Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1
De Wet bescherming persoonsgegevens in vogelvlucht 2
1. Is sprake van persoonsgegevens? Ruim begrip: gegevens die direct of indirect zijn te herleiden tot een natuurlijk persoon Geanonimiseerde en gepseudonimiseerde gegevens? 3
2. Is sprake van BIJZONDERE persoonsgegevens? Gevoelige informatie over bijv. godsdienst, ras, gezondheid, strafrechtelijke persoonsgegevens Zwaarder regime: verwerking verboden, tenzij Wbp verwerking expliciet toestaat Foto s 4
3. Verwerkt u persoonsgegevens? Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens Verzamelen, vastleggen, bewaren, gebruiken, verstrekken, wissen, vernietigen, anonimiseren, Toepassingsbereik Wbp: vestiging van een verantwoordelijke in Nederland of vestiging buiten EU en verwerking met behulp van middelen in Nederland 5
4. Bent u verantwoordelijke of bewerker? Verantwoordelijke = degene die het doel en de middelen van verwerking vaststelt Bewerker = degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te staan (externe salarisadministrateur, ICT-dienstverlener) 6
5. Doeleinden van de verwerking Welbepaald Uitdrukkelijk omschreven (vóórdat u begint met verzamelen) Gerechtvaardigd Verwerking noodzakelijk voor het doel? Verwerking niet onverenigbaar met het doel 7
6. Verwerkingsgrondslagen Ondubbelzinnige toestemming Noodzakelijk voor de uitvoering van een overeenkomst Nakoming wettelijke verplichting Vrijwaring vitaal belang betrokkene Goede vervulling publiekrechtelijke taak Noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke, tenzij belangen betrokkene prevaleren (belangenafweging) 8
7. Plichten verantwoordelijke a. Zorgvuldige verwerking b. Beveiliging c. Bewerkersovereenkomst d. Informatieplicht e. Meldingsplicht f. Inzage geven g. Corrigeren 9
7a. Zorgvuldige verwerking Niet bovenmatig Toereikend Ter zake dienend (noodzakelijk voor het doel) Juiste en nauwkeurige gegevens Bewaartermijn 10
7b. Beveiliging Passende technische en organisatorische maatregelen om verlies van gegevens of onrechtmatige verwerking tegen te gaan Afhankelijk van risico s van verwerking, aard van de gegevens, stand van de techniek en kosten van de maatregelen 11
7c. Bewerkersovereenkomst Verwerking uitsluitend in opdracht van verantwoordelijke Nakoming beveiligingsverplichtingen door bewerker Toezien op naleving Bewerker is zelfstandig aansprakelijk voor schade die het gevolg is van de bewerkingshandelingen Geheimhouding 12
7d. Informatieplicht Verantwoordelijke, verwerkingsdoeleinden en alles wat nodig is om behoorlijke en zorgvuldige verwerking te waarborgen In beginsel vóór de verkrijging Zodanig dat de betrokkene er daadwerkelijk de beschikking over krijgt (privacystatement) 13
7e. Meldingsplicht Bij het College Bescherming Persoonsgegevens of bij de door u of uw brancheorganisatie benoemde functionaris Vóór de verwerking (= vóór verzameling) Uitzonderingen op de meldingsplicht: vrijstellingsbesluit 14
7f. Inzage geven Binnen vier weken Overzicht van de verwerkte gegevens Omschrijving verwerkingsdoeleinden Ontvangers De beschikbare informatie over de herkomst Geen recht op afschriften 15
7g. Corrigeren Binnen vier weken reageren Gronden: - feitelijk onjuist - onvolledig of niet ter zake dienend voor het doel waarvoor gegevens zijn verwerkt - verwerking in strijd met Wbp of andere wet Verbeteren, aanvullen, verwijderen, afschermen en derden op de hoogte stellen 16
Sancties Bestuursdwang Last onder dwangsom Boete Rechterlijk verbod of gebod Schadevergoeding Reputatieschade 17
Nieuwe Europese Privacy Verordening Verplichte Data Protection Officer voor overheidsinstanties en bedrijven > 250 werknemers Meldplicht datalek Boetes tot 5% van wereldwijde omzet Inwerkingtreding: 2016/2017 (?) 18
19 Privacy in de praktijk
Kopietje paspoort (Bijzondere) persoonsgegevens: BSN, foto Legitimatie en controle Overnemen gegevens Kopiëren, scannen, opslaan Grondslagen: - nakoming wettelijke verplichting - uitvoering overeenkomst 20
Direct marketing / Spam Spam = ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden overgebracht d.m.v. automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische berichten Hoofdregel = Opt-in + Opt-out 21
Direct marketing / Spam Uitzondering: geen Opt-in en wel Opt-out: - Gebruik daartoe bekendgemaakt e-mailadres - Ontvanger buiten EER - (Klant)relatie (eigen gerelateerde producten/diensten) Sanctie: boete ACM tot EUR 450.000,- 22
[ ] Ik ga akkoord met het ontvangen van e-mails van X BV en partners Toestemming? 23
Cookies Tracking cookies ( Technische cookies) Duidelijk en volledig informeren Toestemming (vooraf, expliciet, ondubbelzinnig) Opslaan/uitlezen gegevens computer (dus ook: browser fingerprinting) Sanctie: boete ACM tot EUR 450.000,- Wetsvoorstel: geen toestemming voor cookies die geen inbreuk maken op de privacy 24
Dank voor uw aandacht Floor de Roos roos@boelszanders.nl T: +31 88 30 40 207 25