevensverwerking vaststelt.
Basisprincipes van de bescherming
De Verordening van de Europese Unie bouwt haar regelgeving op rond een aantal basisprincipes. Een begrip van deze principes, leidt bij de verwerker van de gegevens onmiddellijk tot de juiste reflex om de gegevens correct te verwerken.
De gegevens moeten in alle transparantie verzameld en verwerkt worden zodat de persoon wiens gegevens gebruikt worden op de hoogte is van dit feit.
Daarbij mogen de gegevens enkel verzameld of verwerkt worden om redenen die gerechtvaardigd zijn en een uitdrukkelijk en geoorloofd doel hebben. Het doel rechtvaardigt de gegevensverwerking wanneer:
- het noodzakelijk is om een overeenkomst uit te voeren: bv. het adres van de persoon dient gekoppeld aan diens naam om een levering te kunnen uitvoeren.
- het wettelijk verplicht is de gegevens bij te houden: bv. de telecomprovider die de gebruiker moet kunnen identificeren
- het in het vitale belang is van de persoon: bv. om diens medische toestand te kunnen monitoren
- het algemeen belang: bv. de gegevensverzameling door de politiediensten
- het belang van de verwerker zwaarder doorweegt dan dat van de verstrekker van de gegevens: dit is een feite kwestie waarover nog geen concrete rechtspraak of rechtsleer voorhanden is.
Er mag maar een zo minimaal mogelijke hoeveelheid gegevens verzameld of verwerkt worden om het uitdrukkelijk gestelde doel te bereiken.
De gegevens moeten bovendien juist zijn en juist blijven. Eénieder die vaststelt dat onjuiste gegevens over zijn persoon gebruikt of opgeslagen werden, kan deze laten rechtzetten.
Wanneer het doel van de gegevensbewaring of verwerking bereikt is, dienen de gegevens zo spoedig mogelijk verwijderd te worden. Langer dan noodzakelijk opslaan kan enkel ter archivering in het algemeen belang.
Tot slot moet de bewaring de veiligheid en vertrouwelijkheid van de gegevens garanderen.
Hoe beïnvloeden deze principes uw onderneming?
- Toestemming
Om gegevens van een persoon te mogen verzamelen of verwerken dient in de eerste plaats de toestemming van deze persoon gevraagd te worden.
Deze toestemming moet specifiek zijn en moet dus een exacte instemming inhouden voor het verwerken van de gegevens met het doel dat de verwerker voor ogen heeft.
Het is aan de onderneming of persoon die de gegevens verwerkt of bewaart om aan te tonen dat hij de toestemming bekomen heeft en hij de gegevens enkel heeft gebruikt in overeenstemming met het doel waarvoor de toestemming werd gegeven.
Tip! Zorg voor een formulier dat door de klant ondertekend wordt wanneer zijn gegevens worden opgeslagen of verwerkt.
Opgelet! Bij het verwerken van gegevens van minderjarige onder de 16 jaar dient de toestemming gegeven te worden door de ouders (of ouderlijk verantwoordelijken).
Opgelet! Bepaalde gegevens mogen slechts uitzonderlijk verwerkt of opgeslagen worden. Het betreft gegevens omtrent ras, politieke of religieuze voorkeuren, lidmaatschap bij een vakbond, genetische of biometrische gegevens en seksueel gedrag of seksuele geaardheid. Indien u van oordeel bent dat u deze gegevens voor de uitoefening van uw overeenkomst nodig acht, neem dan eerst contact met ons op zodat wij uw doelstelling kunnen toetsen aan de uitzondering en rechtspraak.
- Transparantie
Om een rechtmatige toestemming van de verstrekker mogelijk te maken, dienen zijn gegevens volledig transparant verwerkt en verzameld te worden.
De informatie moet beknopt en in duidelijke, eenvoudige taal aan de verstrekker van de gegevens meegedeeld worden.
Welke informatie dient te worden meegedeeld, is eveneens vastgelegd. Zo moeten de gegevens van de verwerker en de verantwoordelijke meegedeeld worden, het doel van de verwerking, de termijn waarin ze worden bewaard, etc.
Opnieuw wordt vereist dat deze mededeling schriftelijk wordt verstrekt, eventueel elektronisch.
Tip! Zorg ervoor dat u bij het opstellen van uw toestemmingsformulier, ook de correcte informatie duidelijk en beknopt ter kennis geeft. Zorg ervoor dat de kennisname duidelijk blijkt. Soortgelijke werkwijze als bij het ondertekenen van algemene voorwaarden lijkt aangewezen.
De persoon wiens gegevens worden verwerkt of bewaard mag op elk ogenblik vragen dat hem wordt meegedeeld wat er met zijn gegevens is gebeurd. Hij heeft ook een inzagerecht.
Enkel wanneer dit verzoek kennelijk ongegrond of onredelijk is kan men weigeren deze te verstrekken. Wat die kennelijke ongegrondheid of onredelijkheid precies inhoudt, is een feitenkwestie. De verordening zelf haalt een herhaaldelijk opvragen van de informatie aan als kennelijk onredelijk.
Opgelet! Deze informatie moet hem kosteloos worden meegedeeld tenzij wanneer de aanvraag kennelijk ongegrond of onredelijk; in dat geval kan de administratieve kost worden doorgerekend.
Opgelet! Binnen een maand na het verzoek moet aan de aanvrager meegedeeld worden wat er met zijn verzoek is gebeurd. Bij zeer complexe dataverzamelingen kan deze mits kennisgeving aan de aanvrager met twee maanden verlengd worden.
Opgelet! Het mondeling meedelen van informatie over de gegevens is enkel toegestaan wanneer de identiteit van de aanvrager van deze informatie duidelijk kan worden vastgesteld. Telefonisch meedelen van informatie over persoonsgegevens is dus uitgesloten.
Opgelet! Ook bij wijzigingen of aanvullingen van de gegevens dient u dit mee te delen aan uw klant.
Wenst u hulp bij het opstellen van de formulieren, neem dan contact met ons op en wij helpen u graag verder.
- Verzekeren van de juistheid van de gegevens
Personen wiens gegevens verzameld of verwerkt werden, hebben het recht deze te laten corrigeren indien ze foutief blijken. Hij mag de gegevens ook laten aanvullen.
- Verwijdering van gegevens
De verzamelde gegevens dienen verwijderd te worden:
Wanneer hun doel bereikt is
Wanneer de verstrekker zijn toestemming intrekt
Wanneer bezwaar wordt gemaakt tegen verdere verwerking
Wanneer de gegevens onrechtmatig verkregen zijn
Wanneer de wet dit vereist
Het verwijderen van de persoonsgegevens dient in deze gevallen zonder enige onnodige vertraging te gebeuren.
- Register van behandeling van de gegevens
Om controle mogelijk te maken omtrent de naleving van de Verordening, dienen de verantwoordelijke verwerkers een register bij te houden waarin zij bijhouden wat er met de gegevens gebeurd is en wie verantwoordelijk was voor de verwerking.
Ook het doel van de verwerking moet worden bijgehouden.
Indien op voorhand te voorspellen, dient ook de termijn waarbinnen de gegevens gewist moeten worden, genoteerd te worden.
- Beveiliging van de gegevens
De verwerkingsverantwoordelijken en bewaarders van gegevensbestanden dienen alle mogelijke maatregelen te nemen om de gegevens in hun bewaring te beschermen. Zij moeten hiervoor de passende, correcte middelen aanwenden.
Correct en passend zijn onder andere en wanneer mogelijk:
– gebruik van pseudoniemen zodat de gegevens niet onmiddellijk te linken zijn aan een bepaalde persoon.
– gebruik van versleuteling van gegevens
– garantie om permanent de vertrouwelijkheid van de gegevens te bewaren
– in staat zijn bij een incident de beschikbaarheid van de gegevens en de transparantie te herstellen
– een regelmatige evaluatie van de beveiliging uitvoeren
Wanneer zich een incident voordoet en er een inbreuk plaatsvindt met betrekking tot de gegevens waarbij deze een risico inhouden voor de rechten en vrijheden van de betrokken persoon, dan dienen zowel de toezichthouder (Privacycommissie) als de betrokken personen in kennis te worden gesteld van de inbreuk.
Er dient meegedeeld waaruit de inbreuk bestaat, welke gegevens exact zijn aangetast en welke gevolgen de inbreuk heeft of kan hebben. Ook de maatregelen die genomen worden om de inbreuk te herstellen dienen meegedeeld te worden.
Opgelet! U dient de mededelingen onverwijld en indien mogelijk binnen de 72u mee te delen aan de toezichthoudende overheid.
- Aanstellen van een functionaris
Wanneer er op grote schaal gegevens bewaard of verwerkt worden, dan dient de verwerker of de verantwoordelijke een zogenaamde “functionaris” aan te stellen.
De functionaris adviseert, controleert en stuurt bij wanneer hij problemen vaststelt met de gegevensbescherming.
- Sanctionering van inbreuken
Corrigerende maatregelen
Bij vaststelling van een inbreuk, kan de toezichthouder maatregelen opleggen die de situatie corrigeren.
Deze maatregelen variëren van een waarschuwing, een verzoek tot het in overeenstemming brengen van de verwerking, het meedelen aan de betrokken persoon of een verwerkingsverbod.
De toezichthouder beschikt over een hele reeks mogelijke maatregelen die opgelegd worden naargelang de situatie.
Schadevergoeding
Eenieder die materiële of immateriële schade heeft geleden door inbreuken op de verordening, heeft het recht van de verwerkingsverantwoordelijke of de verwerken een schadevergoeding te eisen.
Zij kunnen zich bevrijden van aansprakelijkheid door aan te tonen dat zij op geen enkele wijze verantwoordelijk zijn voor het schadeveroorzakend feit.
Administratieve geldboeten
De geldboeten worden eveneens opgelegd door de toezichthouder en zij kunnen naast de corrigerende maatregelen worden opgelegd.
Er wordt bij het bepalen van de boete rekening gehouden met de aard en ernst van de inbreuk, het al dan niet opzettelijk karakter of de nalatigheid, de reactie van de verantwoordelijken op de inbreuk, eerdere inbreuken, de samenwerking met de toezichthouder en andere verzwarende of verzachtende omstandigheden.
Afhankelijk van het type inbreuk zijn geldboetes van 10.000.000 euro of voor ondernemingen tot 2% van hun wereldwijde jaaromzet mogelijk, dan wel geldboetes tot 20.000.000 euro of voor ondernemingen tot 4% van hun wereldwijde jaaromzet.
Voor bepaalde inbreuken werd de bepaling van de sanctie overgelaten aan de lidstaten.
Wenst u informatie over de mogelijke sancties voor een inbreuk, neem dan contact op met ons kantoor.
Wenst u uw rechten te beschermen, dan staan wij u uiteraard ook graag bij om deze te verdedigen.