NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht

Maat: px

Weergave met pagina beginnen:

Download "NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht"

Cecilia van der Wal
8 jaren geleden
Aantal bezoeken:

2 Studiebijeenkomst 18 december 2012 NVBI Proposal General Data Protection Regulation Eva N.M. Visser IT Advocaat Bestuurslid Vereniging Privacy Recht

5 Inhoud 1. Huidig juridisch kader 2. Doelstellingen en scope Verordening Gegevensbescherming 3. Status Verordening Gegevensbescherming 4. Selectie van in het oog springende wijzigingen: - sancties; - datalekken - privacy by design / default - right to be forgotten - etc

6 In a nutshell: huidig juridisch kader

7 Kenmerken Verordening Voorstel gepubliceerd op 25 januari 2012 (eerder uitgelekte versie) Rechtstreekse werking in lidstaten. Burgers kunnen zich er direct op beroepen Echter, veel delegated acts en implementing acts Lidstaten behouden discretionaire bevoegdheid

Burgers kunnen zich er direct op beroepen Echter, veel delegated

9 x 27?

10 Doelstellingen Verordening Modernisering Sterker maken interne markt van de EU Betere bescherming persoonsgegevens en meer controle voor de individuele personen Verhoging vertrouwen Harmonisatie binnen de EU Vereenvoudiging van compliance voor multinationals Vermindering onnodige administratieve lasten

personen Verhoging vertrouwen Harmonisatie binnen de EU Vereenvoudiging van

11 Scope Verordening Vervangt Privacyrichtlijn uit 1995(!) (en de Wbp) Omvang Verordening: - 91 artikelen versus 34 in de Richtlijn overwegingen versus 72 in de Richtlijn - 19 definities versus 8 in de Richtlijn Out of scope: Nationale veiligheid (art. 2(2) sub a) Preventie, onderzoek, opsporing of vervolging van strafbare feiten en ten uitvoerlegging van straffen (2(2) sub e) Onderwerp van aparte Richtlijn Diverse uitzonderingen (e.g. voor middelgrote, kleine of microondernemingen)

19 definities versus 8 in de Richtlijn Out of scope: Nationale veiligheid (art.

12 Status Verordening Het voorstel ligt ter goedkeuring bij het Europees Parlement Daarna goedkeuring Europese Raad Twee jaar na aanname kan de Verordening in werking treden Verwachte datum inwerkingtreding: op zijn vroegst in 2015 Sterke lobby Definitieve versie zal nog veel aanpassingen ondergaan

Verordening in werking treden Verwachte datum inwerkingtreding: op zijn

13 Selectie wijzigingen Verordening

14 Boetes Variërerend van EUR 250K tot EUR 1 mio Bij ondernemingen: 0,5% - 2% van de jaarlijkse wereldwijde omzet Eerst waarschuwing bij: - natuurlijke persoon die persoonsgegevens zonder commerciële belangen verwerkt; - onderneming / organisatie < 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerkt

die persoonsgegevens zonder commerciële belangen verwerkt; - onderneming /

15 Privacy litigation Get ready for an avalanche in Europe?

16 European Data Protection Board Article 29 Working Party wordt vervangen door Europees Comité voor gegevensbescherming (art. 64) Vergelijkbare status

17 Selectie wijzigingen Vergelijkbare materiële beginselen voor verwerking (art. 5), maar meer expliciet One-stop-shop jurisdictie voor multinationals (art. 51) - lead DPA - toezichthouder van de hoofdvestiging van de multinational is bevoegd

18 Toestemming If you do not want to receive commercial please do not tick this box

19 Meldingsplicht vervalt Wordt vervangen door: Documentatieverplichting (art. 28) Uitvoeren van een PIA (Privacy Impact Assessment) bij introductie risicovolle verwerkingen (art. 33) Voorafgaande raadpleging en toestemming CBP indien PIA dat indiceert (art. 34) NB: niet te verwarren met de meldplicht datalekken

20 Verplichtingen verantwoordelijke Aanvullende verplichtingen: Accountability verplichting: verantwoordelijke moet te allen tijde via beleidsregels en genomen maatregelen conformiteit met de verordening kunnen aantonen (art. 22) Vaststellen voor procedures voor voldoen aan informatieplicht en uitoefenen rechten betrokkenen (art. 12(1)) Samenwerken met toezichthouder (art. 29) Aanstellen Data Protection Officer (art. 35: ook voor bewerkers) Overheden Grote bedrijven (meer dan 250 werknemers) Activiteiten bevatten regelmatige en systematische observatie

22) Vaststellen voor procedures voor voldoen aan informatieplicht en uitoefenen rechten betrokkenen (art.

21 Voorbeeld: IT dienstverlener

22 Verplichtingen verwerkers Selectie: Uitbreiding bewerkersovereenkomst (art. 26) - verantwoordelijke bijstaan om zijn aan algemene verplichtingen te voldoen - na beëindiging alle resultaten overhandigen en gegevens niet anderszins verwerken - alle informatie ter beschikking stellen aan verantwoordelijke en toezichthouder om te controleren of bewerker aan verplichtingen voldoet. Verwerken alleen op instructie verantwoordelijke (art. 27) Documentatieplicht verwerkingen (art. 28) Medewerkingsplicht toezichthouders (art. 29) Adequate beveiliging (art. 30)

23 Privacy by default / design

24 Artikel 23 Verordening Privacy by default: verantwoordelijke moet systemen zo inrichten dat per doeleinde alleen die persoonsgegevens worden verwerkt die daarvoor strikt noodzakelijk zijn (dataminimalisatie) Privacy by design: houd rekening met privacy bij de inrichting / ontwerp van IT-systemen NB: beveiligingseisen (art. 30) zijn uitgebreid met voorafgaande evaluatie van risico s (lid 2).

25 Datalekken (artt. 31 en 32)

26 Meldplicht datalekken Meldplicht datalekken aan CBP (art. 31) zonder onnodige vertraging en zo mogelijk binnen 24 uur na bekend worden (tenzij motivering) Meldplicht aan betrokkenen (art. 32) zonder onnodige vertraging na melding toezichthouder als inbreuk waarschijnlijk negatieve gevolgen heeft tenzij passende technische beschermingsmaatregelen die de persoonsgegevens onbegrijpelijk maken voor derden (encryptie) CBP kan verantwoordelijke alsnog verplichten om te melden aan betrokkenen

27 Inhoud en wijze melden In beide gevallen moet worden gemeld Aard van de inbreuk Categorieën en aantal betrokkenen Categorieën en aantal data Naam en contactgegevens van de functionaris gegevensbescherming of andere contactpersoon Aanbevolen maatregelen om de negatieve gevolgen te verminderen Aan CBP : consequenties, genomen acties Europese Commissie kan modellen en formulieren opstellen

28 Overige verplichtingen Administratie bijhouden van alle datalekken, dus ook die niet aan CBP zijn gemeld Feiten omtrent inbreuk Gevolgen van de inbreuk Corrigerende maatregelen De bewerker moet een datalek onmiddellijk melden bij de verantwoordelijke en verantwoordelijke actief bijstaan

29 Rechten van betrokkenen Vergelijkbare rechten betrokkenen, maar aanvullend: Recht om vergeten te worden (art. 17) Recht om gegevens over te dragen (art. 18) Maatregelen op basis van profilering (art. 20)

30 The right to be forgotten

31 How to forget? Digital abstinence (gedragsverandering) Door middel van de techniek > Privacy by design > meta-data > expiry dates Wettelijke verankering (nu: Wbp straks: Verordening)

32 Artikel 17 Verordening Recht van betrokkene ten opzichte van de verantwoordelijke Lid 1: wissen van gegevens en achterwege laten verdere verspreiding (door verantwoordelijke) Lid 2: wissen van gegevens door derden (nieuw!) Digital Footprint vs. Digital Shadow

33 Free speech vs. Right to be forgotten

34 Dataportabiliteit Verordening Gegevensbescherming (artikel 18): recht van gegevensoverdraagbaarheid - recht op een kopie van de gegevens, en - het recht om deze gegevens over te dragen naar een andere dienstverlener Voorwaarde: de gegevens moeten zijn opgeslagen in een gestructureerd en algemeen gebruikt formaat Boete niet-naleving: max 1% jaarlijkse wereldwijde omzet Het formaat, de technische normen, modaliteiten en procedures voor de overdracht kunnen nader worden bepaald door de Commissie

35 International Data Transfers

37 Doorgifte derde landen Nog steeds gebaseerd op adequacy, maar meer flexibiliteit Adequacy beslissing mag ook territoir, organisatie of branche betreffen Passende garanties, indien geen passend beschermingsniveau : - BCR als een geldige grondslag voor doorgifte binnen concern - Gebruik EC modelcontract vergt niet langer autorisatie - Nationale toezichthouder kan eigen model contract opstellen - Bedrijven kunnen zelf contract opstellen, vergt autorisatie toezichthouder Uitzonderingen > nieuwe grondslag: gerechtvaardigd belang (art. 44(1)(h)): - Beoordeling van de omstandigheden en passende garanties voor bescherming - Niet als doorgifte frequent of massaal is - Doorgifte documenteren en toezichthouder informeren

38 US Patriot Act?

39 What would you decide?

41 Contact information Eva N.M. Visser IT Lawyer Leidsegracht CR Amsterdam

Vergelijkbare documenten

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale