“Ruim vier op de vijf kmo's zijn niet op de hoogte van de nieuwe Europese privacy-regels die in mei volgend jaar van kracht worden” luidt de titel van een artikel dat op 30 augustus op de website van de VRT verscheen.
Wat zijn de nieuwe Europese privacyregels?
De Algemene Verordening Gegevensbescherming (General Data Protection Regulation / GDPR) is op 24 mei 2016 in werking getreden. De GDPR vervangt de databeschermingsrichtlijn (Data Protection Directive) van 1995.
In de GDPR werd een overgangsperiode van twee jaar voorzien, zodat ondernemingen, organisaties (en de privacycommissie) tot 25 mei 2018 de tijd hebben om zich aan te passen aan de nieuwe eisen van de GDPR.
Waarom nieuwe wetgeving?
De databeschermingsrichtlijn is meer dan twintig jaar oud en houdt geen rekening met de nieuwe uitdagingen voor gegevensbescherming in onze gedigitaliseerde en geglobaliseerde samenleving.
Met de GDPR wilt de Europese Commissie een modernisering en vereenvoudiging van de wetgeving rond bescherming van persoonlijke gegevens doorvoeren voor alle lidstaten. Het doel is de privacy van EU-burgers te versterken door hun persoonlijke gegevens beter te beveiligen en ervoor te zorgen dat bedrijven het nodige doen om die bescherming te garanderen.
In tegenstelling tot de oude richtlijn is de GDPR als verordening een bindend wetgevend instrument op Europees niveau dat meteen en rechtstreeks van toepassing is in alle lidstaten. Een richtlijn daarentegen legt doelen en resultaten op aan de lidstaten, die dan zelf binnen een bepaalde tijd de richtlijn via een wet moeten omzetten in nationaal recht.
Wat is er nieuw?
Veel van de basisprincipes en concepten zijn al terug te vinden in de Belgische privacywet van 8 december 1992. Het gaat uiteraard nog steeds over juridische bescherming aangaande de verwerking van persoonsgegevens. De ondernemingen die vandaag al voldoen aan de huidige wetgeving zullen de benadering die werd opgenomen in de Belgische privacywet grotendeels als geldig uitgangspunt kunnen nemen voor de implementatie van de GDPR.
Aan de andere kant zijn er een hele reeks nieuwigheden, zoals: meer rechten voor de EU-burgers ter bescherming van hun gegevens, de extraterritoriale werking naar ondernemingen buiten de EU die goederen of diensten aanbieden in de EU, de verplichte melding bij datalekken, de aanstelling van een functionaris voor gegevensverwerking (Data Privacy Officer) voor bepaalde ondernemingen en de “monsterboetes” die door de toezichthoudende autoriteit kunnen worden opgelegd.
De administratieve geldboetes
De toezichthoudende autoriteit, in België is dat de Privacycommissie, heeft inderdaad de mogelijkheid gekregen om administratieve geldboetes op te leggen.
Die administratieve geldboetes kunnen zelfs opgetrokken worden tot 20.000.000 EUR of 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dat cijfer hoger ligt. De maximumgeldboete kan verschuldigd zijn bij onder meer een inbreuk op de rechten van de betrokkenen die werden opgenomen in de GDPR en niet-naleving van een bevel of verwerkingsbeperking van de toezichthoudende autoriteit.
Een eerste belangrijke kanttekening die wij maken bij de maximumboetes is dat, in het algemeen, de administratieve boetes niet de enige vorm van administratieve sanctie zijn die door de toezichthoudende autoriteiten kunnen worden opgelegd. Ook andere maatregelen staan ter beschikking van de autoriteit in het raam van de uitvoering van haar corrigerende bevoegdheden: waarschuwing, berisping, aanmaning, e.d.
Daarnaast is er een verplichting vastgelegd voor de toezichthoudende autoriteit om ervoor te zorgen dat de administratieve geldboetes in elke zaak doeltreffend, afschrikkend, maar ook evenredig zijn.
Tot slot wordt bij de bepaling van de omvang van de administratieve geldboete voor elk concreet geval ook rekening gehouden met een hele reeks factoren (11), zoals bijvoorbeeld de aard, de ernst en de duur van de inbreuk en de opzettelijke of nalatige aard van de inbreuk.
Hoe kan ik als burger mijn gegevens beschermen?
Elke burger beschikt over een hele reeks rechten, die grotendeels al opgenomen waren in de databeschermingsrichtlijn en de Belgische privacywet:
- Recht van inzage
- Recht op rectificatie
- Recht op gegevenswissing (nieuw!)
- Recht op beperking van verwerking
- Recht op overdraagbaarheid van gegevens (nieuw!)
- Recht van bezwaar
Een eerste belangrijk nieuw element is het recht om ‘gewist’ te worden (het recht op vergetelheid). Dat houdt in dat burgers kunnen eisen dat hun persoonsgegevens niet langer verwerkt worden, dus bijvoorbeeld niet langer in een database zitten. Een tweede nieuw aspect is het recht op overdraagbaarheid. Iedereen zal het recht hebben om persoonlijke data van het een naar het ander systeem over te dragen.
Bovendien heeft elke burger een recht op schadevergoeding voor de geleden schade indien hij/zij materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de GDPR.
Michiel Beutels
Advocaat