Algemene Verordening Gegevensbescherming (AVG) Rol van de gegevensbeschermingsautoriteiten (DPA) De leidende autoriteit (Lead DPA)

Transcriptie

1 Algemene Verordening Gegevensbescherming (AVG) Rol van de gegevensbeschermingsautoriteiten (DPA) De leidende autoriteit (Lead DPA) Commissie voor de bescherming van de persoonlijke levenssfeer Caroline De Geest Croobis, 7 maart 2017

2 De AVG, een verordening maar Hervorming van de Commissie voor de Bescherming van de persoonlijke levenssfeer Verplichte nationale uitvoerings maatregele n Toegestane nationale uitvoerings maatregele n Lijst van verwerkingen voorgelegd aan DPIA (art.35) Verplicht in te voeren maatregelen door de DPA Uitvoering van zijn opdrachten door de DPA Van sensibilisering tot sanctie 7/03/2017 CBPL- C. De Geest 2

3 Specificatie Openbare sector (art et 6.3) Gezondheid (art. 9.4.) Opties en keuzes DPO verplicht in andere gevallen (art.37.4.)? Machtigingen van Sectorale comités (art.36.5.)? Adm. Boetes voor openbare sector (art. 83.7)? Beperkingen en uitzonderingen Rechten van de betrokken personen (art. 23) Context van het wetenschappelijk onderzoek (art. 89 (2) et (3)) 7/03/2017 CBPL- C. De Geest 3

4 AVG uitgelegd en good practices FAQ en andere informatie-instrumenten van de Belgische DPA (CBPL) - Gegevensbeschermingseffectbeoordeling Richtlijnen van de Werkgroep Artikel 29: - Dataportabiliteit - Functionaris voor de gegevensbescherming - Leidende autoriteit 7/03/2017 CBPL- C. De Geest 4

5 Rol van de toezichthoudende autoriteit 7/03/2017 CBPL- C. De Geest 5

6 7/03/2017 CBPL- C. De Geest 6

7 Administratieve boetes (Art. 83) Hoogte van de boetes tot 10 miljoen of voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar Inbreuken op artikels 8, 11, 25-39, 41.4., 42 en 43 tot 20 million of voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar Inbreuken op artikels 5-7, 9, 12-22, 44-49, Hoofdstuk IX, 58.1 en /03/2017 CBPL- C. De Geest 7

8 Onderzoek (58.1) Informatiebevel data protection onderzoek en audits On-site bezoek Toegang tot databanken Machtiging & Advies (58.3) Advies Aanbevelingen Goedkeuren van codes of conduct Toekennen van certificaten Bepalen criteria voor certificering Aannemen van modelovereenkomsten Machtigingen Goedkeuren van BCRs Sancties (58.2) Waarschuwingen Berispingen Bevel om gevolg te geven aan verzoek van DS Bevel om te voldoen aan een verwerking Bevel tot melden datalek aan DS Stopzetten van de verwerking Bevel tot wissen, verbetering of rechtzetting van de datacertificaten intrekken Administratieve boete opleggen Schorsing van data transfers 7/03/2017 CBPL- C. De Geest 8

9 Europa - Geharmoniseerde interpretatie Werkgroep Artikel gegevensbeschermingsautoriteiten(en EDPS) 5 plenaire zittingen per jaar Werkgroepen (voorbereiding) Verslaggevers Geharmoniseerde interpretatie Uitwisseling van informatie en good practices 7/03/2017 CBPL- C. De Geest 9

10 Recht op overdraagbaarheid Aanbeveling Werkgroep 29 Geldt voor zowel actief door de betrokkenen verstrekte gegevens als persoonsgegevens die door hun activiteiten gegenereerd worden Beginnen met ontwikkeling van middelen die bijdragen aan het voldoen aan verzoeken tot gegevensoverdracht, zoals downloadprogramma s Afgeleide gegevens worden niet gezien als door de betrokkene verstrekt en vallen niet onder dit recht Verantwoordelijken moeten duidelijk het verschil aangeven tussen de soorten gegevens die een betrokkene kan ontvangen op grond van het inzagerecht en het recht op dataportabiliteit Altijd informatie over het recht op dataportabiliteit verstrekken voordat een account gesloten wordt Betrokkenen informeren over de aard van de persoonsgegevens die voor het uitvoeren van hun diensten relevant zijn 7/03/2017 CBPL- C. De Geest 10

11 Functionaris voor gegevensbescherming Aanbeveling Werkgroep 29 Interne analyse vastleggen om te bepalen of er al of niet een FG aangewezen moet worden Privaatrechtelijke organisaties die overheidstaken verrichten of publiek gezag uitoefenen Naam en contactgegevens van FG bekend maken aan toezichthouder en medewerkers De specifieke taken van de FG en de reikwijdte daarvan duidelijk aan te geven Bij geschillen: vastleggen waarom het advies van de FG niet gevolgd is Bewerkstelligen van stabiel contract en voldoende garanties tegen oneerlijk ontslag bevorderen de onafhankelijk van FG Beleidsnota opstellen rond belangenconflicten 7/03/2017 CBPL- C. De Geest 11

12 AVG implementatie - Actieplan 2017 Begeleiding van VV en V «Intern DPA» Data Protection Impact Assessment (DPIA) Certificering Profilering Toestemming Transparantie Instrumenten voor internationale doorgiftes Kennisgeving van data breach EDPB (European Data protection Board) One Stop shop /uniek loket Consistency mechanism 7/03/2017 CBPL- C. De Geest 12

13 Leidende toezichthouder (Art. 56) de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60 (56.1) 7/03/2017 CBPL- C. De Geest 13

14 Uitzonderingen Betreft het een gegevensverwerking door een publieke overheid, dan is de DPA van de betreffende lidstaat bevoegd (art. 55.2) Lead DPA kan ermee instemmen dat een lokale DPA lokale kwesties afhandelt (vetorecht 3 weken) (vb. een multinationale onderneming, met een vestiging in België. De Belgische vestiging schendt de privacywet. Belgische DPA kan dit lokaal behandelen, indien lead DPA van land waar main establishment is, hier mee instemt (art en 56.3). Indien lead DPA de zaak naar zich toetrekt, dan dient er wel nauw overleg met de lokale DPA te zijn (art. 56.4)) 7/03/2017 CBPL- C. De Geest 14

15 Waarom een LEAD DPA aanduiden? Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de VV deze aan de bevoegde DPA (art. 33) VV raadpleegt de bevoegde DPA voorafgaand aan de verwerking wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren (artikel 36) Het certificaat wordt afgegeven door de DPA (of door de certificerende organen (art. 42) VV of V maakt de contactgegevens van de DPO bekend DPA (art. 37) 7/03/2017 CBPL- C. De Geest 15

16 De betrokken toezichthoudende autoriteit (art ) "betrokken toezichthoudende autoriteit": een toezichthoudende autoriteit die betrokken is bij de verwerking van persoonsgegevens omdat: de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit is gevestigd; de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of bij die toezichthoudende autoriteit een klacht is ingediend (Artikel 77 recht van de betrokkene om een klacht in te dienen bij de DPA van zijn gewone verblijfplaats, zijn plaats van het werk of de plaats van de inbreuk.): GEEN one-stop-shop voor de betrokkenen 7/03/2017 CBPL- C. De Geest 16

17 Grensoverschrijdende verwerkingen: One-stop-shop Toezicht op de grensoverschrijdende verwerkingen Van de VV en V Door de Lead DPA als enige gesprekspartner van de VV en V in functie: Voor de VV: de hoofdvestiging (art.4.16a) Voor de V: de hoofdvestiging (art.4.16.b)) In overleg met de andere betrokken toezichthouders Geen verplichting meer voor VV om zicht te richten tot meerdere DPA (Tijd, kosten, taal, consistentie) 7/03/2017 CBPL- C. De Geest 17

18 Een grensoverschrijdende verwerking (art a)? Hypothese 1: "Een verwerking van persoonsgegevens in verschillende vestigingen binnen de EUlidstaten Als bedrijf kunt u persoonsgegevens verwerken in meer dan een EUlidstaat Dataverwerking vindt plaats in het kader van de activiteiten van de vestigingen in meerdere EU-lidstaten (niet noodzakelijk in alle vestigingen) VV of V gevestigd in de Europese Unie Geen one-stop-shop voor de VV en V buiten de EU (effect extra-territoriale werking van de AVG) 7/03/2017 CBPL- C. De Geest 18

19 Een grensoverschrijdende verwerking (art a)? Hypothese 2: "Een verwerking van persoonsgegevens die plaatsvindt in de Unie in het kader van de activiteiten van de hoofdvestiging van een VV of V, met een wezenlijke invloed op de betrokkenen in verschillende lidstaten de AVG geeft geen definitie van wezenlijke gevolgen. De privacytoezichthouders zullen dit per keer beoordelen rekening houdend met de context waarbinnen persoonsgegevens worden verwerkt, het soort gegevens en het doel van de verwerking ook beoordeling of gegevensverwerking bijvoorbeeld kan zorgen voor schade of nadeel voor de mensen van wie u gegevens verwerkt, gevolgen heeft voor hun gezondheid of welzijn of kan leiden tot discriminatie of ongelijke behandeling 7/03/2017 CBPL- C. De Geest 19

20 Criteria om lead DPA aan te duiden: de hoofdvestiging (art. 4.16) Verwerkingsverantwoordelijke Centrale administratie in de Europese Unie Indien geen centrale administratie in de EU: de keuze van de instelling door de VV (WP29) TENZIJ beslissingen over doelen en middelen van de verwerking worden genomen in vestigingen in de Unie (overweging 36) Indien niet: keuze van de instelling door de VV (WP29) Verwerker Centrale administratie in de Europese Unie Indien geen centrale administratie binnen de EU: de vestiging in de Unie waar de voornaamste verwerkingsactiviteiten van de verwerker plaatsvinden 7/03/2017 CBPL- C. De Geest 20

21 In de praktijk: Onderscheid maken in termen van de betrokken verwerking Ben ik: Verwerkingsverantwoordelijke? Verwerker? Verwerk ik gegevens : Lokaal? Grensoverschrijdend? De beslissingen over de verwerking zijn genomen (VV): In de hoofdvestiging? In de EU of niet? In een andere vestiging? In de EU of niet? De beslissingen over de verwerking zijn genomen (V): In de hoofdvestiging in de EU? De vestiging in de Unie waar de voornaamste verwerkingsactiviteiten plaatsvinden 7/03/2017 CBPL- C. De Geest 21

22 In het kort Als VV is gevestigd in verschillende lidstaten, de identificatie van de centrale administratie in de EU en de bevoegdheid van DPA in dit land als een leidende autoriteit (tenzij beslissingen over de middelen en doelen in een andere instelling in de EU zijn genomen: in dit geval, DPA van deze andere plaats) Als V in de EU gevestigd is, de identificatie van haar hoofdvestiging in de EU en als er geen centrale administratie in de EU, identificatie van de vestiging waar de hoofdactiviteiten plaatsvinden: dan DPA van deze plaats Als VV + V gevestigd zijn in de EU, lead DPA van VV en DPA van V = betrokken DPA 7/03/2017 CBPL- C. De Geest 22

23 Bedankt voor uw aandacht 7/03/2017 CBPL- C. De Geest 23