Nieuwe Europese Verordening Gegevensbescherming - Wat staat er te doen ?

Nieuwe Europese Verordening Gegevensbescherming - Wat staat er te doen ?

Op 24 mei 2016 trad de Algemene Verordening Gegevensbescherming in werking. Deze Europese verordening regelt de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens en het verkeer van deze gegevens. Ondernemingen dienen de komende twee jaar de nodige maatregelen te nemen opdat zij uiterlijk op 25 mei 2018 volledig in overeenstemming zouden zijn met deze nieuwe bepalingen.

Een dergelijke Europese verordening heeft rechtstreekse werking en is derhalve onmiddellijk van toepassing, zonder noodzaak van voorafgaandelijk omzetting in Belgische regelgeving. De bestaande wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer (de zgn. Privacywet) zal aldus overruled worden.

De doelstelling van deze nieuwe regelgeving is drieledig: (i) een hoge bescherming aan natuurlijke personen, die uniform is doorheen de Europese Unie, (ii) rechtszekerheid voor ondernemingen in een eengemaakte markt en (iii) aanpassing van de bestaande regelgeving aan de huidige wereld van smartphones, social media en online shopping.

Het toepassingsgebied van deze verordening is erg ruim. Van zodra een onderneming persoonsgegevens van een natuurlijke persoon, zoals een werknemer of een (potentiële) klant, verzamelt, gebruikt of meedeelt, is zij in principe van toepassing.

De belangrijkste nieuwigheden en bijkomende verplichtingen die worden opgelegd bij deze verordening kunnen als volgt worden samengevat:

  • de uitbreiding van de regelgeving naar ondernemingen buiten de EU die hun producten of diensten aanbieden binnen de EU;
  • de vereiste instemming van de betrokken natuurlijke persoon dient ondubbelzinnig te zijn en veronderstelt derhalve een actieve handeling van het datasubject;
  • bijkomende rechten voor de datasubjecten zoals het recht om vergeten te worden en het recht om de gegevens te laten overdragen;
  • de verplichting voor ondernemingen om te werken volgens de nieuwe principes van privacy by designen privacy by default.
    Het eerste houdt in dat de onderneming zijn werking zo dient te organiseren dat van bij aanvang de privacy maximaal wordt beschermd.
    Het tweede gebiedt dat wanneer de gebruiker verschillende opties worden geboden over hoeveel informatie hij wenst te delen, de standaard optie steeds diegene is waarbij het minste informatie wordt meegedeeld.
  • de ondernemingen hebben niet langer de verplichting om de gegevensverwerking aan te geven bij de lokale toezichthouder;
  • ondernemingen dienen voortaan wel een register bij te houden met alle informatie inzake de gegevensverwerking;
  • in bepaalde gevallen dient een data protection officer te worden aangesteld;
  • de verplichting voor de onderneming om op zeer korte termijn te melden indien er een lek is van de gegevens;
  • zelfstandige verplichtingen voor de verwerkers van persoonsgegevens waarop een onderneming beroep doet, te denken valt bijvoorbeeld aan een sociaal secretariaat dat gegevens verwerkt van de werknemers van een onderneming.

De Verordening is niet alleen vanwege de inhoud van de verplichtingen spraakmakend maar ook door de voorziene sancties. Er zijn administratieve boetes voorzien die kunnen oplopen tot maar liefst 4% van de totale wereldwijde jaaromzet of 20.000.000,00 EUR.

De Algemene Verordening Gegevensbescherming bouwt verder op de bestaande regelgeving maar gaat duidelijk nog een stap verder in de bescherming van natuurlijk personen - datasubjecten, met bijkomende verplichtingen voor ondernemingen. Het is raadzaam om nu reeds na te gaan welke concrete maatregelen moeten getroffen worden binnen de onderneming om tijdig in regel te zijn. Dit geldt des te meer nu niet alleen de spelregels maar ook het toezicht en de sancties ernstig worden verscherpt.

Nieuwsbrief Archief

loading

Inschrijven voor onze nieuwsbrief

IMPOSTO Nieuwsbrief verschijnt maandelijks rond de kernexpertises van IMPOSTO Advocaten. De invalshoek is praktijkgericht. Schrijf u gratis in.