Cruciale periode breekt aan voor General Data Protection Regulation

Hebben de VREG, NMBS en MILBE de privacywet overtreden?
januari 8, 2013
Train uw Data Protection Officers voor de nieuwe EU verordening
februari 19, 2013
Show all

Cruciale periode breekt aan voor General Data Protection Regulation

Een cruciale periode breekt aan voor de General Data Protection regulation (GDPR). Op een haar na een jaar geleden publiceerde de Europese Commissie bij monde van de Eurocomissaris voor Justitie, Viviane Reding, een draft van de General Data Protection Regulation. De draft bevatte een aantal ingrijpende wijzigingen op het gebied van data protection en de vrije beweging van persoonsgevens. De GDPR moet zorgen voor een geharmoniseerde wetgeving rond persoonsgegevens en data protection en moet tevens een modernisering van de oorspronkelijke richtlijn uit 1995 inhouden. Nog eens een kleine opsomming van de belangrijkste wijzigingen:

  • Het is een verordening en geen richtlijn zoals de wet van 1995, oftewel een Europese wet i.p.v. een doelstelling die in alle 27 lidstaten als wetgeving geldt wanneer de GDPR op Europees niveau wordt geratificeerd
  • Data Protecion Officers (DPO’s, in Belgie ook gekend als veiligheidsconsulenten) verplicht voor bedrijven met meer dan 250 medewerkers
  • Het omstreden Right to be Forgotten dat dienstverleners er toe verplicht op verzoek van een data subject alle zijn persoonlijke data te verwijderen, ook de persoonsgegevens die via de oorspronkelijke verwerker ondertussen bj derden terecht zijn gekomen
  • Boetes tot 2% van de wereldwijde omzet bij overtredingen
  • Uniformiteit van aangiftes: één DPA uit het land van aangifte is de leidende instantie voor een Europese aangifte
  • Europese aansturing van DPA’s vanuit de European Data Protection Board
  • De vastlegging van het Privacy by Design principe en de verplichte uitvoering van Privacy Impact Assessments (PIA)
  • Data portability: een data subject moet in staat zijn om zijn persoonlijke data op te vragen en te kopieren op een manier die bruikbare data oplevert is voor het data subject

Op 27 februari loopt de termijn bij LIBE af ( de commissie binnen het Europese Parlement die zich als eerste buigt over de GDPR) voor het indienen van amendementen en wordt de tekst die er dan ligt definitief besproken, ter stemming gebracht en voorgelegd aan het Europees Parlement en de Raad van Ministers. In het kader hiervan heeft een van de prominente leden van LIBE en rapporteur voor het Europees Parlement, Jan Philipp Albrecht, zijn amendementen ingediend. In een rapport van meer dan 200 pagina’skomt Albrecht tot een respectabel aantal van 350 amendementen. De meeste van deze amendementen zijn verdere verscherpingen of detailleringen van artikelen uit de GDPR. Onderstaand zijn de interessantste amendementen eruit gelicht, onderverdeeld naar algemene amendementen en amendementen met gevolgen voor DPO’s. Algemene amendementen:

  • Het beperken van uitzonderingen en de zogeheten “delegated acts” waardoor de Europese Commissie zonder stemming in het Europees Parlement beperkte aanpassingen aan de GDPR zou kunnen invoeren
  • Beperkingen op het “gerechtvaardigd belang” waardoor de nadruk nog meer komt te liggen op expliciete toestemming voor verwerking
  • Een nieuwe uitwerking rond het concept “Producent”. Hiermee wordt ingespeeld op de Big Data trends waarbij op basis van gigantische databestanden door middel van profiling “nieuwe” persoonsgegevens op data subject niveau gecreeerd worden
  • Een grotere rol voor de European Data Protection Board waardoor deze in feite een Europese DPA zou worden die juridisch bindende uitspraken kan doen

Specifiek rond DPO’s:

  • Verplichting tot DPO’s binnen bedrijven is niet langer gekoppeld aan een minimum aantal werknemers maar aan het aantal betrokken data subjects ( >500 er jaar) waarvan persoonsgegevens verwerkt worden
  • Een verdere, specifieke uitwerking van de rol van een DPO zoals het actief betrekken van een DPO bij complexe projecten en ingrijpende aanpassingen rond de verwerking van de persoonsgegevens
  • Een verminderde administratieve last voor DPA’s aangezien de eigen DPO vaker mag/moet worden ingeschakeld
  • Een specifiekere uitwerking van de kwalificaties die een DPO moet bezitten om zijn rol te mogen uitvoeren
  • De aanstelling van een DPO wordt voor 4 jaar, niet de voorgestelde 2 jaar uit de draft
  • De positie van de DPO wordt specifiek benoemd als zijnde recht onder de hoogst leidinggevende binnen een organiatie
  • Een geheimhoudingsplicht voor DPO’s rond de identiteit van data subjects

Haaks op de amendementen zoals deze voorgesteld zijn door Jan Philipp Albrecht staat dan weer een voorstel van de nieuwe voorzitter van de Europese Raad, Ierland. Zo pleiten de Ieren voor het afzwakken van boeteclausules en het uitbreiden van het gerechtvaardigd belang naar het professioneel gerechtvaardigd belang. Dit laatste zou de deur wijd open zetten voor het gebruik van persoonsgegevens door bedrijven zonder expliciete toestemming van het data subject.

De voorstellen van Ierland zijn des te opmerkelijker wanneer ze afgezet worden tegen de gevolgen van soortgelijke regels die de Ierse DPA in 2007 doorvoerde (hier in detail beschreven) en waarover de DPA in 2011 liet optekenen dat de wijzigingen niettot het beoogde effect hadden geleid maar eerder tot een ongecontroleerd verzamelen en verwerken van persoonsgegevens door de Ierse politie.

Weer aan de andere kant van het spectrum zit de EDPS, the European Data Protection Supervisor, die via zijn assistent Giovanni Buttarelli reeds een korte mening de wereld instuurde omtrent de GDR en de amendementen hierop van Jan Philipp Albrecht. In een eerdere persconferentie had Albrecht zelf een 10 tal specifieke punten aangestipt en Buttarelli gaf aan dat deze punten door de EDPS onderschreven worden. Verder noemde hij specifiek nog een aantal punten die de EDPS belangrijk genoeg vond om te benoemen, waaronder:

  • Het concept van een leidende DPA, waarin één specifieke DPA op een gestructureerde manier kan samenwerken met andere DPA’s op eenzelfde project
  • Het beperken van de eerder genoemde “delegated acts”
  • Het verminderen van administratieve verplichtingen

Al met al zal de komende periode “make or break” zijn voor strengere en uniformere regels op het gebied van data protection. Een stemming over de definitieve draft die naar het Europees Parlement wordt gestuurd vindt eind april plaats in de LIBE commissie waarna de GDPR in mei 2013 wordt voorgelegd aan de Raad van Ministers en het Europees Parlement, twee instanties die ook nog hun zegen moeten geven voor de GDPR als wet zou kunnen gelden. Een en ander betekent dat de GDPR op zijn vroegst in 2014 aangenomen zal worden.