Prime Advice for Excellent Performance.

E-News

10 juni 2016

De nieuwe privacyverordening. Ook gevolgen voor uw onderneming.

Gegevensverwerking wordt steeds verder geïntensiveerd waardoor het voor een onderneming zeer  eenvoudig en goedkoop geworden is om gegevens te verzamelen van zowel klanten als werknemers.
De revisie van het huidig kader was dan ook meer dan welkom aangezien de huidige privacyrichtlijn betreffende gegevensbescherming, die dateert van 24 oktober 1995, niet langer haar beoogde effect, het beschermen van de privacy, bereikte. Bovendien wordt de huidige richtlijn gekenmerkt door grote verschillen bij implementatie in de verschillende lidstaten. Dit maakt het voor ondernemingen zeer moeilijk om een consistent privacybeleid te voeren. Harmonisering was dus zeker aan de orde.

Op 15 december 2015 werd na de jarenlange ‘trialoog’ onderhandelingen van het Europees Parlement, de Commissie en de Raad van Ministers eindelijk een akkoord bereikt over de definitieve tekst van de nieuwe privacyverordening met verstrekkende gevolgen voor ondernemingen.
 
De verordening is van toepassing op alle organisaties die persoonsgegevens verwerken en privacy wordt aldus een zaak waar iedere onderneming rekening mee dient te houden.

Voor een groot stuk bevestigt de verordening de bestaande principes, doch er zijn ook heel wat belangrijke wijzigingen, die hieronder kort worden toegelicht:
 
One stop shop

De introductie van het one-stop-shop mechanisme laat een individu toe klacht in te dienen aangaande misbruik van persoonsgegevens bij de gegevensbeschermingsautoriteit van zijn eigen land en hij is niet langer verplicht zich te verplaatsen naar het land waar de onderneming gevestigd is. Op basis van dit principe zullen individuen zich ook kunnen verenigen in bijvoorbeeld consumentenbeschermingsorganisaties teneinde hun privacy-rechten collectief af te dwingen.

The right to be forgotten

In de nieuwe privacyverordening wordt het recht om vergeten te worden geïntroduceerd, hetgeen erop neerkomt dat een onderneming dient in te gaan op de vraag van een klant of werknemer om bepaalde persoonsgegevens definitief te verwijderen. Uiteraard zijn er ook uitzonderingen op dit recht voorzien, bijvoorbeeld wanneer een onderneming de wettelijke plicht heeft om bepaalde gegevens bij te houden.

Functionaris voor gegevensbescherming

Bedrijven met meer dan 250 medewerkers, bedrijven met als core business het regulier volgen van individuen en overheidsdiensten zullen een functionaris voor gegevensbescherming moeten aanstellen. Dergelijke functionaris kan een werknemer van de onderneming zijn maar een onderneming kan er ook voor kiezen om een externe functionaris aan te stellen op grond van een dienstverleningsovereenkomst. Het kiezen van een externe functionaris biedt een betere waarborg voor de onafhankelijkheid van de functionaris en deze heeft over het algemeen ook ervaring met meerdere bedrijven en toegang tot een netwerk van andere functionarissen, hetgeen zijn werk aanzienlijk kan vergemakkelijken.

Accountability

In de privacyverordening wordt vooral benadrukt dat een onderneming zelf verantwoordelijk is voor het naleven van de privacywetgeving. Elke onderneming zal ook moeten kunnen aantonen dat zij de privacywetgeving naleeft. Het opmaken van een privacy-policy is zodoende zeker aan te raden.
Hieronder valt ook de nieuwe verplichting om het vaststellen van een datalek binnen de 72 uur te melden aan de bevoegde privacy-autoriteit en onmiddellijk aan de betrokkenen indien hun rechten en vrijheden mogelijks geschonden kunnen worden.  

Sancties

Indien een onderneming de hierboven uiteengezette regels niet naleeft, zal zij het risico lopen op een boete tot € 20.000.000 of 4% van haar wereldwijde jaaromzet.

Staatssecretaris voor de privacy Philippe De Backer heeft van de regering reeds het mandaat gekregen om te starten met de hervorming van de privacycommissie, die de rechtstreekse bevoegdheid zal krijgen om dergelijke sancties op te leggen. Dat de privacywetgeving deze keer geen dode letter zal blijven, is duidelijk.

De privacyverordening treedt in heel Europa op 25 mei 2018 in werking. Dit geeft uw onderneming nog een tweetal jaar de tijd om de implementatie van de privacyverordening voor te bereiden.

Jil Vandenbroucke

Recent nieuws