OVER ONS Toonaangevend in Midden-Limburg en Zuidoost-Brabant Veertien gespecialiseerde en ervaren advocaten Kwalitatief hoogwaardig dienstenpakket Afgestemd op bedrijfsleven, overheid en particulieren
SCHOUTLAAN 9 WEERT
EUROPAWEG 160 B HELMOND
Specialisaties: Arbeidsrecht Handelsrecht en Procederen Insolventierecht en Herstructurering Ondernemingsrecht Personen- en Familierecht Vastgoed en Overheid Faillissementen (curatoren) Incasso’s (no cure no pay)
DE ALGEMENE VERORDENING GEGEVENSBESCHERMING Agenda: Inleiding Grondbeginselen van de AVG Het toepassingsbereik van de AVG Rollen binnen de AVG Grondslagen voor de verwerking Het vereiste van transparantie Rechten betrokkene Het register van de verwerkingsactiviteiten Sancties Voorbeelden Wat te doen?
Inleiding Sinds 1995 de Europese Privacyrichtlijn uit 1995 Nederland heeft ter uitvoering daarvan de Wet Bescherming persoonsgegevens (Wbp). 4 mei 2016: gepubliceerd in Publicatieblad van EU AVG is 20 dagen later in werking getreden Vanaf 25 mei 2018 van toepassing (directe werking) Doel: de verordening beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen.
De grondbeginselen: - Rechtmatigheid - Behoorlijkheid - Transparantie - Doelgerichtheid - Toereikendheid - Minimaliteit - Juistheid - Integriteit en vertrouwelijkheid - Verantwoordelijkheid
Toepassingsbereik AVG De AVG is van toepassing op: de verwerking van persoonsgegevens Wat is verwerken? Ieder werkwoord! - verzamelen - vastleggen - opslaan - bewerken - etc. Wat is een persoonsgegeven? Alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon (vrijwel alles dus!) - n a w gegevens - kenteken - telefoonnummer - audiovisueel materiaal
Toepassingsbereik AVG Geldt voor alle (rechts)personen die persoonsgegevens verwerken, dus ook voor kleine mkb’ers, zzp’ers, stichtingen en verenigingen die gegevens verwerken! Voorbeelden: Het bijhouden van afspraken met klanten; Het bijhouden van adresinformatie (telefoonnummers, emailadressen etc.); Personeelsinformatie. Uitzondering: Niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die al zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit.
Rollen binnen de AVG De verwerkingsverantwoordelijke: Bepaalt doel en middelen van de verwerking (verwerkt “eigen gegevens”); Verantwoordelijk voor de nalevering van de AVG. De bewerker/verwerker: Verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke (verwerkt andermans gegevens); Slechts beperkte aansprakelijkheid. De verhouding tussen deze partijen wordt geregeld in een verwerkingsovereenkomst. Op de makelaar rust een zorgplicht, niet alleen ten aanzien van zijn opdrachtgever, maar ook ten aanzien van de andere partij; Naar aanleiding van de anonieme mail had het voor de makelaar duidelijk moeten zijn dat er mogelijkerwijs asbest in de scheidingswanden aanwezig was en dat de verkopers daar geen eigen onderzoek naar hadden gedaan; Onder deze omstandigheden had de makelaar niet op de juistheid van de mededelingen van de verkopers mogen afgaan; Anonieme mail had bij kopers moeten worden gemeld; Onzorgvuldig handelen wordt extra bevestigd doordat makelaar zelf heeft aangegeven aan de koper dat hij niet bekend was met asbest in de woning, buiten de twee platen.
Grondslagen voor de verwerking Om “gewone” persoonsgegevens te mogen verwerken kan je zes grondslagen gebruiken: Toestemming Uitvoering overeenkomst Wettelijke plicht Vitaal belang Publieke taak Gerechtvaardigd belang Toestemming is restcategorie! Definitie toestemming: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”
Grondslagen voor de verwerking Het verwerken van “bijzondere” persoonsgegevens is verboden! Tenzij….. Wettelijke uitzondering Toestemming betrokkene Wat zijn bijzondere persoonsgegevens? Religieuze of levensbeschouwelijke overtuigingen; Ras of etnische afkomst; Politieke opvattingen; Gezondheid, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van de persoon; Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid; Het lidmaatschap van een vakbond; Strafrechtelijke veroordelingen en stafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
Het vereiste van transparantie: Dit is de kern van de AVG! De verwerkingsverantwoordelijke licht de betrokkene op voorhand in over: De verwerking en de doeleinden daarvan; De grondslagen; Bewaartermijn; De rechten van de betrokkene; Etc. En doet zulks op een “beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijk en eenvoudige taal”
Rechten betrokkene De betrokkene heeft recht op: Inzage Rectificatie Gegevenswissing (vergetelheid) Beperking van de verwerking; Kennisgevingsplicht Overdraagbaarheid (dataportabiliteit) bezwaar
Register van de verwerkingsactiviteiten De verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder diens verantwoordelijkheid plaatsvinden, met daarin: Gegevens van de verwerkingsverantwoordelijke; De verwerkingsdoeleinden; Beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; Etc. Uitzondering: minder dan 250 werknemers! Tenzij…. Grote risico’s Bijzondere categorieën gegevens Niet-incidenteel
(Civielrechtelijke aansprakelijkheid) Sancties De waarschuwing De berisping De geldboete (Civielrechtelijke aansprakelijkheid) Criteria voor het bepalen van de op te leggen sanctie: aard, ernst en duur van de inbreuk; Opzettelijkheid of nalatigheid van de inbreuk; Genomen maatregelen om schade te beperken; Etc.
Voorbeeld 1: Het eindejaarsevenement Een voetbalvereniging organiseert een eindejaarsevenement. Tijdens dit evenement zijn er zowel leden als niet-leden aanwezig. Er zijn wat voetbalwedstrijdjes, spellen voor de kleintjes, een BBQ en een heuse bar. In het kader van de promotie van de voetbalclub wenst het bestuur foto’s te maken voor een social-media campagne. Mag dit?
Voorbeeld 2: Het ledenbestand Een vereniging heeft een rijk ledenbestand. Met name de sociale interactie tussen de leden maakt de vereniging succesvol. Daar niet alle leden over elkaars contactgegevens beschikken vat het idee post om de ledenlijst (inclusief telefoonnummers, e-mailadressen etc.) aan de leden rond te sturen. Op die manier kan iedereen met elkaar in contact blijven. Mag dit?
Wat te doen? Bewustwording! Informeren medewerkers/vrijwilligers Protocollen aanpassen Privacyverklaring Verwerkingsovereenkomsten Register van de verwerkingsactiviteiten
VRAGEN?
mr. R.A. (Ralf) Stoks rstoks@abenslag.nl 0495 - 536 138