Unieke opleiding Data Protection Officer
maart 13, 2014
Studiedag GDPR of AVG
mei 14, 2016
Show all

Stemming data protection regulation

Context rond stemming data protection regulation in Europees parlement

Op 12 maart 2014 hield het Europees Parlement een plenaire stemming rond de General Data Protection Regulation (GDPR). Of beter, de draft versie en uiteindelijke compromissen en amendementen van de rapporteurs van het Europees Parlement. Deze waren reeds eerder op commissie niveau goedgekeurd, maar nu dus door het voltallige parlement. Eindscore: 621 stemmen voor, 10 tegen en 22 onthoudingen.

Nut van de stemming

Het betrof geen nieuwe versie, er zaten geen nieuwe onderdelen in, de gestemde documenten waren identiek aan hetgeen reeds eerder was goedgekeurd. Men kan zich afvragen wat de toegevoegde waarde is van deze stemming, maar dat is er wel degelijk. Om te beginnen bevestigt het Europees Parlement nogmaals de beslissing in de commissies en laat men zien dat het Europees Parlement volledig achter deze hervorming staat, niet enkel op commissie-niveau.

In die zin is het dus zeker geen zinloos statement: men staat voor zware onderhandelingen met de Raad van Ministers, oftewel de lidstaten, die op dit moment hun positie ten opzichte van de General Data Protection Regulation nog aan het formuleren zijn. De stemming stuurt een duidelijk signaal dat het Europees Parlement niet zonder meer bereid is concessies te doen.

Ook bevestigt het Europees Parlement de amendementen die zijn gedaan aan het originele voorstel zoals ingediend door de Europese Commissie op 25 januari 2012. De belangrijkste wijzigingen:

  • De mogelijke boetes werden verhoogd van 2% naar 5% van de jaarlijkse omzet, of €100 miljoen.
  • Pseudonieme data zijn opgenomen als een aparte definitie, maar blijven persoonsgegevens
  • Er zijn nieuwe beperkingen op de geldigheid van toestemming:
    • Toestemming is specifiek gericht op het doel van verwerking, wijzigt het doel dan vervalt de toestemming
    • De uitvoering van een contract of dienst mag niet afhankelijk zijn van de toestemming wanneer deze toestemming verwerking toestaat die niet vallen binnen het vastgestelde doel
    • De toestemming dient bewezen te kunnen worden door de verwerker en moet eenvoudig ingetrokken kunnen worden
  • Data Protection Officers worden aangesteld op basis van het aantal verwerkingen, niet op basis van de organisatiegrootte
  • “Right to forget” wordt “Right to erasure”
  • Transfers van persoonsgegevens buiten de EU dienen voorafgaande toestemming te hebben van de DPA van het data subject evenals toestemming van het data subject zelf

 

Next steps

Enkele hordes dienen nog genomen te worden voor de GDPR in voegen kan treden en deze stemming kan dan ook gezien worden als een extra duwtje in de rug van de lidstaten. Zij moeten nog steeds hun standpunt formuleren ten opzichte van de GDPR en pas daarna kunnen onderhandelingen beginnen.

Voorlopig hebben de lidstaten enkel de territoriale scope besproken bij een bijeenkomst begin maart waarbij bleek dat het concept dat niet-Europese aanbieders van diensten aan EU-burgers ook zullen moeten voldoen aan de regels betreffende de bescherming van persoonsgegevens van EU burgers, breed werd gedragen. De volgende stap in de goede richting zal pas in juni gezet kunnen worden: dit is de volgende meeting tussen de lidstaten waarbij de GDPR aan de orde kan komen.

Een en ander neemt niet weg dat alle lidstaten reeds in oktober 2013 onderschreven de goedkeuring van de GDPR tijdig te zullen doen zonder het begrip “tijdig” uit te drukken in een concrete deadline, zoals het politici betaamd. Algemeen wordt echter aangenomen dat uiterlijk in 2015 de nieuwe richtlijn aangenomen zal worden.