Nieuwsbrief AVG Social Profit

Transcriptie

1 Nieuwsbrief AVG Social Profit 1. Algemeen Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming ( AVG of in het Engels afgekort GDPR ) van toepassing zijn in de gehele Europese Unie. Deze verordening brengt enkele belangrijke wijzigingen met zich mee met betrekking tot de reeds bestaande Belgische wetgeving inzake de bescherming van persoonsgegevens. In deze nieuwsbrief lichten we de belangrijkste wijzigingen toe. Verruiming bevoegdheid Privacycommissie De nationale gegevensbeschermingsautoriteiten hebben uitgebreide controle- en sanctiebevoegdheden gekregen. De Belgische Privacycommissie (die zal worden omgedoopt tot Gegevensbeschermingsautoriteit ) zal zelf, of na een klacht, een onderzoek kunnen starten om na te gaan of de AVG is geschonden. Indien dit het geval is, kan de Belgische Privacycommissie corrigerende maatregelen nemen of een administratieve boete opleggen. Deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar (het hoogste van beide). Omkering bewijslast De AVG heeft de bewijslast omgekeerd en heeft deze gelegd op de verwerkingsverantwoordelijke (d.i. de (rechts)persoon die de doelstellingen van en de middelen voor de verwerking bepaalt) of de verwerker (d.i. de (rechts)persoon die de gegevens verwerkt namens de verwerkingsverantwoordelijke). Dit houdt in dat de verwerkingsverantwoordelijke en/of de verwerker moet kunnen bewijzen dat deze volgens de AVG handelt en, als gevolg, dat er niet eerst een inbreuk moet worden bewezen. Expliciete Toestemming Persoonsgegevens kunnen enkel verwerkt worden als er een juridische grondslag is. Als deze gebaseerd is op de toestemming van de betrokkene, van wie de persoonsgegevens zullen worden verwerkt, dan stelt de AVG dat deze toestemming, vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. Om bewijsredenen raden wij aan om die toestemming schriftelijk te verkrijgen, bijvoorbeeld via het actief aanvinken van een aanvinkvakje. Reeds vooringevulde vakjes zijn uit den boze, net zoals stilzwijgen of inactiviteit. De regel is dus opt-in en niet opt-out. Rechten De AVG voorziet verschillende rechten voor de betrokkene, waarvan de meeste reeds waren vastgelegd in de huidige Belgische privacywetgeving. Deze rechten omvatten onder meer: het recht op informatie, toegang, rectificatie, wissing (d.i. het zogenaamde recht op vergetelheid ), gegevensoverdraagbaarheid (nieuw), beperking van de verwerking, bezwaar, intrekken toestemming, klacht

2 Functionaris voor Gegevensbescherming (in het Engels afgekort DPO ) Een DPO is een werknemer of een externe consultant die toeziet op de naleving van het AVG. De DPO moet een uitstekende kennis hebben van de wetgeving inzake de bescherming van persoonsgegevens, moet rapporteren aan de hoogste leidinggevenden en moet zijn of haar taken in alle onafhankelijkheid kunnen uitoefenen. De aanstelling van een DPO is in principe verplicht voor: (i) overheidsinstanties en -organen, (ii) (rechts)personen die hoofdzakelijk belast zijn met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; en (iii) organisaties die bijzondere categorieën van persoonsgegevens verwerken op grote schaal (zoals medische gegevens en strafrechtelijke veroordelingen). Register van de verwerkingsactiviteiten De AVG verplicht bepaalde organisaties om een register bij te houden van alle verwerkingsactiviteiten ( dataregister ). Dit dataregister moet onder meer het volgende bevatten: de naam en contactgegevens van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden, de juridische grondslag van de verwerking, met welke partijen deze gegevens gedeeld zijn Zo een register is verplicht: (i) voor (rechts)personen met meer dan 250 werknemers, (ii) als de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen, (iii) als de verwerking niet incidenteel is, of (iv) als de verwerking bijzondere categorieën van gegevens inhoudt. Melding inbreuk persoonsgegevens In principe moeten de verwerkingsverantwoordelijken de Privacycommissie inlichten over inbreuken op de bescherming van persoonsgegevens. De verwerkers moeten de verwerkingsverantwoordelijken hierover inlichten. Dit moet onverwijld gebeuren, en indien mogelijk, niet later dan 72 uur nadat er kennis van genomen is. In sommige gevallen moet de betrokkene ook worden ingelicht over de inbreuk. Afschaffing van de meldingsplicht In sommige gevallen schaft de AVG de verplichting af om (i) de Privacycommissie in te lichten over de verwerkingsactiviteiten van de verwerkingsverantwoordelijke en (ii) de voorafgaande toestemming te vragen aan de Privacycommissie voor het verwerken van persoonsgegevens. Het idee hierachter is dat de verwerkingsverantwoordelijke zelf een eigen bestand moet aanleggen om haar naleving van de AVG te bewijzen, onder andere door met een DPO en een register te werken. 2. Praktisch Wat zijn de gevolgen van de AVG en de Belgische wetgeving inzake de bescherming van persoonsgegevens op de dagdagelijkse werking van uw organisatie? Hieronder bespreken we enkele vaak voorkomende vragen. 2

3 Mag ik mogelijke prospecten contacteren louter op basis van hun informatie die ik online vind? In principe mag dit niet, aangezien ze hiertoe niet hun vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming gegeven hebben. Mag ik directe marketing (d.w.z nieuwsbrieven, uitnodigingen, brochures, etc.) sturen naar bestaande klanten of gepersonaliseerde diensten aanbieden? In principe mag dit als de klant hiertoe zijn vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming heeft gegeven. In het geval van directe marketing per elektronische post ( , sms, mms ), is de voorafgaande toestemming niet vereist indien (i) u de elektronische contactgegevens rechtstreeks bij de klant heeft verkregen (via bv. een bestelformulier), en (ii) de elektronische contactgegevens uitsluitend worden gebruikt voor gelijkaardige producten of diensten die de u zelf levert en (iii) de klanten de mogelijkheid hebben om zich kosteloos en op een gemakkelijke manier te verzetten tegen dit gebruik van hun data (bv. uitschrijven nieuwsbrief). Mag ik persoonsgegevens overdragen aan of verkrijgen van partners? Ja, (i) als de betrokken persoon hiertoe zijn vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming heeft gegeven, of (ii) als dit nodig is voor de uitvoering van de overeenkomst. Als u persoonsgegevens ontvangt, raden wij aan om een contractuele waarborg van uw partner te verkrijgen dat deze wel degelijk de toestemming heeft van de betrokkenen om hun persoonsgegevens over te dragen. Mag ik een kopie van een ID-kaart vragen? In principe mag u geen kopie van de identiteitskaart vragen, deze inlezen of als waarborg bijhouden. Een aangepaste kopie waarin bepaalde niet-relevante informatie zoals het rijksregisternummer is gewist bijhouden kan eventueel wel geoorloofd zijn. Bepaalde specifieke wetgeving kan ook in uitzonderingen voorzien op deze algemene regels (bijvoorbeeld voor banken). Mag ik mezelf toegang verschaffen tot de s van mijn werknemers? Ja, maar enkel in bepaalde omstandigheden, met name: (i) om de continuïteit te waarborgen in het geval van een afwezige werknemer, (ii) om de economische belangen van de organisatie te verzekeren, (iii) om de veiligheid van het ICT-systeem te vrijwaren en (iv) om ongeoorloofde zaken of misdrijven te voorkomen. Mag ik naar een uittreksel van het strafregister vragen bij een job interview? Neen, tenzij een specifieke juridische basis dit zou toelaten. 3

4 3. Voorbereidingen Aangezien 25 mei 2018 snel nadert, is het belangrijk om na te gaan in welke mate uw organisatie de AVG naleeft. Hieronder volgt een lijst met de belangrijkste te ondernemen actiepunten. Privacy bewustzijn Informeer sleutelfiguren en werknemers binnen uw organisatie over de AVG. Vaardig richtlijnen, praktische regels en procedures uit en organiseer trainingen om de aankomende veranderingen goed te kaderen en op te vangen. Privacy audit Ga na of het verwerken van persoonsgegevens binnen uw organisatie momenteel al conform de AVG is. Ga zeker de volgende parameters na bij het uitvoeren van deze controle/audit: Welke persoonsgegevens worden er verwerkt? Hoe zijn deze persoonsgegevens verkregen (van de betrokkene zelf of indirect via een derde)? Met wie worden deze persoonsgegevens gedeeld? Is er een juridische grondslag om persoonsgegevens te verwerken (toestemming, overeenkomst, juridische verplichting of een legitiem/vitaal/algemeen belang?) Als de juridische grondslag toestemming is, heeft de betrokkene dan expliciete toestemming gegeven conform de AVG? Als de juridische grondslag een overeenkomst is, worden de persoonsgegevens verwerkt overeenkomstig het originele/initiële doel van de overeenkomst? Hoe lang worden de persoonsgegevens bijgehouden? Zijn de persoonsgegevens nog up-to-date? Deze controle/audit is geen éénmalige vaststelling. Deze moet op een recurrente basis gebeuren om de naleving met de AVG na te gaan. Niet-naleving moet onmiddellijk worden geremedieerd met concrete en relevante acties en door follow-up audits. Data protection team en DPO Bekijk of u een DPO moet aanstellen. Richt in elk geval een data protection team op (bij voorkeur samengesteld uit mensen uit verschillende domeinen, zoals ICT, juridische dienst, finance, HR ). Dit team zal verantwoordelijk zijn om de impact van de AVG vast te stellen, moet de naleving van de AVG opvolgen en nagaan en een budget samenstellen hiervoor. Register van de verwerkingsactiveiten Zelfs indien het niet verplicht is, is het toch aangeraden om een dataregister bij te houden. Dit register laat u toe om aan te tonen in welke mate de AVG wordt geïmplementeerd. Dit kan handig bewijsmateriaal zijn bij klachten of een onderzoek door de Privacycommissie. Privacy policy Controleer uw privacy policy en, indien nodig, pas deze aan. Betrokkenen moeten geïnformeerd worden, in eenvoudige taal, over hun rechten en over alle andere informatie over de verwerking van hun persoonsgegevens. Deze informatie moet gemakkelijk 4

5 toegankelijk zijn. Voorzie een mechanisme dat hieraan voldoet (vb. een opt-in vakje met een link naar uw privacy policy bij een online inschrijvingsformulier). Verwerkingsovereenkomsten Evalueer de overeenkomsten met uw verwerkers en ondernemingen waarvan u persoonsgegevens verkrijgt. Check deze op overeenstemming met de AVG en vraag meer waarborgen indien nodig. Technische maatregelen en datalekken Controleer of uw technische beveiliging op punt staat. Stel veiligheidsvoorschriften en procedures op. Bereid u voor op mogelijke datalekken. 4. Contact Indien u vragen heeft over deze nieuwsbrief of juridisch advies wil inwinnen over de AVG of de bescherming van persoonsgegevens, aarzel dan niet om ons te contacteren. Sarah.vandenbrande@curia.be Christoph.maricau@curia.be