De Algemene Verordening Gegevensbescherming – wat is dit nu net?

Het is je wellicht opgevallen dat er de laatste dagen bijzonder veel mails hun weg tot jouw inbox vinden met in het onderwerp termen als 'update', 'privacypolicy', 'GDPR',... Dit alles heeft te maken met de nieuwe Algemene Verordening Gegevensbescherming, ookwel de GDPR of de 'General Data Protection Regulation', die implicaties heeft op iedereen die gegevens van anderen verzamelt, bijhoudt en gebruikt.

Op 14 april 2016 werd een finaal akkoord bereikt tussen de Europese Commissie, het Europees Parlement en de Europese Raad over de inhoud van de nieuwe Algemene Verordening Gegevensbescherming. Deze verordening is het resultaat van een vier jaar durend proces.

De Verordening werd op 4 mei 2016 in het Publicatieblad van de Europese Unie gepubliceerd en trad op 25 mei 2016 in werking. Aan ondernemingen en overheden werd een termijn van 2 jaar toegestaan om zich aan te passen aan de nieuwe wetgeving die op 25 mei 2018 effectief in werking trad. De Verordening vervangt Richtlijn nr. 95/46/EG en de hierop gebaseerde 28 verschillende nationale regelingen.

Door het invoeren van de GDPR wou men een einde maken aan de grote verdeeldheid en verschillen in de nationale wetgeving van de verschillende lidstaten. Met dit in het achterhoofd is de keuze voor de figuur van een 'verordening' - die rechtstreekse werking impliceert en waardoor geen omzetting in de nationale wetgeving meer vereist is - aldus een logische beslissing.

De Verordening laat echter nog ruimte aan de nationale wetgevers om bepaalde verplichtingen verschillend in te vullen. Er wordt een toezichtsbevoegdheid toegekend aan de nationale wetgever, ook kunnen er bijkomende nationale regels worden uitgewerkt in de context van de verwerking van persoonsgegevens door de werkgever binnen de arbeidsrelatie, of voor de verwerking van gezondheidsgegevens etc. Van volledige harmonisatie is aldus geen sprake.

Toepassingsgebied van de Verordening

De Verordening is van toepassing op "de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen."

Essentieel hierin zijn de begrippen 'persoonsgegevens' en 'verwerking'.

Artikel 4, 1) van de Verordening bepaalt wat kan worden beschouwd als persoonsgegeven. Het gaat om "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerken zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon." Meer in concreto kan het dus gaan om een foto, een geluid, een vingerafdruk,...

Als een verwerking wordt "elke actie die kan worden ondernomen met betrekking tot de persoonsgegevens" beschouwd.

De GDPR is van toepassing op ondernemingen die in de Europese Unie zijn gevestigd en die in het kader van hun activiteiten persoonsgegevens verwerken, ongeacht of deze verwerking zelf binnen of buiten de Europese Unie gebeurt.

Als de verwerking van de persoonsgegevens betrekking heeft op persoonsgegevens van natuurlijke personen die zich in de Europese Unie bevinden, desondanks het feit dat de verwerking zich buiten de Europese Unie bevindt, dan nog kan men onder het toepassingsgebied van de GDPR vallen indien de verwerking gerelateerd is aan:

- het aanbieden van goederen of diensten aan inwoners van de Europese Unie;

- het monitoren van gedrag van inwoners van de Europese Unie

De algemene beginselen die in acht moeten worden genomen bij de verwerking van persoonsgegevens zijn grotendeels overgenomen uit de Richtlijn. We sommen ze kort voor jou op.

Rechtmatige, behoorlijke en transparante verwerking

De gegevens moeten rechtmatig, behoorlijk en transparant verwerkt worden ten aanzien van de betrokkene.

Welbepaald doeleinde

Persoonsgegevens moeten worden verkregen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen niet worden verwerkt op een manier die onverenigbaar is met die doeleinden.

Juistheid

Alle redelijke maatregelen moeten worden genomen om onnauwkeurige of onvolledige gegevens die - uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij worden verwerkt - uit te wissen of te verbeteren.

Integriteit en vertrouwelijkheid

De gegevens moeten volgens een afdoend veiligheidsniveau worden verwerkt door gebruik te maken van passende, technische en organisatorische maatregelen. Er moet aldus worden voorzien in een bescherming tegen iedere niet toegelaten of onwettige verwerking, tegen verlies, vernietiging of kwaliteitsverlies van de gegevens.

Minimale gegevensverwerking

Persoonsgegevens moeten toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt. Enkel die gegevens mogen verwerkt worden, die noodzakelijk zijn voor de vastgestelde doeleinden. Het mag dus enkel gaan om het strikte minimum.

Beperkte bewaartermijn

De gegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren en niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.

Indien de gegevens uitsluitend worden verwerkt voor archiveringsdoeleinden van openbaar belang, voor historisch of wetenschappelijk onderzoek of voor statistische doeleinden, dan kunnen ze voor langere termijn worden bewaard.

Interessant om te weten is dat de GDPR in een aantal nieuwe rechten voorziet voor de betrokkene. Zo regelt de GDPR een recht om te worden vergeten, een recht op overdraagbaarheid van persoonsgegevens en wordt een recht ingebouwd op de beperking van de verwerking.

Het valt op dat er een grote zenuwachtigheid gepaard gaat met de inwerkingtreding van de GDPR. Dit heeft wellicht veel te maken met het feit dat de GDPR, naast het opleggen van een sanctioneringsbevoegdheid aan de toezichthoudende autoriteiten, ook een nieuw en verregaand sanctioneringsarsenaal ter beschikking stelt.

Hopelijk heb je nu een beter beeld van wat de GDPR inhoudt en begrijp je waarom er zo onnoemelijk veel mails in jouw inbox zijn beland met betrekking tot deze nieuwe wetgeving!

Liesl Aegten

Bronnen

https://gdpr-eu.be/wat-is-gdpr/

T. FRANSEN en M. DE BACKER, "Algemene Verordening Gegevensbescherming. Naar een nieuw concept inzake bescherming van persoongsgegevens?", NJW 2018, 190-203.