Onderneming en Privacy

Onderneming en Privacy Samenvatting aantekeningen en boek

College 1: De totstandkoming van de AVG en het belang van privacy voor

ondernemers De AVG in Europees en Nederlands perspectief – Kranenborg & Verhey

Hoofdstuk 1: Inleiding

Richtlijn 95/46 en de daarop gebaseerde Wbp zijn in 2018 vervangen door een Europese verordening die rechtstreeks van toepassing is in de Nederlandse

rechtsorde: de Algemene Verordening Gegevensbescherming (AVG). Omdat de

AVG op sommige punten nog steeds nationale wetgeving vereist of toelaat, is in Nederland de Uitvoeringswet AVG (UAVG) vastgesteld.AVG werd gepresenteerd met het doel de gegevensbeschermingsregels in de EU te vereenvoudigen.Technologische complexiteit De ontwikkeling van de informatietechnologie werkt op indringende wijze door in het recht. Op alle rechtsgebieden zijn soms ingrijpende aanpassingen nodig om het recht af te stemmen op en mee te laten groeien met de ontwikkeling van de techniek.In algemene zin is het streven er in het gegevensbeschermingsrecht altijd al op gericht begrippen en regels te ontwikkelen die zoveel mogelijk ‘technologieneutraal’ zijn en daardoor minder snel verouderen als gevolg van nieuwe technologische ontwikkelingen. Het gegevensbeschermingsrecht is hierdoor soms moeilijk toepasbaar. Juridische regels moeten namelijk geschikt zijn voor toepassing op uiteenlopende en nog niet voorzienbare methoden van gegevensverwerking.Juridische complexiteit Verhouding tussen (Europese) regels onderling, deels van verschillende organisaties afkomstig, soms wat de inhoud betreft overlappend, is niet altijd duidelijk.Maatschappelijke complexiteit De totstandkoming van de AVG wordt niet vergemakkelijkt door de betrokkenheid van een groot aantal actoren die een rol hebben bij de nadere invulling en toepassing van de wettelijke normen. De nadere invulling geschiedt in eerste instantie door degenen die verantwoordelijk zijn voor de gegevensverwerking.Voor het functioneren van het bedrijfsleven en de overheid is in heel veel situaties een adequate gegevensverwerking essentieel. Vaak is dit complex, werkt het belemmerend en zorgt het voor grote administratieve lasten. Vanuit het bedrijfsleven is daarom gepleit voor vereenvoudiging en versoepeling van de regels. Daartegenover staan de belangen van individuele burgers en hun recht op een eerlijke en zorgvuldige verwerking van hun persoonsgegevens.Nieuwe bevoegdheid van AP om boetes op te leggen bij overtreding, tot 4% van de wereldwijde jaaromzet, leidde tot een grote mate van bewustwording. 1 / 3

Hoofdstuk 2: Gegevensbescherming binnen de Raad van Europa

De bescherming van persoonsgegevens werd in de Raad van Europa vanaf het begin al in verband gebracht met het recht op bescherming van het privéleven zoals dat in art. 8 EVRM is neergelegd.Verdrag van Straatsburg Het Verdrag heeft in beginsel alleen betrekking op de geautomatiseerde verwerking van persoonsgegevens. Verdrag richt zich primair tot de verdragsstaten. Uitgangspunt was dat de bepalingen eerst geïmplementeerd moesten worden door de nationale wetgever.

EVRM Voordat het Verdrag van Straatsburg in werking trad, had het EHRM art. 8 EVRM al van toepassing verklaard op bepaalde vormen van gegevensverwerking. Het EHRM gaat ervan uit dat de bescherming van persoonsgegevens van fundamentele betekenis is voor het recht op eerbiediging van het privéleven zoals bedoeld in art. 8 EVRM. In de rechtspraak verwijst het EHRM regelmatig naar het Verdrag van Straatsburg en bouwt het voort op de daarin gestelde beginselen.

Hoofdstuk 3: Gegevensbescherming in de Europese Unie

Met het Verdrag van Lissabon werd een apart artikel geïntroduceerd in het VWEU dat een algemene rechtsgrondslag vormt voor wetgeving over gegevensbescherming op bijna alle beleidsterreinen van de EU. Dit is vastgelegd in art. 16 VWEU (‘’een ieder heeft recht op bescherming van zijn persoonsgegevens’’).Naast art. 16 VWEU is het recht op bescherming van persoonsgegevens als apart recht neergelegd in het EU-Grondrechtenhandvest. Art. 8 Handvest geeft een nadere invulling aan art. 16 VWEU.

De algemene gegevensbeschermingsrichtlijn: richtlijn 95/46

Na de totstandkoming van het Verdrag van Straatsburg bleek dat voor de EU- lidstaten de daarmee beoogde doelstellingen niet voldoende konden worden bereikt. Hierdoor kwam de Europese Commissie op verzoek van het Europees Parlement met een voorstel voor een richtlijn over het vrij verkeer van persoonsgegevens. In Nederland werd deze richtlijn omgezet in de Wet bescherming persoonsgegevens (Wbp).Omzettingsregels van richtlijn 95/46 werden kritisch geëvalueerd. Dit leidde tot een ingrijpende wijziging van secundair Unierecht inzake gegevensbescherming.De richtlijn is komen te vervallen en werd vervangen door de Algemene Verordening Gegevensbescherming. Een van de ingrijpendste veranderingen is dat binnen de Europese Unie de algemene gegevensbeschermingsregels voortaan zijn vastgelegd in een verordening in plaats van een richtlijn. Een richtlijn is verbindend ten aanzien van het door de lidstaten te bereiken resultaat, maar laat tegelijkertijd aan de nationale instanties de bevoegdheid vorm en middelen te kiezen (art. 288 VWEU).Nederlandse Wbp is ingetrokken en vervangen door de Uitvoeringswet AVG die waar noodzakelijk of gewenst invulling geeft aan de bovengenoemde ruimte die de verordening voor nationale wetgeving laat.Europees Comité voor gegevensbescherming is ingesteld als orgaan van de Unie en heeft rechtspersoonlijkheid. Het Comité kan adviezen, richtsnoeren en 2 / 3

aanbevelingen geven, maar kan ook bindende beslissingen nemen in geval van onenigheid tussen nationale toezichthouders.Versterking en uitbreiding rechten en positie van betrokkenen Eisen voor toestemming van betrokkene als grondslag voor verwerking zijn verder uitgewerkt. Van toestemming is sprake bij vrije, geïnformeerde en ondubbelzinnige actieve handeling die de verwerking aanvaardt.Naast verdere uitwerking van de al bestaande rechten van betrokkenen, werden

• rechten in het oorspronkelijke voorstel door de Commissie als nieuw

bestempeld:

-Het recht om vergeten te worden (het recht op vergetelheid) -Het recht op overdraagbaarheid van gegevens -Het recht om niet aan profilering te worden onderworpen Verplichtingen van verantwoordelijke uitgebreid Geprobeerd is om de administratieve lasten te verlichten en tegelijk de verantwoordelijkheid te vergroten. De Commissie kondigde aan de rol van de verantwoordelijke verder uit te willen breiden door de invoering van het beginsel

van accountability: de verantwoordelijke moet gepaste en effectieve

maatregelen nemen om te verzekeren dat aan de verplichtingen en beginselen van de gegevensbescherming is voldaan. Omdat de verantwoordelijke zelf kan beslissen welke maatregelen nodig zijn, biedt deze plicht een zekere flexibiliteit die tot grotere naleving van de regels en een vermindering van de administratieve lasten zou moeten leiden.Verantwoordelijke moet passende en technische maatregelen treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de verordening wordt uitgevoerd.

Belangrijke factoren zijn daarbij:

-Aard van de verwerking -Omvang van de verwerking -Context van de verwerking -Doel van de verwerking -Waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen oBij verwerkingen met een hoog risico moet een

gegevensbeschermingseffectbeoordeling worden uitgevoerd (DPIA:

Data Protection Impact Assessment) Verantwoordelijken moeten in staat zijn om op verzoek van de toezichthoudende autoriteit informatie over zijn gegevensverwerkingen te verschaffen. Hiervoor moet de verantwoordelijke een register bijhouden met de informatie die in de verordening is opgesomd.Ook geldt de verplichting om een functionaris voor gegevensbescherming aan te stellen. Dit geldt niet voor alle verantwoordelijken.Privacy by design is in de AVG neergelegd als plicht voor de verantwoordelijke.De onderliggende gedachte is dat vanaf het moment waarop gegevensverwerkingssystemen worden ontworpen de bescherming van de gegevens wordt ingebouwd.

• / 3