Op 25 januari 2012 heeft de Europese Commissie de Europese Privacy Verordening voorgesteld.[1] De verordening is opgesteld ter vervanging van de Europese Privacyrichtlijn 95/46/EC.[2] Het voordeel van een verordening boven een richtlijn is dat een verordening directe werking heeft binnen alle lidstaten en zo een eind kan maken aan de thans heersende versnipperde privacyregelgeving binnen de EU. In het licht van een toenemende hoeveelheid grensoverschrijdende data is één set regels van groot belang.
Prijs vergelijk ADSL, kabel, glasvezel aanbieders en bespaar geld door over te stappen!
Toepassing
De verordening is van toepassing op alle verantwoordelijken van de verwerking en verwerkers die een vestiging hebben in de EU. Of de verwerking van de gegevens in de EU plaatsvindt of daarbuiten, is niet van belang. Daarnaast is de verordening van toepassing op verantwoordelijken die niet in de EU gevestigd zijn maar wel persoonsgegevens van EU-onderdanen verwerken. De verordening geldt niet voor politie en justitie. Hiervoor is een aparte richtlijn gemaakt.[3]
Rechten en plichten
De verordening versterkt met name de positie van betrokkenen door hen een betere controle over gegevens te geven. Nieuw is onder andere het recht voor betrokkenen om vergeten te worden.
Om uitvoering te kunnen geven aan de rechten van betrokkenen, wordt aan verantwoordelijken (bedrijven) een reeks verplichtingen opgelegd. Het betreft onder andere het documenteren van alle gegevensverwerkingen, het vereiste om van betrokkenen uitdrukkelijke toestemming te krijgen voor het verwerken van persoonsgegevens, de verplichting om datalekken binnen 24 uur te melden en het aanstellen van een privacyfunctionaris voor bedrijven met meer dan 250 werknemers. Tevens worden middels de verordening de sancties bij overtreding verhoogd tot maximaal 2% van de wereldwijde omzet. Gunstig voor multinationals is dat de verordening de export van persoonsgegevens naar landen buiten de EU beoogt te vereenvoudigen.
Het College Bescherming Persoonsgegevens en Bits of Freedom hebben in een eerste reactie hun tevredenheid over de toegenomen rechten van betrokkenen uitgesproken en wat verbeterpunten voorgesteld.[4] Nederlandse belangenverenigingen voor direct marketing, maar ook Amerikaanse belangenorganisaties spreken hun zorgen uit over stijgende administratieve lasten[5] en mogelijke stagnatie van de ontwikkeling van het internet door de voorgestelde beperkingen op het gebruik van persoonsgegevens.[6]
Het voorstel ligt nu ter goedkeuring voor bij het Europees Parlement. Na goedkeuring door het Europees Parlement, moet het voorstel goedgekeurd worden door de Europese Raad. Twee jaar na aanname kan de verordening in werking treden. Op zijn vroegst zou dit in 2015 het geval kunnen zijn.
Een overzicht van de belangrijkste punten:
· Eenduidige privacyregelgeving voor alle lidstaten.
· Toepassing op alle verantwoordelijken van de verwerking en verwerkers die een vestiging hebben in de EU en op verantwoordelijken die niet in de EU gevestigd zijn maar wel persoonsgegevens van EU-onderdanen verwerken.
· Verantwoordelijken met meerdere vestigingen in Europa hebben alleen te maken met de toezichthouder van het land waar hun hoofdvestiging is (one-stop-shop).
· Meer en hogere sancties mogelijk. Boetes van maximaal twee procent van de wereldwijde omzet.
Verantwoordelijken krijgen meer verplichtingen, waaronder:
· Informatieplicht wordt zwaarder. Verantwoordelijke dienen betrokkenen op een duidelijke, eenvoudig toegankelijke en begrijpelijke wijze te informeren over de verwerking van persoonsgegevens. Nieuw is dat verantwoordelijken betrokkenen moeten informeren over de periode van opslag van de persoonsgegevens.
· Strengere regels met betrekking tot het verantwoorden van gegevensverwerking:
o Compliance. Verantwoordelijken dienen middels beleidsregels en genomen maatregelen aan te kunnen tonen dat persoonsgegevens worden verwerkt conform de verordening.
o De plicht om gegevensverwerkingen te melden is in de verordening geschrapt. Hiervoor in de plaats komt de verplichting om alle gegevensverwerkingen te documenteren en de toezichthouder hier op verzoek inzage in te geven.
· Meldplicht datalekken. Datalekken dienen zo spoedig mogelijk, binnen 24 uur na bekend worden, door verantwoordelijken gemeld te worden aan de nationale toezichthouder. Tevens is er een meldplicht jegens betrokkenen.
· Uitdrukkelijke toestemming. Uitgangspunt is dat verantwoordelijken uitdrukkelijke toestemming van betrokkenen dienen te krijgen voor het verzamelen en gebruiken van gegevens. Voor direct mail en telemarketing is een uitzondering gemaakt; hiervoor blijft opt-out gelden. Uitdrukkelijke toestemming is strenger dan de ondubbelzinnige toestemming die nu in de Wbp is opgenomen. Voor uitdrukkelijke toestemming moet de betrokkene expliciet zijn wil hebben geuit. Dit vereist een actieve houding van betrokkene. Een stilzwijgende of impliciete toestemming is onvoldoende. Voor ondubbelzinnige toestemming geldt dat alle twijfel moet zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven en voor welke specifieke verwerkingen toestemming is gegeven. Het verifiëren hiervan hoeft niet noodzakelijkerwijs te leiden tot het vragen van uitdrukkelijke toestemming.[7]
Voorts geldt dat de bewijslast bij de verantwoordelijke ligt.
· Privacyfunctionaris. Bedrijven met meer dan 250 personen per vestiging worden verplicht om een privacyfunctionaris aan te stellen.
· Databeveiliging. Nieuw is dat, onafhankelijk van contractuele afspraken met verantwoordelijke, ook bewerkers verantwoordelijk zijn voor databeveiliging.
Betrokkenen krijgen meer rechten, waaronder:
· Het recht om vergeten te worden. Dit houdt in dat verantwoordelijken, onder bepaalde voorwaarden, op verzoek van betrokkenen onmiddellijk actie dienen te ondernemen om alle persoonsgegevens van betrokkenen te verwijderen. Tevens dienen verantwoordelijken ervoor te zorgen dat derde partijen aan wie zij de gegevens hebben verstrekt, de gegevens ook verwijderen.
· Recht op dataportabiliteit. Betrokkenen moeten een kopie van hun opgeslagen persoonsgegevens kunnen krijgen om deze gegevens over te kunnen dragen aan een ander bedrijf.
· Geen profiling zonder toestemming. Betrokkenen hebben het recht om hun toestemming te onthouden aan profilingactiviteiten, tenzij verwerking van de persoonsgegevens vanuit technisch oogpunt noodzakelijk is.
Vereenvoudiging van export van gegevens naar landen buiten de EU:
Bij gebruik van een Europees modelcontract of Binding Corporate Rules is een exportvergunning voor persoonsgegevens geen vereiste. Contractuele bepalingen kunnen ook volstaan als waarborg, maar pas na autorisatie door de nationale toezichthouder.
mr. O. Bies, USG Juristen
——————————————————————————–
[1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), Brussels, 25.1.2012 COM(2012) 11 final.
[2] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281, 23.11.1995
[3] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52012PC0010:en:NOT.
[4] Reactie CBP (http://www.cbpweb.nl/Pages/pb_20120125_eerste-reactie-cbp-op-nieuwe-Europese-privacyregelgeving.aspx). Reactie BOF (https://www.bof.nl/2012/01/25/verbeterpunten-van-de-nieuwe-privacyverordening/)
[5] Zie : Branchevereniging voor Dialoogmarketing DDMA (http://ddma.nl/privacy/nieuwe-europese-privacywet-opt-in-voor-direct-marketing-voorlopig-van-de-baan/).
[6] “Critics: EU’s proposed data protection rules could hinder Internet. (http://www.computerworld.com/s/article/9223717/Critics_EU_s_proposed_data_protection_rules_could_hinder_Internet).
[7] Commentaar op de Wet bescherming persoonsgegevens, artikel 1.
