Newsflash: De nieuwe Algemene Verordening Persoonsgegevens is een feit
Op 14 april 2016 heeft het Europese Parlement de General Data Protection Regulation/Algemene Verordening Persoonsgegevens (hierna de “Verordening”) goedgekeurd.
Deze goedkeuring is het eindpunt van een vier jaar durende inspanning van de Europese wetgever om het huidig wetgevend kader met betrekking tot de bescherming van persoonsgegevens te updaten, te optimaliseren en te harmoniseren. De Verordening, die rechtstreeks toepassing zal vinden in alle lidstaten zonder dat omzetting in de nationale rechtsordes vereist is, zal de huidige Richtlijn 95/46/EC vervangen.
Hieronder worden kort enkele belangrijke wijzigingen opgelijst:
- Responsabilisering van de verwerkers (diegenen die op instructie van de verantwoordelijke van de verwerking de persoonsgegevens verwerken) door enerzijds het opleggen van verplichtingen en anderzijds het instellen van sanctiemechanismen (onder het vigerend kader rusten de verplichtingen op de verantwoordelijke voor de verwerking en kan enkel de verantwoordelijke voor de verwerking worden aangesproken);
- Het herdefiniëren van het criterium van de toestemming om gegevens te verwerken, waarbij een duidelijke en actieve toestemming vereist is;
- Het versterken van de rechten van diegene wiens persoonsgegevens worden verwerkt door het introduceren van het recht om vergeten te worden (door het verwijderen van opgeslagen persoonsgegevens) en het recht om persoonsgegevens op gemakkelijke wijzen over de dragen naar een andere dienstverlener. Bijkomend dient ook op meer transparante wijze informatie verschaft te worden aan deze betrokkenen en moeten zij in bepaalde gevallen op de hoogte worden gesteld van inbreuken op de bescherming van hun persoonsgegevens;
- De introductie van de figuur van de Data Protection Officer/Functionaris voor de Gegevensbescherming die zal moeten worden aangesteld in ondernemingen die aan bepaalde criteria voldoen. Deze functionaris dient toezicht te houden op te verwerkingen.
- Introductie van enkele nieuwe concepten, zoals “privacy by design” and “privacy by default”, waarbij wordt uitgegaan van de regel dat ondernemingen gedurende de hele productiecyclus oog moeten hebben voor de bescherming van persoonsgegevens en waarbij het uitgangspunt in ieder geval een minimale verwerking van persoonsgegevens dient te zijn;
- De verplichtingen om een privacyeffectenbeoordeling uit te voeren in bepaalde gevallen waarbij er een risico bestaat dat verwerking van persoonsgegevens een gevaar vormt voor de bescherming ervan;
- Het instellen van een “one-stop shop” voor ondernemingen met verschillende vestigingen in de Europese Unie, waarbij één toezichthoudende autoriteit zal optreden als aanspreekpunt;
- Uitbreiding van het toepassingsgebied van de Verordening tot derde landen onder bepaalde voorwaarden.
De finale tekst zal in de komende weken in het Publicatieblad van de Europese Unie gepubliceerd worden. De inwerkingtreding staat vastgesteld op 20 dagen na de publicatie. De nieuwe regels zullen dan twee jaar later toepassing vinden. Dit betekent dat ondernemingen nog twee jaar de tijd hebben om zich de nieuwe regels eigen te maken, zodat zij met kennis van zaken en met inachtneming van hun gewijzigde verplichtingen het vernieuwde speelveld zullen kunnen betreden.