Om een Europese regelgeving te creëren voor de bescherming van persoonsgegevens is een nieuwe Europese privacyverordening aangenomen. Deze zal naar verwachting op 25 mei 2018 van kracht worden. Zo goed als iedere werkgever zal geïmpacteerd worden door de nieuwe regels en de manier waarop hij persoonsgegevens van zijn personeel verwerkt, op punt moeten stellen.
U verzamelt en verwerkt (= bijeenbrengen, vastleggen, bijwerken, wijzigen, raadplegen, wissen enz.) ongetwijfeld persoonsgegevens in het kader van uw professionele en/of handelsactiviteit, ongeacht of dit in een contractuele context gebeurt of om uw diensten en/of producten te verbeteren.
Ter verduidelijking, ‘persoonsgegevens’ is een verzamelnaam voor alle informatie op basis waarvan een persoon direct of indirect kan worden geïdentificeerd, zoals de naam, het adres, het rijksregisternummer, de loongegevens, het online profiel, de login-gegevens, enzovoort.
Bent u "verantwoordelijk voor de verwerking"?
Dit is een vraag van essentieel belang. Als u verantwoordelijk bent voor de verwerking, dan bent u onderworpen aan de nationale en Europese wetgeving voor gegevensbescherming. In dat geval is het nieuwe Europese reglement voor gegevensbescherming direct van toepassing voor u !
De "verantwoordelijke voor de verwerking" is een natuurlijke of rechtspersoon die – alleen of samen met anderen – de doeleinden (of de doelstellingen) en middelen voor verwerking van gegevens bepaalt.
De verzameling en verwerking van persoonsgegevens moet voldoen aan strenge voorwaarden
Als verantwoordelijke voor de verwerking moet u weten dat persoonsgegevens niet zomaar verzameld en verwerkt mogen worden. Om conform te zijn met de nationale en Europese wetgeving moeten persoonsgegevens:
- rechtmatig (overeenkomstig de wet), eerlijk en transparant verwerkt worden;
- verkregen worden voor welbepaalde, uitdrukkelijk omschreven (duidelijke) en gerechtvaardigde (relevante) doeleinden;
- adequaat, relevant en noodzakelijk zijn voor de beoogde doeleinden;
- nauwkeurig zijn en zo nodig bijgewerkt worden;
- bewaard worden voor een beperkte termijn, en niet langer dan nodig is voor de beoogde verwerking;
- op een veilige wijze verzameld en verwerkt worden, met name door beveiligingsmaatregelen voor computersystemen te voorzien.
De verwerking van zogenaamde "gevoelige" gegevens – bijvoorbeeld informatie over ras, etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen enz. – is in principe verboden of wordt toch sterk beperkt door de wet. Bij dergelijke gegevens is dus voorzichtigheid geboden.
Zorg dat u in orde bent met het nieuwe Europese reglement!
Sinds 24 mei 2016 is er een nieuwe Europese richtlijn van kracht in de Europese Unie en vanaf 25 mei 2018 zal het direct van toepassing zijn in de lidstaten. In de overgangsperiode van 2 jaar kunnen de autoriteiten en ondernemingen zich aanpassen aan de nieuwe vereisten van deze richtlijn.
De richtlijn heeft twee belangrijke doelen: enerzijds een betere bescherming van de rechten en vrijheden van personen wiens gegevens verwerkt worden; anderzijds de harmonisering van de materie en vrijer gegevensverkeer binnen de Europese Unie.
De volgende wijzigingen en nieuwigheden verdienen bijzondere aandacht:
- Het territoriale toepassingsgebied is aanzienlijk uitgebreid, want ook niet-Europese ondernemingen die goederen of diensten aanbieden aan personen in de Europese Unie moeten de nieuwe regels volgen. Dit betekent dat bijvoorbeeld een Canadese verantwoordelijke voor verwerking die juwelen verkoopt aan personen in België, het reglement moet naleven.
- Meer transparantie ten opzichte van de personen wiens gegevens verwerkt worden. Vanaf nu moeten deze personen duidelijke, nauwkeurige, begrijpbare en toegankelijke informatie krijgen over de wijze waarop de verwerking gebeurt en de doeleinden ervan, en over hun rechten en rechtsmiddelen.
- Een uitbreiding van de toestemming van de persoon wiens gegevens verwerkt worden. In de toekomst moeten burgers vrij, specifiek, goed ingelicht en eenduidig akkoord kunnen gaan met de verwerking van gegevens die hen aanbelangen. Het zal dus niet meer mogelijk zijn om toestemming te krijgen door de techniek van een reeds aangevinkt vakje op een website of door stilzwijgende toestemming. Met andere woorden, als de persoon niet "ja" gezegd heeft, dan is het "nee".
- De rechten van personen wiens de gegevens verwerkt worden, zijn verbeterd. Het reglement voorziet met name een nieuw recht voor "overdraagbaarheid van gegevens". Dit recht houdt in dat personen een kopie van de persoonsgegevens kunnen vragen aan de onderneming die ze verwerkt, en eventueel ook kunnen vragen om de gegevens over te dragen aan een derde.
- Er wordt afgezien van de voorafgaande aangifte aan de Commissie, omdat die administratief heel belastend is. In plaats daarvan komt een nieuwe verplichting voor bepaalde ondernemingen, namelijk het bijhouden van een register met de activiteiten voor gegevensverwerking die de onderneming uitvoert. Deze verplichting geldt niet voor ondernemingen met minder dan 250 werknemers. De wet voorziet echter wel gevallen waarvoor de verplichting toch van toepassing is, bijvoorbeeld wanneer de onderneming gevoelige gegevens verwerkt.
- In bepaalde gevallen moet een afgevaardigde voor gegevensbescherming (Data Protection Officer) aangeduid worden. Deze persoon moet voornamelijk de naleving van het reglement nagaan, de onderneming en onderaannemers adviseren en informeren, of optreden als contactpersoon voor de toezichthoudende instantie.
- De verantwoordelijkheden zijn gedeeld en worden nader toegelicht tussen de verantwoordelijke voor de verwerking en de onderaannemer(s). Als iemand bijvoorbeeld nadeel ondervindt met betrekking tot gegevensverwerking door niet-naleving van het reglement, kan deze persoon de verantwoordelijke voor de verwerking en/of de onderaannemer aanklagen. Ze zijn namelijk solidair aansprakelijk voor het nadeel dat berokkend wordt aan de persoon.
- Ondernemingen die het nieuwe reglement niet naleven, kunnen aanzienlijke boetes opgelegd krijgen door de toezichthoudende instantie, met bedragen die oplopen tot 20 miljoen euro of 4% van het jaarlijkse globale zakencijfer van de onderneming.
- Zwaardere gegevensbeveiliging. Ondernemingen zullen in bepaalde gevallen een voorafgaande impactanalyse moeten uitvoeren voor de risico's rond gegevensbeveiliging (lekken, diefstal, verspreiding enz.), en concrete maatregelen moeten voorzien om ze te beperken
- - …
Het komt er dus op neer dat ondernemingen die gegevens verzamelen en verwerken binnen het toepassingsgebied van het reglement, zo snel mogelijk hun beleid voor bescherming van persoonsgegevens moeten evalueren. Dit zal hen de mogelijkheid bieden om de nodige maatregelen te treffen voor conformiteit met de nieuwe eisen van het Europese reglement voor gegevensbescherming, en zodoende zware boetes te vermijden.
Door de nieuwe wettelijke vereisten voor data protection na te leven, gunt u uzelf de mogelijkheid om uw projecten en activiteiten zonder onnodige zorgen tot een goed einde te brengen!
Frédéric Dechamps & Chloë De Clercq
Advocaten bij het kabinet "lex4u"
Partners bij Lawbox.be
Op www.lawbox.be vindt u, tegen schappelijke prijzen, alle nuttige en noodzakelijke documenten met betrekking tot de nieuwe regelgeving, met de mogelijkheid om uw "Verklaring voor privacy en cookiebeheer" en een "contract voor onderaanneming van gegevensverwerking" te personaliseren.